Virus double accent circonflexe "^^" [Résolu/Fermé]

Signaler
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
-
 Thomas -
Bonjour,

Je suis nouveau sur ce Forum

Depuis quelques jours je pense être infecté par un virus.

J'obtient l'affichage direct de 2 accents "^^" quand j'appuie 1seule fois sur la touche "^"
(touche à à côté du p). Même comportement pour le Tréma : ¨¨

Par exemple si j'essaye de saisir un (ê) avec les 2 touches successives "^" + "e" j'obtient à l'écran "^^e" au lieu du caractère "ê" attendu
(remarque : tout les caractères accentués "ê" "û" .... présents dans mon message proviennent d'autres documents car il m'est à présent impossible de les générer à partit de mon clavier.

C'est bien bien sûr très énervant de ne plus pouvoir saisir ces caractère directement .

Mais plus grave je crains surtout qu'il s'agisse d'un logiciel espion capable de dupliquer tous les caractères saisis au clavier pour récupérer des info personnelles lors de leur saisie (password, codes bancaires saisis lors d'achat internet ...).
J'ai pris les devant en téléchargeant et en éxécutant ZHPDiag avec un Rapport de ZHPDiag v2013.docx sauvé sous Word pour garder la mise en page et les caractère en couleur (il y a des lignes en rouge)

Merci d'avance de votre aide et de m'indiquer comment vous faire parvenir ce rapport


Ma config est window XP Pro version 35.1 service pack3 et mon ordinateur est un DellD630.
J'utilise Internet Explorer 8.0 et Mozilla firefox

17 réponses

Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
ok thx

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Merci beaucoup h@ckm@n de ton soutien

Je n'ose pas lancer un tel logiciel qui risquerait d'altérer une configuration de mon système que je ne maîtrise pas.

Par exemple si je trouve un proxy je ne pourrai pas choisir en connaissance de cause s'il faut le garder ou le supprimer n'étant pas l'auteur de l'installation.

Pour le moment je fait n'ai fait que des rapports de diagnostic et des corrections sans impact sur le système avec des logiciel comme MalwareBytes où mon antivirus Forefront une fois à jour.

Et donc rien entrepris qui soit risqué avec un résultat au moins apparemment est exellent puisque je n'ai plus aucun des symptôme ont motivité ces investigations

Le problème est pour moi résolu du mieux possible et je compte tout simplement faire réinitialiser mon poste pour une sécurité à 100%

Ce qui permettra aussi un mise à jours de mes logiciels

En te remerciant de ton dévoument à toi ainsi qu'à Guillaume
@+

Luc
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
ok à très bientôt ^^
Utilisateur anonyme
Bonjour

il faut savoir que P_s est aussi dangereux que ZHPDiag ou Malwarebytes....

donc sans danger.

Surtout que G3n en est le concepteur...........

Bonsoir


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.


Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=


@+
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

merci guillaume de cette réponse ultra rapide

J'ai exécuté ADW en suppression. Effectivement pas mal d'élément ont été trouvés et supprimés

Je ne sait pas comment te poster le rapport AdwCleaner sur le forum
Peut tu m'indiquer comment procéder

Merci d'avance
Utilisateur anonyme
Re

Tu le mets ici dans ton prochain message
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 20:57:10
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\ICQ6Toolbar
Dossier Supprimé : C:\Program Files\Protected Search
Dossier Supprimé : C:\Program Files\Red Sky
Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Fichier Supprimé : C:\WINDOWS\Tasks\Protected Search.job
Fichier Supprimé : D:\END

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\ProtectedSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clé Supprimée : HKLM\Software\pdfforge.org
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0.2 (fr)

Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js

D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7297 octets] - [10/04/2013 20:57:10]

########## EOF - D:\AdwCleaner[S1].txt - [7357 octets] ##########
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

j'ai relancé après reboot une 2ème fois ADW il encore supprimé quelquechose
voici le 2ème rapport

# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 21:23:41
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech

***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v19.0.2 (fr)

Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7426 octets] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 octets] - [10/04/2013 21:23:41]

########## EOF - D:\AdwCleaner[S2].txt - [1024 octets] ##########

Re

Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonjour Guillaume
Je n'arrive pas à me connecter au site https://www.malwarebytes.com/

( je suis automatiquement envoyé transitoirement sur le lien [http://failsafe.fp.yahoo.com/404.html

qui après quelques secondes me renvoi vers http://failsafe.fp.yahoo.com/. )

Par contre je l'ai trouvé sur un lien http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la version est du 10/04/2013. Sur cette page tu trouve le descriptif et plusieurs serveurs: Nom du logiciel téléchargé :
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>

Je vais l'installer et l'exécuter en appliquant tes instructions puis je te post le résultat

encore merci
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]

11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 501580
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonsoir Guillaume

je complète mon post ci-dessus validé un peu rapidement (avec seulement le copier/coller du rapport Malwarebytes).

Ce rapport signale un fichier contenant un RiskWare.Tool.HCK qu'il a mis en quarantaine et éliminé.

Malgré cela le problème de double accent perdure meme après reboot de la machine

Ce fichier trainait depuis plusieur mois sur mon PC (venant d'une clé USB) j'ai pu donc etre contaminé en essayant de m'en servir.

Mais l'utisation de ce fichier date de plusieur mois alors que mon problème de double accent est apparu il y a quelque jour fin mars début avril (du moins c'est là que je m'en suis aperçu)

C'est à dire que celà coincide à peu près avec la date de mon instal de Mozilla fire fox mi -mars 2013 et de certains add on qui ont déclenché un mise à jour de ma version de Java.....

Je suspecte aussi adobe 9.54 dont une mise à jour récente (28/03/2013) est intitulée "Adobe reader 9.5.4-CPSID_83708" ???

Cette mise à jour est dans la liste du paneau de configuration (ajout/suppression de programme) avec le statut "installée" et une mention "cette mise à jour ne peut pas etre supprimée" sur la ligne juste en dessous de la version courante Adobe Reader 9.5.4 (qui elle possède l'option modifier ou supprimer)

Autre suspect flash player dont je vois 2 lignes dans la liste de programme du panneau de configuration:
- 1 ligne Adobe flash player 11 Active X
- et 1 ligne Adobe flash player 11 plug in
Alors que je ne trouve aucune commande dans menu démarrer pour lancer flash player

Peut etre faut -il déinstaller Adobe et flash player ?

merci de ton aide
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonjour Guilaume

J'ai finalement résolu mon problème
J'étais infecté par le Trojan.Zbot.FS.

Résultat : Je n'ai plus de doublonnage des caractères inertes (comme les accents et les trémas) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier.
Oubli mon rapport précédent déposé hier car celui-ci exécuté en mode normal ne reflétait pas la réalité.
Je te renvoi à ma discussion avec H@ckm@n plus bas (12 avril 2013 à 18:33) où j'ai relaté en détail les difficultés rencontrées et la méthode mise en oeuvre à partir des élément que tu m'as fourni

Je relate notamment la dificulté a télécharger malwarebytes (le virus reroutant toute les tentatives de connection du navigateur à https://www.malwarebytes.com/ vers un message 404 du moteur Yahoo) et le contournement employé pour trouver une version valide et assez récente sur ton site tutorial.

J'ai du aussi contourner le fait que le virus empêche toute mise à jour proposée par le soft au lancement (en empèchant par la même méthode la connexion au site de téléchargement et en retournant un message falsifié "vous detenez la dernière base de donnée")

En mode sans échec tout change : le logiciel se mets à jour avec succès et la recherche lancée dans la foulée a abouti à la découverte suivante :
Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)

-> Mis en quarantaine et supprimé avec succès
Merci pour tous les élément pertinent à 100% que tu m'as fourni gràce auxquel j'ai pu m'en sortir

Voici à toutes fins utiles le rapport complet malwarebytes version BDD v2013.04.12 exécuté en mode sans échec cet APMsur mon PC

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.12.04

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]

12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.
(fin)
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
187
l'histoire du virus je doute plus que fort que ce soit ça :)
petit problème de clavier à configurer je pense^^^ oups un de trop!

Qui ne tente rien n'a rien
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
187
pas de quoi, désolé quand même d'avoir donné des fausses pistes. je n'aurais jamais pensé qu'une infection pourrait se manifestait de telle sorte
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
187
tu as quoi comme antivirus sinon ?
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

J'ai Microsoft Forefont security de mon entreprise et il est à jour : Apparemment une vraie passoire

Sinon 'ai vraiment apprécié ton effort pour me trouver une solution

De mon côté j'ai tout de suite considéré que le comportement spécifique des caractères inertes sur clavier AZERTY français(c'est à dire des caractère qui ne s'affichent qu'à la réception d'un 2ème caractère par le driver ) pouvait révéler l'activité d'un virus conçu pour le QWERTY ignorant du traitement spécifique de ces caractère par le driver AZERTY

En dupliquant pour le transmettre tout caractère frappé au clavier le virus déclenche un double affichage ^^ totalement anormal dès la première frappe clavier du caractère inerte ^ et par ce biais se dévoile.

Sans cette faille de conception il aurait pu rester des mois invisible en dupliquant tous mes codes password, cartes de crédit, ......
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Autre info
Sur certains site de paiement sécurisé j'ai vu se déployer un solution contre ce genre de trojan
Le site refuse la frappe de caractère du clavier pour la saisie des code de carte bancaire.
Il impose de cliquer sur les cases d'un clavier virtuel pour saisir les chiffre.
En plus ces chiffre sont dans le désodre

De ce fait le PC même vérolé ne donne à manger au virus que des clic souris dont celui ci ignore la signification
Au contraire avec des frappes clavier physique le virus intercepte localement tchaque code caratère résultant des frappes.
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
187
je te posais la question parce que ça me semblait bizarre que ce genre de virus passe inaperçu. Forefront Security... je connaissais pas, l'antivirus de Microsoft que je connais c'est Essentials Security, moi j'ai Avast perso et il est super, gratuit en plus. Mais tu as aussi AVG qui est bien. Fais attention quand même parce que ça risque de se remettre si ça n'a pas été décelé.

oui la Société Générale a d'ailleurs adopté ce système pour ses clients! c'est sûr que la présence d'un malware sur le PC représente un risque en ce qui concerne les données saisies par l'utilisateur que ce soit site sécurisé ou pas. Sinon je n'ai pas de doute là dessus ayant fait de la cryptologie, que les connexions SSL sont pour l'instant sûrs et difficilement piratable du fait des longues clés de cryptage, de l'algorithme RSA... et d'autres encore. C'est pour ça que 'ai dit qu'on a plus de chance d'être fraudé à Carrefour xD, parce que les magasins enregistrent d'abord les numéros de cartes pour pouvoir ensuite après faire seulement la transaction. Avant c'était même carrément écrit sur le ticket que la caissière ramassait :)
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
salut c'est bien une infection qui fait ca
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
@Luc92

attends le retour de guillaume et n'ecoute personne d'autre stp
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

merci H@ckm@n

Bien compris.

Toutefois je suis quand meme interressé de savoir si tu as une idée sur la nature de la menace.

Car j'ai déjà effectué un achat fait sur internet début avril alors que le problème était déjà là
Pour le moment en début de cette semaine aucun comportement anormal de ma carte bancaire n'a été constaté par mon banquier. Mais je reste inquiet.

De plus j'ai besoin de réserver un vol prochainement en utilisant mes moyens de paiement en ligne sur portail https d'agence de voyage.

Je ne le ferai pas sans avoir la solution.
Merci à toi

A+
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
187
fais quand même une mise à jour pilote de ton clavier, ça ne coûte rien d'essayer :)
pour les achats en ligne si la connexion est sécurisée tu n'as vraiment pas à t'inquiéter. tu as plus de chance d'être fraudé à Carrefour.

il n'est pas impossible que tu ait été infecté par un keylogger, normalement ton antivirus l'aurait trouvé (à moins que tu es fait une exception). Dans ce cas là le mieux c'est de ne plus rien faire sur ton PC et de tout reformater. Mais honnêtement je ne connais pas de keylogger indétectable
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
refais un zhpdiag pour guillaume mais laisse-le en txt et heberge-le sur https://www.cjoint.com/ et donne le lien il te dira quoi faire

je ne peux interrrompre ne sachant exactement ce qu il a en tete
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

merci H@ckm@n

En fait je viens juste de résoudre le problème.

J'étais infecté par le Trojan.Zbot.FS, que j'ai pu éliminer cet APM.
Résultat : Je n'ai plus de doublonnage des caractère inertes (comme les accent et les tréma) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier (voir explication ci-dessous)

Je te résume l'historique les différent Pb et la solution qui m'a tiré d'affaire au cas où ça pourrait servir à d'autre personnes

1) Guillaume m'a demandé :
de lui poster l'analyse Malwarebytes en commençant télécharger ce soft sur un lien qu'il ma fourni https://www.malwarebytes.com/

Ensuite de lancer malwarebytes, le mettre à jour, lancer la recherche d'éléments infectieux, afficher et détruire ces éléments mis en quarantaine et finalement lui poster le rapport sur le Forum

2) ma première difficulté a d'abord été de télécharger Malwarebyte sur le lien fourni : https://www.malwarebytes.com/

Ce lien était inaccessible pour moi comme s'il était périmé me renvoyant automatiquement d'abord sur le lien http://failsafe.fp.yahoo.com/404.html puis après quelques secondes vers http://failsafe.fp.yahoo.com/. )

3) Néanmoins gràce au lien vers le tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume m'avait aussi fourni j'ai pu retrouver un lien de téléchargement Malwarebytes valide : https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
dans une version très récente :Malwarebytes V1.75.0.1300 que j'ai pu télécharger, installer et exécuter.

4) Là nouveau problème : le logiciel me signale à l'ouverture que ma version date déjà de 7 jours et me propose de procéder à une mis à jour que j'accepte. Aussitot un message apparaît " vous avez la dernière version à jour" et aucune mise à jour ne se fait.

(En fait j'ai découvert que c'est un message causé par le Trojan et que c'est aussi lui qui déroutait mon navigateur sur le 404 Yahoo à chaque tentatives de connexion vers https://www.malwarebytes.com/

5) Je me suis contenté de cette version et j'ai fait la recherche d'éléments infectieux.
Malwarebyte a révélé que j'avais un fichier .rar infecté avec RiskWare.Tool.HCK mais rien d'autre pas de clé de registre par d'élément infectieux en cours d'exécution...... Il me l'a mis en quarantaine et je l'ai supprimé . Et j'ai posté le rapport à Guillaume

6) je suis entré en relation avec totodu.net qui suspectait ma config clavier .
C'est là tu es intervenu pour me conseiller d'attendre le retour de Guillaume.

7) Aujourd'hui pour ne pas rester inactif j'ai redemarré mon ordinateur en mode sans échec. J'ai d'emblée constaté dans ce mode la disparition de la double accentuation. C'était de bon augure.

J'ai relancé Malwarebytes V1.75.0.1300. qui s'est aussitôt mis à jour sur le même message (votre base de données date de 7 jours) et contrairement à ce qui s'est passé hier en mode NORMAL a effectué avec succès les téléchargement et la mise à jour.

La recherche a abouti à la découverte suivante :
Je suis infecté par le Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)

-> Mis en quarantaine et supprimé avec succès

Merci pour tes bons conseils et pour la réactivité collective sur ce Forum

PS Je poste le rapport malwarebyte effectué en mode sans échec à Guillaume et les explication que je viens de te donner

Luc

Bonsoir luc92

L'essai en mode sans echec est une bonne idée ;-))

Poste ce rapport de Malwaresbytes ensuite tu me postes un nouveau rapport ZHPDiag;merci

@+
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
Utilisateur anonyme
Salut Gen ;-)
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
salut guillaume :)
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonsoir Guillaume
Pour ZHPDiag as tu un site fiable pour le télécharger ?

Car ma version (que j'ai supprimée) avait une icone sur 3 anormale (celle de mbr) avec un simple carré à bord bleu Window sans l'icone d'origine

Voici le rapport MALWAREBYTES



R A P P O R T M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.12.04

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]

12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.

(fin)
Re

Un de ces liens:

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

@+

--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonjour Guillaume

Voici le lien du rapport ZHP Diag .txt : https://www.cjoint.com/?3DnlfslRK08

A toutes fins utile voic autre lien : https://www.cjoint.com/?3DnlD1hT2MD
Version WORD du même rapport ZHPDiag (copié/collé depuis le l'affichage du Rapport par ZHPDiag) en conservant les couleurs et la mise en page de l'affichage ZHPDiag:

Pour moi le Word est plus facile à scruter visuellement par exemple
exemple ADWARE opencandy en rouge
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy

ou encore l'élément "asyks.exe" en bleu (que n'a pas totalement éradiqué MalwaresBytes)
<gras>ligne o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)


P.S.: "asyks.exe" est aussi présent ligne o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf

Merci et A+

Luc

Bonjour

je te laisse faire;alors !!!

@+
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Guillaume

Je souhaite bien sur continuer à profiter de tes lumières car
- Je ne connais pas la suite d'outils ZHPDiag et
- Je ne sais pas dire si mon rapport ZHPDiag est suffisant car exécuté en mode user (avec des privilèges d'administrateur) mais pas strictement en mode administrateur.
- Je ne peux de toute façon en interpréter que des bribes et n'ai aucune idée des actions en aval du rapport (Script à exécuter ZHPFix ....)

Mais fait moi confiance pour les quelques actions intermédiaire par rapport à l'évolution de la situation
<gras>
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

(Suite)

Par exemple depuis mon post de rapport ZHPDiag ce matin j'ai 2 évèments importants à te signaler

1) Gràce à l'éradication (peut être provisoire) de Zbot.FS mon antivirus Microsoft Forefront Client Security s'est mis à jour ce matin.

Explication: Depuis 2-3 semaines Forefront déclarait que sa base de données de définition de virus devait être mise à jour. Si je tentait l'opération j'avais aussitôt un message "aucune mise à jour disponible" (même genre de Pb que celui rencontré avec MalwareBytes)

2) mon antivirus ainsi updaté a détecté 2 menaces:

a) Forefront confirme (comme ZHPDiag) la détection de l'ADWARE opencandy mis en quarantaine qu'il me propose d'éliminer.
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633

b) Forefront vient de détecter un autre Trojan (pas vu je crois par ZHPDiag ce matin) TrojanClicker:Win32/Yabector.gen!B mis en quarantaine qu'il me propose d'éliminer

Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen

J'ai demandé à Forefront d'éliminer ces 2 éléments.

Si tu es d'accord je te fais un nouveau ZHP diag. et compte sur ton aide pour l'exploiter sous ton contrôle
1) les traces de Zbot.FS mentionnées dans le rapport de ce matin y seront sûrement encore

2) on verra si opencandy (Adware) et TrojanClicker:Win32/Yabector.gen ont disparu par l'action Forefront.
Et tu pourra alors passer l'action pour la suite des contre meeure

Espérant que tu adhère à cette démarche
Merci pour tous les résultats déjà acquis

Luc

Re

je te propose de contacter l'administrateur de ce PC

@+
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
mmmm...tu me permets Guillaume ?

Salut Gen

Je t'en prie ;-)


@+
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonjour Guillaume
Je ne peux pas faire appel à l'administrateur car il ne pourra que réinitialiser mon poste comme indiqué dans l'explication ci-dessous (et selon moi vus les progrès accompli sur le problème posé je pense qu'il autre chose à tenter avant d'en arriver là ).

En effet j'ai déjà contacté l'admnistrateur en février c'est à dire 2 mois avant d'avoir ce problème de
double accent (qui date lui de début avril et qui a motivé mon inscription a ce Forum).
Je lui ai signalé que n'arrivais plus à mettre à jour l'antivirus Forefront depuis l'internet comme auparavant. Il ma recommandé d'utiliser l'Intranet (ce qui faute de config VPN m'a obligé à me déplacer). Mais ça a marché et l'incident était clos.

L'administrateur en a profité aussi pour me conseiller d'utiliser MalwareBytes pour résoudre moi même lesmenaces que Forefront pourrais ne pas avoir su détecter faute d'être à jour.
Il m'a aussi indiqué qu'en cas de problème non résolu (virus tenace) par Forefront et MalwareBytes à jours il ne pourrait faire mieux que réinitialiser mon poste faute de temps pour mener des investigations approfondies

Luc
Utilisateur anonyme
Bonsoir

Tu fais tout et rien sur Internet et ton entreprise ne te dit rien !!!

Je te laisse dans les mains de g3n-h@ckm@n

@+
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Suite

Par rapport au problème de double accent je crois qu'on est tout près du but et qu'il y a autre chose à tenter avant que je fasse appel à l'administrateur pour reformater le PC

Je suis optimiste car :
1) Le comportement de double accent est déjà résolu au moins momentanément par neutralisation du processus runtime du Trojan.Zbot.FS
2) Reste à péréniser ce succès au maximun en éliminant les trace résiduelles que le rapport ZHPdiag décèle encore.

Je trouve que c'est bien parti car la neutralistion de Zbot.FS a aussi permis la mise à jour via internet de Forefront

Forefront une fois à jour est muni de tous les privilège nécessaire et ainsi a pu éliminer l'autre infection TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag exécuté en mode user n'est peut être pas à même de voir).

Les 2 approches Forefront et ZHPDiag se complètent donc un peu comme (MawareByte + ZHPDiag )

Après le travail de Forefront effectué ce matin je te propose donc de t'envoyer si tu en est d'accord le nouveau rapport ZHPDiag lancé après le travail d'éradication de Forefront

Tu pourrais me piloter pour éliminer les éléments (clé de registre ou autre) liès à Zbot.FS (asyks.exe), opencandy ou autre si tu en vois signalé par ZHPDiag

Il y a aussi un certain nombre de ligne bleue (clé orpheline, not.file , ...) qui peuvent signaliser une optimisation possible du registre

Merci encore pour tes conseils
Luc
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
hello ca se passe en dessous
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018

Bonjour Homerlulu

je n'ai aucun doute sur ce point.
D'autant que j'ai été particulièrement bien conseillé par G3n et Guillaume.

J'ai plutôt des doute sur ma capacité à prendre les bonnes décisions dans le cadre de l'exécution de ZHPDiag (ou P-s qui m'a l'air encore plus incursif) pour certaine suppressions.

De plus il faut que tu saches que j'ai un ordinateur Dell sur lequel il peut être irréversible de toucher par exemple au MBR comme pourrait le faire la suite ZHPdiag. Empèchant par la suite tout retour à la config usine.

Or c'est seulement sur cette config usine que peut opérer le DVD master de réinitialisation de mon poste

J'ai possibilté simple d'éliminer tous virus ou suspicion de virus c'est de reconfigurer le poste avec le DVD.

Merci de ton message

@+
Luc
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
hello

zhpdiag tout comme pre_scan , ne touchent au MBR que si on leur demande dans un scipt :)
Utilisateur anonyme
+100
merci h@ckm@n pour ta solution
avec le logiciel Pre_Scan , c'est super comme solution dans mon cas ,maintenant capable d'écrire : ç â è ï
Windows 8
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
salut ouvre un nouveau sujet tu dois avoir d'autres choses , avec le lien du rapport pour qu on puisse voir ce qui a été fait par l outil
meme symptome, pas detecté par sophos mais par F-secure:
Variant.symmi.29672
un .exe dans le appData\roaming du profil utilisateur, mais aussi peut etre des fichiers généré automatiquement (ex : ykruo.nui)
Messages postés
13228
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 avril 2021
938
oui mais ton fichier ykruo.nui se trouve dans :

c:\users\ta session\appdata\local\<dossier aléatoire>\ykruo.nui
Messages postés
1
Date d'inscription
vendredi 15 novembre 2013
Statut
Membre
Dernière intervention
15 novembre 2013

Merci, sa fesait des mois que je chercher à suprimser des logiciels malveillants sans y parvenir, c'est désormait chose faite!

# AdwCleaner v3.012 - Rapport créé le 15/11/2013 à 18:16:15
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marin - MARIN-TOSH
# Exécuté depuis : C:\Users\Marin\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Program Files (x86)\Pass-Widget
Dossier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Fichier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal

***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16736


*************************

AdwCleaner[R0].txt - [10444 octets] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 octets] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 octets] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 octets] - [15/11/2013 18:16:15]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 octets] ##########
Messages postés
35
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
24 février 2020

Bonjour,

Je reviens vers votre forum car j'ai téléchargé en effet AdwCleaner mais, contrairement à ce que j'ai lu dans le lien que vous m'avez envoyé, le logiciel ne demande pas "supprimer" d'emblée. J'ai donc fait "scanner" puis "nettoyer" et j'ai tenté de poster sur votre forum le résultat de ce travail. Mais, en l'occurence, le double tréma ^^ est toujours là (en appuyant une seule fois sur la touche, j'en ai 2 et, en plus, ils se placent avant la lettre)!

Merci de votre aide.
Le logiciel "ComboFix" fonctionne!