Comment supprimer Trojan FakeAlert / Renos / sshnas / msb.exe?

Qu'est ce que l'infection Trojan FakeAlert / Renos / msb.exe ?

Cette infection est récupérée à la suite de l'installation de codecs infectés en général et peut se transmettre via les supports externes (clé USB, disque dur externe, carte SD etc..)


Exemple de lignes infectieuses retrouvées dans hijackthis :

O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork (User 'Default user')
O4 - Startup: 8162231.lnk = C:\Users\Romain\AppData\Local\Temp\dwn.exe
O4 - Startup: 9635938.lnk = C:\Users\Romain\AppData\Local\Temp\mvNat.exe

Cette infection peut créer des taches planifiées responsables de la ré-infection :

C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

Il est donc conseillé de supprimer les tâches planifiées que vous n'avez pas installées.

Exemples de fichiers infectés et clés du registre :

HKEY_CURRENT_USER\SOFTWARE\ZagrebLand (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Videocan (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\HID_Layer
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zagrebland (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vegas (Trojan.FakeAlert)
C:\Windows\Temp\b.exe (Trojan.Dropper)
C:\Windows\Temp\d.exe (Trojan.Dropper)
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert)
C:\Windows\Temp\sshnas.dll (Trojan.FakeAlert)

Préliminaires

• Important : Si vous avez Vista ou 7,
  • Vous devez désactiver l'UAC le temps de la désinfection.
• Attention : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:
  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
  • A gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

Méthodes de désinfection

Plusieurs solutions sont envisageables :

Première méthode : Usbfix

A- Option Scanner d' Usbfix ( recherche )

• Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.

Autre lien: http://eldesaparecido.com/tools/UsbFix.exe

• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
• /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
• Cliquer sur le bouton Recherche.
• Laisser travailler l'outil.
• Poster le rapport UsbFix.txt obtenu si vous avez créé un sujet sur le forum Virus/Sécurité.
• Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

B- Option Suppression d' Usbfix ( nettoyage )

/!\ Avant de passer l'option Suppression, il est recommandé de demander conseil sur le forum Virus/Sécurité. /!\

• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le programme UsbFix sur le Bureau.
• Cliquer sur le bouton Suppression.
• Le Bureau disparaîtra et réapparaîtra à le fin de la désinfection.
• Ensuite, poster le rapport UsbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
• Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Tutoriel sur UsbFix.

Deuxième méthode :MalwareBytes' Anti-Malware

• Téléchargez Malwarebytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.

• Installez le logiciel.
• S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
• Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Démarrez en mode sans échec.
• Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs et unités externes.
• Une fois le scan terminé, cliquez sur Résultat puis supprimer ce qui a été détecté (Si un message demande à redémarrer le PC, acceptez !)

Troisième méthode : Super antispyware

• Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
  • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
  • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
  • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.

Quatrième méthode: FakeAlertRemover

Ce logiciel permet l'érradication de l'infection Renos FakeAlert

• A télécharger ici: http://sd-2.archive-host.com/membres/up/174761209440524377/FakeAlertRemover.exe
• Il suffit ensuite de lancer le logiciel qui procède à la désinfection.

Rq: L'installation de framework 3.5 est requise

Après nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

Bitdefender en ligne

• http://www.commentcamarche.net/faq/sujet-8872-scanner-en-ligne-avec-bitdefender

Kaspersky en ligne

• http://www.kaspersky.com/fr/virusscanner
• Autres antivirus en ligne

Informations supplémentaires

http://forum.malekal.com/... Ce document intitulé « Comment supprimer Trojan FakeAlert / Renos / sshnas / msb.exe? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.