Virus "Thayet Myo Hacking Day" pb clavier

mleloy Messages postés 3 Statut Membre -  
 625 -
Bonjour,

J'ai chope le virus Thayet Myo Hacking Day il y a quelques jours et n'arrive pas a m'en debarasser, malgres la lecture de plusieurs forums sur le sujet.

J'ai telecharge Trojan Remover, ainsi que Malwarebytes, mais je n'arrive pas a supprimer definitivement les fichiers infectes explorer.exe, ils reviennent a chaque fois!

J'ai eu au debut 2 banieres qui apparaissaient sur mon ecran avec le nom du virus, maintenant je ne les ai plus, mais j'ai toujours le probleme avec le clavier, quand je veux taper un O, c'est un 6 qui s'inscrit!

Comment faire pour m'en debarasser definitivement?
J'ai besoin de votre aide, je suis en voyage et toutes mes photos sont sur mon laptop, je ne veux pas les perdre!!!!

Merci d'avance pour votre aide.

Marie-Laure

10 réponses

  1. InfernO.vir Messages postés 175 Statut Membre 2
     
    Apres USBFIX ?

    Essaye lorsque tu es sur le bureau de faire ceci :

    CTRL+ALT+SUPPR - le gestionnaire de taches s'est ouvert - dans l'onglet Applications clique sur Nouvelle tache- dans l'encadré, ecrit : explorer.exe et clique sur OK ...dis moi si tes icones sont revenues.

    Si cela marche fait RSIT.
    1
    1. mleloy Messages postés 3 Statut Membre
       
      J'ai fait cette manip, mais j'ai le message suivant : "Windows ne trouve pas explorer.exe" et je n'ai toujours aucune icone.
      Quoi faire?
      0
  2. InfernO.vir Messages postés 175 Statut Membre 2
     
    Salut,

    Quel est ton systeme d'exploitation stp ?

    Fait ceci :

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Comment héberger les rapports trop longs de RSIT ??

    0
    1. mleloy Messages postés 3 Statut Membre
       
      C'est Windows XP, mais j'ai utilise USB Fix pour nettoyer mon PC mais cela a tellement ete efficace qu'il m'a supprime le fichier infecte "explorer.exe" et que quand je rallume mon PC, je n'ai plus aucun icone sur mon bureau et ne peut rien faire, comment reparer ca? Aidez moi s'il vous plait, je suis nul en informatique!
      0
    2. 625
       
      info.txt logfile of random's system information tool 1.06 2010-07-01 03:01:25

      ======Uninstall list======

      -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
      Adobe AIR-->c:\Program Files\Fichiers communs\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
      Adobe AIR-->MsiExec.exe /I{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}
      Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
      Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
      Dofus 1.28.0-->C:\Program Files\Dofus\uninstall.exe
      Maroc Telecom-->C:\Program Files\InstallShield Installation Information\{5ABD53CC-6182-40DF-9663-EBC9E6F3AE7C}\setup.exe -runfromtemp -l0x040c -removeonly
      Mozilla Firefox (3.5.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
      Sagem Wi-Fi 11g USB adapter (driver)-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2ED60C17-4568-4CD5-830A-03C4688B09A1}\setup.exe" -l0x40c
      Sagem Wi-Fi 11g USB adapter (utility)-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAFD22B6-A6C7-4134-AF4E-080BCBCD3493}\Setup.exe" -l0x40c

      ======System event log======

      Computer Name: ABDOU-BC41810BC
      Event Code: 6005
      Message: Le service d'Enregistrement d'événement a démarré.

      Record Number: 131
      Source Name: EventLog
      Time Written: 20100604133515.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 6009
      Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

      Record Number: 130
      Source Name: EventLog
      Time Written: 20100604133515.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 7036
      Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

      Record Number: 129
      Source Name: Service Control Manager
      Time Written: 20100604125059.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 7036
      Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

      Record Number: 128
      Source Name: Service Control Manager
      Time Written: 20100604125059.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 7035
      Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI.

      Record Number: 127
      Source Name: Service Control Manager
      Time Written: 20100604125058.000000+000
      Event Type: Informations
      User: AUTORITE NT\SYSTEM

      =====Application event log=====

      Computer Name: ABDOU-BC41810BC
      Event Code: 2003
      Message:
      Record Number: 168
      Source Name: EAPOL
      Time Written: 20100629214638.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 1800
      Message: Le service Centre de sécurité Windows a démarré.

      Record Number: 167
      Source Name: SecurityCenter
      Time Written: 20100629214632.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 101
      Message: wuauclt (1204) Le moteur de base de données est arrêté.

      Record Number: 166
      Source Name: ESENT
      Time Written: 20100629145516.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 103
      Message: wuaueng.dll (1204) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).

      Record Number: 165
      Source Name: ESENT
      Time Written: 20100629145516.000000+000
      Event Type: Informations
      User:

      Computer Name: ABDOU-BC41810BC
      Event Code: 102
      Message: wuaueng.dll (1204) SUS20ClientDataStore: Le moteur de base de données a démarré une nouvelle instance (0).

      Record Number: 164
      Source Name: ESENT
      Time Written: 20100629145015.000000+000
      Event Type: Informations
      User:

      ======Environment variables======

      "ComSpec"=%SystemRoot%\system32\cmd.exe
      "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
      "windir"=%SystemRoot%
      "FP_NO_HOST_CHECK"=NO
      "OS"=Windows_NT
      "PROCESSOR_ARCHITECTURE"=x86
      "PROCESSOR_LEVEL"=15
      "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
      "PROCESSOR_REVISION"=0209
      "NUMBER_OF_PROCESSORS"=1
      "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
      "TEMP"=%SystemRoot%\TEMP
      "TMP"=%SystemRoot%\TEMP

      -----------------EOF-----------------
      0
  3. Utilisateur anonyme
     
    Bonsoir

    Pour avancer InfernO.vir

    Essaie une restauration;même si ton problème revient;et fait ceci:

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+
    0
  4. InfernO.vir Messages postés 175 Statut Membre 2
     
    Salut,

    Merci Guillaume, en fait javais pas vu que mleloy avait repondu, mes interventions etaient grises ...

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mleloy
     
    J'ai tente de faire une restauration a une date anterieure au probleme, mais cela n'a pas fait re-apparaitre mes icones sur le bureau, j'ai toujours le meme message, Windows ne trouve pas explorer.exe!

    Et je n'arrive du coup pas a me connecter au net, donc je ne peux rien telecharger non plus.

    Quoi faire?
    0
  7. InfernO.vir Messages postés 175 Statut Membre 2
     
    Tu as un moyen de telecharger a partir d'un autre pc et de le transmettre sur le pc infecté ( par clé usb par ex...) ?

    Ensuite, télécharge Zeb-Restore :

    ftp://zebulon.fr/Zeb-Restore.zip

    Enregistre ce fichier sur le bureau.

    ? Clique droit Zeb-Restore.zip ==> Extraire tout choisis comme
    lieu d'enregistrement le bureau.

    ? Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

    ? Coche la case devant : Bureau ( si tu as un message d'erreur recommence en mode sans échec )

    -- Ne coche aucune autre case --

    ? Clique sur Restaurer

    ? Redémarre ton PC

    Dis-moi si tes icones sont revenues ?
    0
  8. mleloy
     
    inferno j'ai telecharge zebulon et cocher toutes les cases par megarde car je n'avais plus ton message sous les yeux.

    mes icones ne sont pas revenu et j'ai toujours le probleme avec mon clavier, je suis oblige d'ecrire avec la touche fn enfonce sinon par exemple quand je tape "jkl" ceala m'ecris "123".

    je vous rappel qu'a la base j'ai voulu eradiquer le virus thayet myo hacking day et que maintenant je pense avoir eradiquer le virus mais je n'ai plus d'icones sur mon bureau et un probleme de clavier.

    tout cela est tres handicapant!

    EsT-CE que quelqu'un peut m'aider
    0
  9. InfernO.vir Messages postés 175 Statut Membre 2
     
    Bien,

    On va passer a un outil plus puissant :

    ▶ Télécharge Combofix de sUBs

    ▶ et enregistre le sur le Bureau.

    ▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

    Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Je te conseille d'installer la console de récupération !!

    ensuite envois le rapport stp

    0
    1. mleloy
       
      Merci pour tes conseils, mais cela me fait un peu peur d'utiliser combofix.
      Surtout que j'ai du nouveau, j'ai récupére mon clavier normal en me baladant sur d'autres forums et en enfonçant juste les touches Fn et NumLk en même temps!
      Je pense également que le virus est éradiquer, donc mon seul problème maintenant (et pas des moindre) récupérer toutes les icônes de mon bureau, la barre des taches...
      Je pense que tout cela vient de la suppression du fichier explorer.exe par le programme UsbFix au moment où je voulait supprimer le virus.

      Comment puis-je donc retrouver ce fichier?
      Dois-je nécessairement lancer le CD d'installation?
      Car le problème c'est que j'ai un netbook donc pas de lecteur CD!

      Merci de votre aide
      0
  10. InfernO.vir Messages postés 175 Statut Membre 2
     
    Ne t'inquiètes pas, passe combofix, si tu suis les instructions données, cela se passeras bien, une infection peut remplacer le shell explorer.exe avec celui de l'infection et donc plus acces aux incones ni rien sur le bureau ...

    On essayer combofix et si cela ne change rien, je vais me renseigner pour remplcaer le explorer.exe ...

    0
    1. InfernO.vir Messages postés 175 Statut Membre 2
       
      PS : est-ce tu as le rapport d'usbfic quand il a viré explorer.exe ? si oui poste le stp.
      0
    2. mleloy
       
      Je ne suis pas sûr que ce sois le rapport de USBFix mais ça peux peut être aider :


      BitDefender Online Scanner



      Scan report generated at: Tue, Mar 30, 2010 - 14:41:55





      Scan path: C:\;D:\;







      Statistics

      Time
      01:54:37

      Files
      169653

      Folders
      3768

      Boot Sectors
      0

      Archives
      7956

      Packed Files
      16311




      Results

      Identified Viruses
      7

      Infected Files
      21

      Suspect Files
      0

      Warnings
      0

      Disinfected
      15

      Deleted Files
      5




      Engines Info

      Virus Definitions
      5555062

      Engine build
      AVCORE v2.1 Windows/i386 11.0.0.33 (Feb 25 2010)

      Scan plugins
      17

      Archive plugins
      44

      Unpack plugins
      8

      E-mail plugins
      6

      System plugins
      4




      Scan Settings

      First Action
      Disinfect

      Second Action
      Delete

      Heuristics
      Yes

      Enable Warnings
      Yes

      Scanned Extensions
      *;

      Exclude Extensions


      Scan Emails
      Yes

      Scan Archives
      Yes

      Scan Packed
      Yes

      Scan Files
      Yes

      Scan Boot
      Yes




      Scanned File
      Status

      C:\Documents and Settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe
      Infected with: Win32.Sality.2.OE

      C:\Documents and Settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe
      Disinfected

      C:\Documents and Settings\Marie-Laure ELOY\Application Data\Facebook\uninstall.exe
      Infected with: Win32.Sality.2.OE

      C:\Documents and Settings\Marie-Laure ELOY\Application Data\Facebook\uninstall.exe
      Disinfected

      C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
      Infected with: Gen:Win32.Sality.Dam

      C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
      Disinfection failed

      C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
      Deleted

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temp\winxigaw.exe
      Infected with: Trojan.Generic.3551133

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temp\winxigaw.exe
      Deleted

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\5BXK1TNR\OOo_3.1.1_Win32Intel_install_wJRE_fr[1].exe
      Infected with: Win32.Sality.2.OE

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\5BXK1TNR\OOo_3.1.1_Win32Intel_install_wJRE_fr[1].exe
      Disinfected

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\6MRGLFEJ\Install_Facebook_Plug-In_1.0.3[1].exe
      Infected with: Win32.Sality.2.OE

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\6MRGLFEJ\Install_Facebook_Plug-In_1.0.3[1].exe
      Disinfected

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[1].exe
      Infected with: Win32.Sality.2.OE

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[1].exe
      Disinfected

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
      Infected with: Gen:Trojan.Heur.gmZ@@d39nG

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
      Disinfection failed

      C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
      Deleted

      C:\Documents and Settings\Marie-Laure ELOY\Mes documents\DCIM.exe
      Infected with: Worm.Generic.55725

      C:\Documents and Settings\Marie-Laure ELOY\Mes documents\DCIM.exe
      Deleted

      C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
      Disinfected

      C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
      Disinfected

      C:\Program Files\Google\Picasa3\Picasa3.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Google\Picasa3\Picasa3.exe
      Disinfected

      C:\Program Files\Google\Picasa3\PicasaUpdater.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Google\Picasa3\PicasaUpdater.exe
      Disinfected

      C:\Program Files\Mozilla Firefox\firefox.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Mozilla Firefox\firefox.exe
      Disinfected

      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
      Disinfected

      C:\Program Files\VideoLAN\VLC\vlc.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\VideoLAN\VLC\vlc.exe
      Disinfected

      C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
      Infected with: Win32.Sality.2.OE

      C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
      Disinfected

      C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
      Infected with: Backdoor.Hamweq.J

      C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
      Delete failed

      C:\WINDOWS\Alcmtr.exe
      Infected with: Win32.Sality.2.OE

      C:\WINDOWS\Alcmtr.exe
      Disinfected

      C:\WINDOWS\BackUp\autorun.inf
      Infected with: Win32.Worm.Autorun.PF

      C:\WINDOWS\BackUp\autorun.inf
      Deleted

      C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      Infected with: Win32.Sality.2.OE

      C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      Disinfected
      0
  11. InfernO.vir Messages postés 175 Statut Membre 2
     
    Aîeaîe !!!!!!!!!!!

    Mauvaise nouvelle, tu es infection par Sality qui est une variante de Virut, le virus le plus difficile a enlever ! je vais te demander de faire ce qui es ici :

    http://www.commentcamarche.net/faq/16138-comment-supprimer-virut

    Tu me poste un rapport de Dr webcureit et d'AVPTOOL.

    0
    1. mleloy
       
      C'est bien ma veine!!
      Du coup j'abandonne la procedure de Combo Fix?

      Par contre, sais-tu comment je peux sauvegarder mes documents precieux car je ne peux pas utiliser de CD ou DVD dans mon netbook et une cle USB risquerait d'etre infecte non?

      J'ai lu que le temps etait mon pire ennemi car le virus se propage, mais est-ce aussi le cas, ordinateur eteint?

      Merci de votre aide
      0
    2. InfernO.vir Messages postés 175 Statut Membre 2
       
      "Du coup j'abandonne la procedure de Combo Fix? "

      Il va falloir formater a letat d'usine !

      "Par contre, sais-tu comment je peux sauvegarder mes documents precieux car je ne peux pas utiliser de CD ou DVD dans mon netbook et une cle USB risquerait d'etre infecte non?

      Pas de bol en plus tu peux pas utiliser de CD ... il infecte les cle usb donc ca sert a rien tu vas infecter ton autre pc apres ...

      Je t'aurais bien proposé ceci :

      https://www.commentcamarche.net/faq/15947-sauver-vos-documents-d-un-windows-mort-avec-le-live-cd-linuxmint

      Mais il y a besoin de graver un CD et sur un netbook ....

      Je suis desolé pour toi mais je crois bien qu'il va falloir formater sans rien pouvoir sauvegarder !

      J'ai bien chercher mais aucune solution il faudrait un lecteur CD ...
      0