Accents circonflexe, et launcher.exe

Résolu/Fermé
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 - 10 déc. 2012 à 13:56
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 - 10 déc. 2012 à 16:59
Bonjour,

j'ai choppé un virus et je ne sais pas comment faire.

c'est à cause d'un truc pour télécharger sur fileice, ou un truc du genre (les fausses plateformes de téléchargement qui en fait sont juste une grosse arnaque et un nid à virus)
que ma soeur a voulu installer, quand je suis arrivé il était trop tard.

voici donc ce qui ce passe :
au démarrage, un message me dit demande si j'accepte d'ouvrir "c:\winupdt\ pleins de lettres et chiffres \ launcher.exe

j'ai tenté un coup de malwarebytes, ccleaner et ADWcleaner, auncun changement.

J'ai aussi remarqué que les accents circonflexes ne marchent plus correctement :
la touche + e ne fait rien, mais appuyer deux fois ça en fait deux :
e ^^
pareil pour les trémas.

Voila, merci d'avance si quelqu'un parvient à m'aider.

Je suis sous windows 7 64bit, d'origine, sur un HP touchsmart 600.
A voir également:

8 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 déc. 2012 à 16:37
Je sais pas pour Avast! faut essayer.

~~

Sécurise ton PC !

Important :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 déc. 2012 à 15:26
Dommage que vous n'aillez pas un antivirus, car pour une fois il aurait servi à quelques choses.
C'est un pauvre RAT récupéré par un gars... ça va sur une IP à Bordeaux.
Du coup là, vous vous êtes fait pomper tout vos mots de passe.


https://www.virustotal.com/file/1d443b04f3c2946150bd538eb1c91ffc04af154159b88be2a274093aa47299d8/analysis/

SHA256: 1d443b04f3c2946150bd538eb1c91ffc04af154159b88be2a274093aa47299d8
File name: script_survey_unlock.exe
Detection ratio: 41 / 43
Analysis date: 2012-11-28 19:55:48 UTC ( 1 semaine, 4 jours ago )



D'autre part, y a aussi une infection ZeroAccess

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3766730879-1686672400-4235464513-1001..\Run: [launcher] C:\Windupdt\VG0yYVszSago\launcher.exe (Microsoft Corp.)
O20:[b]64bit:/b - HKLM Winlogon: UserInit - (C:\Windupdt\VG0yYVszSago\launcher.exe) - C:\Windupdt\VG0yYVszSago\launcher.exe (Microsoft Corp.)
O20:[b]64bit:/b - HKLM Winlogon: UserInit - (C:\Windupdt\VG0yYVszSago\VG0yYVszSago\launcher.exe) - C:\Windupdt\VG0yYVszSago\VG0yYVszSago\launcher.exe (Microsoft Corp.)
O20:[b]64bit:/b - HKLM Winlogon: UserInit - (C:\Windupdt\VG0yYVszSago\launcher.exe) - C:\Windupdt\VG0yYVszSago\launcher.exe (Microsoft Corp.)
[2012/12/10 12:41:53 | 000,000,000 | ---D | C] -- C:\Users\Syrius Belmont\AppData\Roaming\dclogs
[2012/12/10 11:20:20 | 000,000,000 | -HSD | C] -- C:\Windupdt
[2012/07/19 15:41:43 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{30e01f00-75d6-011a-34c3-57910cca2c16}\U
[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
[2012/12/10 12:43:15 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012/12/10 12:43:15 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini


* redemarre le pc sous windows et poste le rapport ici


puis :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 déc. 2012 à 14:10
Salut,

Si tu as encore le lien vers le malware, je suis preneur.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
0
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 3
10 déc. 2012 à 15:05
après un peu de recherche, voici donc le lien sur la vidéo du mec qui explique comment se prendre le virus lol :

https://www.youtube.com/watch?v=AoNrhrGXgHA

au bout d'un moment pendant le scan avec OTL, j'ai eu ça :

nslookup.exe - Ordinal introuvable.
L'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques WSOCK32.dll

et l'invit de commande qui m'a affiché un lien vers mon bureau avec
>NSLOOKUP WWW.GOOGLE.FR 1>"chemin du bureau... \cmd.txt"

voici le rapport :

https://pjjoint.malekal.com/files.php?id=OTL_20121210_p15d13w12z11p13

sans Extra

bon, c'est pas encore fini, mais cela dit, merci de ton aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 3
10 déc. 2012 à 16:03
Ok voila, donc le rapport OTL :

https://pjjoint.malekal.com/files.php?id=20121210_s14b12w12e11v13

et je sais pas pourquoi j'ai deux rapports roguekiller :

https://pjjoint.malekal.com/files.php?id=20121210_n7k12y13k7d7

et celui-ci :

https://pjjoint.malekal.com/files.php?id=20121210_c6f610w5z14

Avec les deux reboot, il m'a pas rien affiché d'étrange (donc plus de launcher.exe)
et je peux de nouveau faire ça : ê ë

Je suis clean, ou il reste des traces ?
en tout cas merci.

Et vis à vis de mots de passe, il aurait pu récupérer quoi ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 10/12/2012 à 16:15
Et vis à vis de mots de passe, il aurait pu récupérer quoi ?

Tous les mots de passe stockés dans le navigateurs, donc mot de passe mail, facebook, jeux en ligne et aussi le serial de Windows et d'autres.

Il faut les changer.

~~


Installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec.

~~

Installe un antivirus : https://www.malekal.com/tutoriel-antivirus-avast/

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 3
10 déc. 2012 à 16:27
ok, merci,

par contre, pour l'antivirus, je l'avais enlevé à cause de soucis de connexion (souvent chiant pour faire des jeux en lan comme war3 qui est assez capricieux)
et aussi parceque généralement ça fait pas mal ramer mon PC après.

Donc si j'installe avast, ça va pas me faire ramer ?
La dernière fois je ne sais plus ce que j'avais (un parapluie rouge, c'est tout ce dont je me souviens) et ça pompait beaucoup en ressources, c'était un des plus gros process.

J'ai fini Malwarebytes et il reste 2 éléments, voici le rapport :

https://pjjoint.malekal.com/files.php?id=20121210_k8h5h5q6i9
0
Syri Messages postés 160 Date d'inscription mardi 5 août 2008 Statut Membre Dernière intervention 24 mars 2023 3
10 déc. 2012 à 16:59
bon ok, je vais tenter avec Avast, et j'ai installé la liste d'HOSTS.
Pour les mises à jour, j'essaye de rester à jour.

Merci pour ton aide ^^
0