Virus double accent circonflexe SrvID

Résolu
sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention   -  
 gabidospi -
Bonjour,
suite a un virus j'ai réalisé un scan avec malwarebytes celui-ci m'a trouvé une clef de registre infectée : HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID.
J'ai donc essayé de la supprimé mais rien n'y fait,je suis donc passé en mode sans échec je l'ai supprimé.Je redémarre donc et retourne en mode normal et la plus de souci cependant une fois arrête puis remis en route j'ai de nouveau le problème et l'infection.
C'est pourquoi je requiert votre aide :).
Cordialement

39 réponses

  • 1
  • 2
Résumé de la discussion

Infection détectée sur Windows 7 par Malwarebytes, avec une clé de registre infectée HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID qui réapparaissait après un redémarrage récent et répétitif. Des réponses promeuvent des approches variées, comme la suppression directe de la clé en mode normal ou sans échec et l'emploi d'outils de diagnostic comme ZHPDiag pour générer un rapport détaillé. En parallèle, conseils évoquent mesures de maintenance, incluant la purge de la restauration système et les mises à jour Windows, Java et Adobe, ainsi que vérifications via VirusTotal ou utilitaires similaires. Enfin, le fil montre l'importance de traiter les points de restauration et de maintenir le système à jour pour prévenir de futures réinfections et renforcer la sécurité.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonsoir

    * Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
    A la fin de l'analyse, si MBAM n'a rien trouvé :
    * Clique sur OK, le rapport s'ouvre spontanément
    Si des menaces ont été détectées :
    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression , enregistre le.
    * Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    * Clique sur Parcourir et cherche le fichier
    * Clique sur Ouvrir.
    * Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page.
    * Copie ce lien dans ta réponse.
    * Si tu n''arrive pas à le mettre à jour, télécharge ce fichier :
    http://data.mbamupdates.com/tools/mbam-rules.exe
    , ferme MBAM, et exécute le

    @+
    0
  2. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci pour cette réponse rapide,
    alors voici le lien du log : http://www.cijoint.fr/cjlink.php?file=cj201109/cijVMMmtYm.txt
    j'ai enregistré le log avant de tenter de le supprimé,d'où le no actions takens, mais en vain.
    Cordialement
    0
  3. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bien vu.

    Mais essaie de relancer MBAM en mode sans échec et suis la même procédure.
    Sais-tu faire le mode sans échec ?

    0
  4. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bon, si MBAM ne donne rien on va faire autrement.

    *Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou depuis ce lien si le premier a des soucis:
    http://www.moncompteur.com/compteurclick.php?idLink=18026
    /!\Il est très important de l'enregistrer sur le bureau / !\
    *Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
    * N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

    * Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
    * Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
    * Clique alors sur la loupe pour « lancer le diagnostic ».
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
    * Laisse l'outil travailler, il peut être assez long.
    * Ferme ZHPDiag en fin d'analyse.
    * Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    * Si indisponible, tu peux essayer avec l'un de ces liens:
    http://dl.free.fr
    http://ww38.toofiles.com/fr/documents-upload.html
    https://www.terafiles.net/
    https://www.casimages.com/
    http://pjjoint.malekal.com/
    * Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP\).
    * Sélectionne le fichier ZHPDiag.txt.
    * Clique sur "Cliquez ici pour déposer le fichier".
    * Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    * Copie ce lien dans ta réponse..
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    oui il me suffit d'appuyer sur f8 mais le souci en faite c'est que lorsque je le fait en mode sans échec ce là fonctionne. Je suis alors capable d'utiliser mon circonflexe comme il faut mais une fois que je vais arrêter mon ordinateur rebelote.
    Cordialement.
    0
  7. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Oui effectivement j'avais lu en diagonale ton sujet et je t'ai fait refaire ce que tu avais fait.
    Donc on chang notre fusil d'épaule et on fait un diagnostic complet avec ZHPDiag si tu veux bien.

    à+
    0
  8. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    A vrai dire je suis ravi que les réponses soient si rapides donc pas de problèmes.
    Sinon voilà qui est fait : http://www.cijoint.fr/cjlink.php?file=cj201109/cijVM5fGWo.txt
    Cordialement
    0
  9. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    On continue !

    * Copie tout le texte présent ci dessous (en gras et italique) (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O43 - CFD: 01/07/2011 - 17:54:44 - [29387006] ----D- C:\Users\jerome\AppData\Roaming\OpenCandy
    O43 - CFD: 01/07/2011 - 18:51:10 - [0] ----D- C:\Users\jerome\AppData\Local\OpenCandy
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    C:\Users\jerome\AppData\Roaming\OpenCandy
    C:\Users\jerome\AppData\Local\OpenCandy


    * Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
    / !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
    * Clique sur le H "coller les lignes Helper"
    * Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
    * Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    * Clique sur le bouton « GO » pour lancer le nettoyage
    * Copie/Colle le rapport à l'écran dans ton prochain message
    * (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
    * Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    * Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
    * Clique sur Ouvrir.
    * Clique sur "Cliquez ici pour déposer le fichier".
    * Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page.
    * Copie ce lien dans ta réponse.
    * Redémarre ton ordinateur

    A toi !

    0
  10. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Hello sombre-heros,

    Comme je vais devoir te quitter je voudrais te donner quelques instructions supplémentaires :

    Ce que nous venons de faire aura permis de nettoyer ton PC de quelques BHO et Adwares, mais n'aura pas encore viré la clé de registre qui te cause du souci !

    Pour obtenir ce résultat tu vas continuer par :

    * Télécharge USBFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore-le et désactive le temporairement.
    http://www.teamxscript.org/usbfixTelechargement.html
    * Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
    * Au menu principal, clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
    * Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
    * Clique sur Parcourir et cherche le fichier
    * Clique sur Ouvrir.
    * Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page.
    * Copie ce lien dans ta réponse.

    ATTENTION : Ceci ne fait qu'effectuer une recherche de malwares, l'éradication se fera après si nécessaire en relancant uSBFix mais cette fois en mode [Suppression].

    Aide en images : http://www.teamxscript.org/usbfixScan.html
    Tutoriel "Recherche"

    @+
    0
  11. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,
    alors voila le premier log donc fait avec ZHPfix: http://www.cijoint.fr/cj201109/cijmslq8nR.txt
    Et le second log fait avec usbfix: http://www.cijoint.fr/cjlink.php?file=cj201109/cijDFHBYDi.txt
    Cordialement
    0
  12. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Parfait sombre-heros.

    Il ne te reste plus qu'à relancer USBFix et cliquer sur Suppression.

    Tu pourras ensuite le relancer en mode "Vaccination" après avoir inséré tous tes disques amovibles.

    @+
    0
  13. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Effectivement tout est rentré dans l'ordre.
    Je te remercie énormément cabrier.
    Cordialement
    0
  14. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Pas de quoi, avec plaisir !
    0
  15. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Bon hé bien après avoir attendu puis redémarré mon PC je suis un peu dépité car le problème est réapparu.
    Est ce que je dois faire la manipulation en mode sans échec ?
    Cordialement
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    hello vous deux

    @ cabrier
    ce genre de sujet finit souvent avec combofix....
    néanmoins...

    @ sombre-heros

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Users\jerome\AppData\Roaming\Javachk\Javachk.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.


    Copie le lien de Virus Total dans ta réponse.


    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK


    tuto pour t'aider


    http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

    0
  17. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,
    Voila qui est fait http://www.virustotal.com/file-scan/report.html?id=1ceac8aca6ad9da351765514ea447ec4f4d7b2b4b4b53ad87dc80b27ccf03035-1317312141
    Cordialement
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    @sombre-heros :

    Pourrais-tu envoyer ce fichier :

    C:\Users\jerome\AppData\Roaming\Javachk\Javachk.exe

    Sur http://upload.malekal.com/

    J'aimerai l'analyser et l'étudier :)
    Merci de ta contribution.

    La suite de la désinfection avec cabrier

    A+

    .::. Contributeur Sécurité .::.
    0
  19. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Re sombre-heros,

    As-tu fait ce que demandait juju666 ? sinon je le ferai si tu veux !

    Pour continuer :

    * Télécharge sur le bureau https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
    * Quitte tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), enregistre le sur ton bureau
    * *Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
    * Clique sur Parcourir et cherche le fichier
    * Clique sur Ouvrir.
    * Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page.
    * Copie ce lien dans ta réponse.

    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
    0
  20. sombre-heros Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    @juju666 : Voila j'ai effectué l'upload du fichier mais je n'ai eu aucun lien j'espère que c'est normal .

    Je suis entrain de télécharger roguekiller je repasse pour poster le log.

    edit: voila le log : http://www.cijoint.fr/cjlink.php?file=cj201109/cijJyzRj64.txt
    Un geek ne dort pas, il se met en veille !
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      J'vais demander à Malekal_Morte- :)
      0
  21. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Très bien sombre-heros.

    Tu vas passer RogueKiller en Mode 2 (REMOVE)
    Dans ce mode, le programme va également tuer les processus infectieux, mais aussi cibler les clés de registre permettant au rogue de se relancer au démarrage, et les supprimer.

    * Quitte tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 2 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),
    * *Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
    * Clique sur Parcourir et cherche le fichier RKreport.txt
    * Clique sur Ouvrir.
    * Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
    est ajouté dans la page.
    * Copie ce lien dans ta réponse.

    A+
    0
  • 1
  • 2