Virus double accent circonflexe SrvID [Résolu/Fermé]

Signaler
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011
-
 gabidospi -
Bonjour,
suite a un virus j'ai réalisé un scan avec malwarebytes celui-ci m'a trouvé une clef de registre infectée : HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID.
J'ai donc essayé de la supprimé mais rien n'y fait,je suis donc passé en mode sans échec je l'ai supprimé.Je redémarre donc et retourne en mode normal et la plus de souci cependant une fois arrête puis remis en route j'ai de nouveau le problème et l'infection.
C'est pourquoi je requiert votre aide :).
Cordialement

39 réponses

Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Bonsoir


* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression , enregistre le.
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Si tu n''arrive pas à le mettre à jour, télécharge ce fichier :
http://data.mbamupdates.com/tools/mbam-rules.exe
, ferme MBAM, et exécute le

@+
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

Merci pour cette réponse rapide,
alors voici le lien du log : http://www.cijoint.fr/cjlink.php?file=cj201109/cijVMMmtYm.txt
j'ai enregistré le log avant de tenter de le supprimé,d'où le no actions takens, mais en vain.
Cordialement
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Bien vu.

Mais essaie de relancer MBAM en mode sans échec et suis la même procédure.
Sais-tu faire le mode sans échec ?

Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Bon, si MBAM ne donne rien on va faire autrement.

*Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
/!\Il est très important de l'enregistrer sur le bureau / !\
*Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
* N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
* Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
* Clique alors sur la loupe pour « lancer le diagnostic ».
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long.
* Ferme ZHPDiag en fin d'analyse.
* Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Si indisponible, tu peux essayer avec l'un de ces liens:
http://dl.free.fr
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/
* Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP\).
* Sélectionne le fichier ZHPDiag.txt.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
* Copie ce lien dans ta réponse..
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

oui il me suffit d'appuyer sur f8 mais le souci en faite c'est que lorsque je le fait en mode sans échec ce là fonctionne. Je suis alors capable d'utiliser mon circonflexe comme il faut mais une fois que je vais arrêter mon ordinateur rebelote.
Cordialement.
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Oui effectivement j'avais lu en diagonale ton sujet et je t'ai fait refaire ce que tu avais fait.
Donc on chang notre fusil d'épaule et on fait un diagnostic complet avec ZHPDiag si tu veux bien.

à+
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

A vrai dire je suis ravi que les réponses soient si rapides donc pas de problèmes.
Sinon voilà qui est fait : http://www.cijoint.fr/cjlink.php?file=cj201109/cijVM5fGWo.txt
Cordialement
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
On continue !

* Copie tout le texte présent ci dessous (en gras et italique) (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O43 - CFD: 01/07/2011 - 17:54:44 - [29387006] ----D- C:\Users\jerome\AppData\Roaming\OpenCandy
O43 - CFD: 01/07/2011 - 18:51:10 - [0] ----D- C:\Users\jerome\AppData\Local\OpenCandy
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
C:\Users\jerome\AppData\Roaming\OpenCandy
C:\Users\jerome\AppData\Local\OpenCandy



* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton « GO » pour lancer le nettoyage
* Copie/Colle le rapport à l'écran dans ton prochain message
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur

A toi !



Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Hello sombre-heros,

Comme je vais devoir te quitter je voudrais te donner quelques instructions supplémentaires :

Ce que nous venons de faire aura permis de nettoyer ton PC de quelques BHO et Adwares, mais n'aura pas encore viré la clé de registre qui te cause du souci !

Pour obtenir ce résultat tu vas continuer par :

* Télécharge USBFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore-le et désactive le temporairement.
http://www.teamxscript.org/usbfixTelechargement.html
* Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.

ATTENTION : Ceci ne fait qu'effectuer une recherche de malwares, l'éradication se fera après si nécessaire en relancant uSBFix mais cette fois en mode [Suppression].

Aide en images : http://www.teamxscript.org/usbfixScan.html
Tutoriel "Recherche"

@+
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

Bonjour,
alors voila le premier log donc fait avec ZHPfix: http://www.cijoint.fr/cj201109/cijmslq8nR.txt
Et le second log fait avec usbfix: http://www.cijoint.fr/cjlink.php?file=cj201109/cijDFHBYDi.txt
Cordialement
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Parfait sombre-heros.

Il ne te reste plus qu'à relancer USBFix et cliquer sur Suppression.

Tu pourras ensuite le relancer en mode "Vaccination" après avoir inséré tous tes disques amovibles.

@+
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

Effectivement tout est rentré dans l'ordre.
Je te remercie énormément cabrier.
Cordialement
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Pas de quoi, avec plaisir !
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

Bon hé bien après avoir attendu puis redémarré mon PC je suis un peu dépité car le problème est réapparu.
Est ce que je dois faire la manipulation en mode sans échec ?
Cordialement
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 244
hello vous deux

@ cabrier
ce genre de sujet finit souvent avec combofix....
néanmoins...

@ sombre-heros

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :


C:\Users\jerome\AppData\Roaming\Javachk\Javachk.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.


Copie le lien de Virus Total dans ta réponse.


Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider


http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

Bonjour,
Voila qui est fait http://www.virustotal.com/file-scan/report.html?id=1ceac8aca6ad9da351765514ea447ec4f4d7b2b4b4b53ad87dc80b27ccf03035-1317312141
Cordialement
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 773
Bonjour,

@sombre-heros :

Pourrais-tu envoyer ce fichier :

C:\Users\jerome\AppData\Roaming\Javachk\Javachk.exe

Sur http://upload.malekal.com/

J'aimerai l'analyser et l'étudier :)
Merci de ta contribution.

La suite de la désinfection avec cabrier

A+

.::. Contributeur Sécurité .::.
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Re sombre-heros,

As-tu fait ce que demandait juju666 ? sinon je le ferai si tu veux !

Pour continuer :

* Télécharge sur le bureau https://www.commentcamarche.net/download/telecharger-34083203-roguekiller-anti-malware
* Quitte tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), enregistre le sur ton bureau
* *Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.

* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Messages postés
18
Date d'inscription
mercredi 28 septembre 2011
Statut
Membre
Dernière intervention
1 octobre 2011

@juju666 : Voila j'ai effectué l'upload du fichier mais je n'ai eu aucun lien j'espère que c'est normal .

Je suis entrain de télécharger roguekiller je repasse pour poster le log.

edit: voila le log : http://www.cijoint.fr/cjlink.php?file=cj201109/cijJyzRj64.txt
Un geek ne dort pas, il se met en veille !
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 773
J'vais demander à Malekal_Morte- :)
Messages postés
5583
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
692
Très bien sombre-heros.

Tu vas passer RogueKiller en Mode 2 (REMOVE)
Dans ce mode, le programme va également tuer les processus infectieux, mais aussi cibler les clés de registre permettant au rogue de se relancer au démarrage, et les supprimer.

* Quitte tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),
* *Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ ou http://pjjoint.malekal.com/
* Clique sur Parcourir et cherche le fichier RKreport.txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.

A+