Double accents circonflexes sur un autre ordi (virus Zbot?)
Résolu/Fermé
tivascot
Messages postés
9
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
4 avril 2013
-
4 avril 2013 à 15:43
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 avril 2013 à 16:51
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 avril 2013 à 16:51
A voir également:
- Double accents circonflexes sur un autre ordi (virus Zbot?)
- Double ecran - Guide
- Whatsapp double sim - Guide
- Mon ordi rame que faire - Guide
- Comment reinitialiser un ordi - Guide
- Ordi ecran noir - Guide
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 4/04/2013 à 16:36
Modifié par Malekal_morte- le 4/04/2013 à 16:36
oui sauf que Zbot, c'est un stealer, donc là tous les mots de passe ont été volés, ceux qui ont été tapés et ceux sont stockés dans les navigateurs WEB.
Faut les changer.
D'autre part, ça semble être une très vieille variante vu les détections : https://www.virustotal.com/gui/file/b311f7217194d3612a17c080522ca65c8271d0eb3763e44c5d4fc45f815b89be
SHA256: b311f7217194d3612a17c080522ca65c8271d0eb3763e44c5d4fc45f815b89be
Nom du fichier : OOBEBALN.EXE
Ratio de détection : 30 / 46
Date d'analyse : 2013-04-04 14:33:26 UTC (il y a 0 minute)
C'est balo que vous aillez norton, car c'est l'un des seuls à pas le détecter :
Symantec - 20130404
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faut les changer.
D'autre part, ça semble être une très vieille variante vu les détections : https://www.virustotal.com/gui/file/b311f7217194d3612a17c080522ca65c8271d0eb3763e44c5d4fc45f815b89be
SHA256: b311f7217194d3612a17c080522ca65c8271d0eb3763e44c5d4fc45f815b89be
Nom du fichier : OOBEBALN.EXE
Ratio de détection : 30 / 46
Date d'analyse : 2013-04-04 14:33:26 UTC (il y a 0 minute)
C'est balo que vous aillez norton, car c'est l'un des seuls à pas le détecter :
Symantec - 20130404
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 4/04/2013 à 15:50
Modifié par Malekal_morte- le 4/04/2013 à 15:50
Salut,
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-585580582-500134440-1990678075-1118..\Run: [{45C64CCF-1E3A-AD41-4D7F-793B68905A26}] C:\Users\grattepanche\AppData\Roaming\Uzefuj\ohomy.exe (§¬§à§â§á§à§â§Ñ§è§Ú§ñ §®§Ñ§Û§Ü§â§à§ã§à§æ§ä)
O4 - Startup: C:\Users\grattepanche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Outlook 2010 (2).lnk = C:\Windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe ()
[2013/04/04 14:57:53 | 000,022,000 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013/04/04 14:57:53 | 000,022,000 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/11/07 08:07:15 | 000,000,000 | ---D | M] -- C:\Users\grattepanche\AppData\Roaming\Uzefuj
:files
C:\Users\grattepanche\AppData\Roaming\Uzefuj\
* redemarre le pc sous windows et poste le rapport ici
~~
Zip le dossier C:\_OTL et envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-585580582-500134440-1990678075-1118..\Run: [{45C64CCF-1E3A-AD41-4D7F-793B68905A26}] C:\Users\grattepanche\AppData\Roaming\Uzefuj\ohomy.exe (§¬§à§â§á§à§â§Ñ§è§Ú§ñ §®§Ñ§Û§Ü§â§à§ã§à§æ§ä)
O4 - Startup: C:\Users\grattepanche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Outlook 2010 (2).lnk = C:\Windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe ()
[2013/04/04 14:57:53 | 000,022,000 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013/04/04 14:57:53 | 000,022,000 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/11/07 08:07:15 | 000,000,000 | ---D | M] -- C:\Users\grattepanche\AppData\Roaming\Uzefuj
:files
C:\Users\grattepanche\AppData\Roaming\Uzefuj\
* redemarre le pc sous windows et poste le rapport ici
~~
Zip le dossier C:\_OTL et envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
tivascot
Messages postés
9
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
4 avril 2013
4 avril 2013 à 16:03
4 avril 2013 à 16:03
Merci pour la réponse ultra rapide. Par contre, le problème est plutôt que je n'arrive pas du tout à faire d'accent. Quand je tape sur la touche "accent circonflexe" puis la lettre "e", ça écrit juste "e" et pas "ê"...
Le problème existe toujours malgré la correction...
Voici le rapport :
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-585580582-500134440-1990678075-1118\Software\Microsoft\Windows\CurrentVersion\Run\\{45C64CCF-1E3A-AD41-4D7F-793B68905A26} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45C64CCF-1E3A-AD41-4D7F-793B68905A26}\ not found.
C:\Users\grattepanche\AppData\Roaming\Uzefuj\ohomy.exe moved successfully.
C:\Users\grattepanche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Outlook 2010 (2).lnk moved successfully.
C:\Windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe moved successfully.
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 moved successfully.
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04042013_155155
Le problème existe toujours malgré la correction...
Voici le rapport :
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-585580582-500134440-1990678075-1118\Software\Microsoft\Windows\CurrentVersion\Run\\{45C64CCF-1E3A-AD41-4D7F-793B68905A26} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45C64CCF-1E3A-AD41-4D7F-793B68905A26}\ not found.
C:\Users\grattepanche\AppData\Roaming\Uzefuj\ohomy.exe moved successfully.
C:\Users\grattepanche\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Outlook 2010 (2).lnk moved successfully.
C:\Windows\Installer\{90140000-0011-0000-0000-0000000FF1CE}\outicon.exe moved successfully.
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 moved successfully.
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04042013_155155
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
4 avril 2013 à 16:08
4 avril 2013 à 16:08
Est-ce que cela est résolu après correction OTL et redémarrage du PC ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tivascot
Messages postés
9
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
4 avril 2013
4 avril 2013 à 16:18
4 avril 2013 à 16:18
Je crois que j'ai la connexion à distance qui me joue des tours. En effet, je ne suis pas devant l'ordinateur problématique et je le prend en main à distance avec le logiciel IdealAdmin. D'où je suis, je suis obligé de taper deux fois sur la touche "accent circonflexe" puis la lettre "e" pour afficher un "ê", de même, si je veux afficher deux accents circonflexes à la suite ("^^"), je suis obligé de taper 4 fois sur la touche. Je contacte une personne qui peut faire le test directement sur le PC car je ne sais pas si mon problème est dû à la connexion à distance ou si c'est encore un vrai problème.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
4 avril 2013 à 16:21
4 avril 2013 à 16:21
Quoiqu'il en soit, le PC est infecté et effectivement y a Zbot.
Les prob d'accents circonflexes peuvent être des symptômes (keylogger).
Zip le dossier C:\_OTL et envoie le zip sur http://upload.malekal.com
Refais un scan OTL et donne le rapport pjjoint pour voir.
Les prob d'accents circonflexes peuvent être des symptômes (keylogger).
Zip le dossier C:\_OTL et envoie le zip sur http://upload.malekal.com
Refais un scan OTL et donne le rapport pjjoint pour voir.
tivascot
Messages postés
9
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
4 avril 2013
4 avril 2013 à 16:35
4 avril 2013 à 16:35
Voilà, j'ai envoyé le rapport _OTL.zip. Je viens d'avoir confirmation par une personne devant l'ordinateur que le problème est bien résolu. Donc c'est parfait! Merci beaucoup pour vos réponses rapides.
tivascot
Messages postés
9
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
4 avril 2013
4 avril 2013 à 16:49
4 avril 2013 à 16:49
Ce sont nos PC professionnels, on n'a pas trop le choix de l'antivirus. Je viens de prévenir l'utilisateur (qui par ailleurs est un directeur de l'entreprise) de changer ces mots de passe à tout niveau. Encore merci!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 4/04/2013 à 16:52
Modifié par Malekal_morte- le 4/04/2013 à 16:52
Pour information, il y a des variantes de Zbot qui touchent les entreprises depuis quelques mois, tu n'es pas le premier sujet dans ce cas.
Souvent, y a pas qu'un seul PC de touché.
c'est souvent c'est une 20e de machines.
Le Hic, c'est que si Symantec ne le détecte pas, vous êtes peut-être pas au courant si d'autres PC sont infectés (surtout si y a pas le prb d'accent circonflexe).
J'ai envoyé les fichiers aux antivirus, faut espérer que Symantec fasse son taf.
Y a des chances que des documents ont aussi été volés.
Souvent, y a pas qu'un seul PC de touché.
c'est souvent c'est une 20e de machines.
Le Hic, c'est que si Symantec ne le détecte pas, vous êtes peut-être pas au courant si d'autres PC sont infectés (surtout si y a pas le prb d'accent circonflexe).
J'ai envoyé les fichiers aux antivirus, faut espérer que Symantec fasse son taf.
Y a des chances que des documents ont aussi été volés.
