Virus double accent circonflexe "^^"
Résolu/Fermé
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
-
10 avril 2013 à 19:51
Thomas - 12 déc. 2013 à 12:05
Thomas - 12 déc. 2013 à 12:05
Bonjour,
Je suis nouveau sur ce Forum
Depuis quelques jours je pense être infecté par un virus.
J'obtient l'affichage direct de 2 accents "^^" quand j'appuie 1seule fois sur la touche "^"
(touche à à côté du p). Même comportement pour le Tréma : ¨¨
Par exemple si j'essaye de saisir un (ê) avec les 2 touches successives "^" + "e" j'obtient à l'écran "^^e" au lieu du caractère "ê" attendu
(remarque : tout les caractères accentués "ê" "û" .... présents dans mon message proviennent d'autres documents car il m'est à présent impossible de les générer à partit de mon clavier.
C'est bien bien sûr très énervant de ne plus pouvoir saisir ces caractère directement .
Mais plus grave je crains surtout qu'il s'agisse d'un logiciel espion capable de dupliquer tous les caractères saisis au clavier pour récupérer des info personnelles lors de leur saisie (password, codes bancaires saisis lors d'achat internet ...).
J'ai pris les devant en téléchargeant et en éxécutant ZHPDiag avec un Rapport de ZHPDiag v2013.docx sauvé sous Word pour garder la mise en page et les caractère en couleur (il y a des lignes en rouge)
Merci d'avance de votre aide et de m'indiquer comment vous faire parvenir ce rapport
Ma config est window XP Pro version 35.1 service pack3 et mon ordinateur est un DellD630.
J'utilise Internet Explorer 8.0 et Mozilla firefox
Je suis nouveau sur ce Forum
Depuis quelques jours je pense être infecté par un virus.
J'obtient l'affichage direct de 2 accents "^^" quand j'appuie 1seule fois sur la touche "^"
(touche à à côté du p). Même comportement pour le Tréma : ¨¨
Par exemple si j'essaye de saisir un (ê) avec les 2 touches successives "^" + "e" j'obtient à l'écran "^^e" au lieu du caractère "ê" attendu
(remarque : tout les caractères accentués "ê" "û" .... présents dans mon message proviennent d'autres documents car il m'est à présent impossible de les générer à partit de mon clavier.
C'est bien bien sûr très énervant de ne plus pouvoir saisir ces caractère directement .
Mais plus grave je crains surtout qu'il s'agisse d'un logiciel espion capable de dupliquer tous les caractères saisis au clavier pour récupérer des info personnelles lors de leur saisie (password, codes bancaires saisis lors d'achat internet ...).
J'ai pris les devant en téléchargeant et en éxécutant ZHPDiag avec un Rapport de ZHPDiag v2013.docx sauvé sous Word pour garder la mise en page et les caractère en couleur (il y a des lignes en rouge)
Merci d'avance de votre aide et de m'indiquer comment vous faire parvenir ce rapport
Ma config est window XP Pro version 35.1 service pack3 et mon ordinateur est un DellD630.
J'utilise Internet Explorer 8.0 et Mozilla firefox
A voir également:
- Accent circonflexe seul
- Comment faire un accent circonflexe sur un clavier azerty ✓ - Forum Windows Vista
- Mettre un accent circonflexe sur clavier azerty ✓ - Forum Clavier
- Comment mettre l'accent circonflexe sur e ou ✓ - Forum Réseaux sociaux
- O majuscule accent circonflexe - Guide
- Dans le texte, un seul mot a réellement été écrit en lettres capitales (majuscules). quel est ce mot ? - Forum Word
17 réponses
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
14 avril 2013 à 17:01
14 avril 2013 à 17:01
ok thx
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Utilisateur anonyme
10 avril 2013 à 19:57
10 avril 2013 à 19:57
Bonsoir
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
10 avril 2013 à 21:44
10 avril 2013 à 21:44
merci guillaume de cette réponse ultra rapide
J'ai exécuté ADW en suppression. Effectivement pas mal d'élément ont été trouvés et supprimés
Je ne sait pas comment te poster le rapport AdwCleaner sur le forum
Peut tu m'indiquer comment procéder
Merci d'avance
J'ai exécuté ADW en suppression. Effectivement pas mal d'élément ont été trouvés et supprimés
Je ne sait pas comment te poster le rapport AdwCleaner sur le forum
Peut tu m'indiquer comment procéder
Merci d'avance
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
10 avril 2013 à 22:08
10 avril 2013 à 22:08
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 20:57:10
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Program Files\ICQ6Toolbar
Dossier Supprimé : C:\Program Files\Protected Search
Dossier Supprimé : C:\Program Files\Red Sky
Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Fichier Supprimé : C:\WINDOWS\Tasks\Protected Search.job
Fichier Supprimé : D:\END
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\ProtectedSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clé Supprimée : HKLM\Software\pdfforge.org
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7297 octets] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octets] ##########
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Program Files\ICQ6Toolbar
Dossier Supprimé : C:\Program Files\Protected Search
Dossier Supprimé : C:\Program Files\Red Sky
Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Fichier Supprimé : C:\WINDOWS\Tasks\Protected Search.job
Fichier Supprimé : D:\END
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\ProtectedSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clé Supprimée : HKLM\Software\pdfforge.org
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7297 octets] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octets] ##########
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
10 avril 2013 à 22:10
10 avril 2013 à 22:10
j'ai relancé après reboot une 2ème fois ADW il encore supprimé quelquechose
voici le 2ème rapport
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 21:23:41
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7426 octets] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 octets] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 octets] ##########
voici le 2ème rapport
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 21:23:41
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7426 octets] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 octets] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 octets] ##########
Utilisateur anonyme
10 avril 2013 à 22:22
10 avril 2013 à 22:22
Re
Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
Modifié par luc92 le 11/04/2013 à 17:01
Modifié par luc92 le 11/04/2013 à 17:01
Bonjour Guillaume
Je n'arrive pas à me connecter au site https://www.malwarebytes.com/
( je suis automatiquement envoyé transitoirement sur le lien [http://failsafe.fp.yahoo.com/404.html
qui après quelques secondes me renvoi vers http://failsafe.fp.yahoo.com/. )
Par contre je l'ai trouvé sur un lien http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la version est du 10/04/2013. Sur cette page tu trouve le descriptif et plusieurs serveurs: Nom du logiciel téléchargé :
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Je vais l'installer et l'exécuter en appliquant tes instructions puis je te post le résultat
encore merci
Je n'arrive pas à me connecter au site https://www.malwarebytes.com/
( je suis automatiquement envoyé transitoirement sur le lien [http://failsafe.fp.yahoo.com/404.html
qui après quelques secondes me renvoi vers http://failsafe.fp.yahoo.com/. )
Par contre je l'ai trouvé sur un lien http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la version est du 10/04/2013. Sur cette page tu trouve le descriptif et plusieurs serveurs: Nom du logiciel téléchargé :
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Je vais l'installer et l'exécuter en appliquant tes instructions puis je te post le résultat
encore merci
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
11 avril 2013 à 22:31
11 avril 2013 à 22:31
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 501580
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 501580
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.
(fin)
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 00:09
12 avril 2013 à 00:09
Bonsoir Guillaume
je complète mon post ci-dessus validé un peu rapidement (avec seulement le copier/coller du rapport Malwarebytes).
Ce rapport signale un fichier contenant un RiskWare.Tool.HCK qu'il a mis en quarantaine et éliminé.
Malgré cela le problème de double accent perdure meme après reboot de la machine
Ce fichier trainait depuis plusieur mois sur mon PC (venant d'une clé USB) j'ai pu donc etre contaminé en essayant de m'en servir.
Mais l'utisation de ce fichier date de plusieur mois alors que mon problème de double accent est apparu il y a quelque jour fin mars début avril (du moins c'est là que je m'en suis aperçu)
C'est à dire que celà coincide à peu près avec la date de mon instal de Mozilla fire fox mi -mars 2013 et de certains add on qui ont déclenché un mise à jour de ma version de Java.....
Je suspecte aussi adobe 9.54 dont une mise à jour récente (28/03/2013) est intitulée "Adobe reader 9.5.4-CPSID_83708" ???
Cette mise à jour est dans la liste du paneau de configuration (ajout/suppression de programme) avec le statut "installée" et une mention "cette mise à jour ne peut pas etre supprimée" sur la ligne juste en dessous de la version courante Adobe Reader 9.5.4 (qui elle possède l'option modifier ou supprimer)
Autre suspect flash player dont je vois 2 lignes dans la liste de programme du panneau de configuration:
- 1 ligne Adobe flash player 11 Active X
- et 1 ligne Adobe flash player 11 plug in
Alors que je ne trouve aucune commande dans menu démarrer pour lancer flash player
Peut etre faut -il déinstaller Adobe et flash player ?
merci de ton aide
je complète mon post ci-dessus validé un peu rapidement (avec seulement le copier/coller du rapport Malwarebytes).
Ce rapport signale un fichier contenant un RiskWare.Tool.HCK qu'il a mis en quarantaine et éliminé.
Malgré cela le problème de double accent perdure meme après reboot de la machine
Ce fichier trainait depuis plusieur mois sur mon PC (venant d'une clé USB) j'ai pu donc etre contaminé en essayant de m'en servir.
Mais l'utisation de ce fichier date de plusieur mois alors que mon problème de double accent est apparu il y a quelque jour fin mars début avril (du moins c'est là que je m'en suis aperçu)
C'est à dire que celà coincide à peu près avec la date de mon instal de Mozilla fire fox mi -mars 2013 et de certains add on qui ont déclenché un mise à jour de ma version de Java.....
Je suspecte aussi adobe 9.54 dont une mise à jour récente (28/03/2013) est intitulée "Adobe reader 9.5.4-CPSID_83708" ???
Cette mise à jour est dans la liste du paneau de configuration (ajout/suppression de programme) avec le statut "installée" et une mention "cette mise à jour ne peut pas etre supprimée" sur la ligne juste en dessous de la version courante Adobe Reader 9.5.4 (qui elle possède l'option modifier ou supprimer)
Autre suspect flash player dont je vois 2 lignes dans la liste de programme du panneau de configuration:
- 1 ligne Adobe flash player 11 Active X
- et 1 ligne Adobe flash player 11 plug in
Alors que je ne trouve aucune commande dans menu démarrer pour lancer flash player
Peut etre faut -il déinstaller Adobe et flash player ?
merci de ton aide
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 19:54
12 avril 2013 à 19:54
Bonjour Guilaume
J'ai finalement résolu mon problème
J'étais infecté par le Trojan.Zbot.FS.
Résultat : Je n'ai plus de doublonnage des caractères inertes (comme les accents et les trémas) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier.
Oubli mon rapport précédent déposé hier car celui-ci exécuté en mode normal ne reflétait pas la réalité.
Je te renvoi à ma discussion avec H@ckm@n plus bas (12 avril 2013 à 18:33) où j'ai relaté en détail les difficultés rencontrées et la méthode mise en oeuvre à partir des élément que tu m'as fourni
Je relate notamment la dificulté a télécharger malwarebytes (le virus reroutant toute les tentatives de connection du navigateur à https://www.malwarebytes.com/ vers un message 404 du moteur Yahoo) et le contournement employé pour trouver une version valide et assez récente sur ton site tutorial.
J'ai du aussi contourner le fait que le virus empêche toute mise à jour proposée par le soft au lancement (en empèchant par la même méthode la connexion au site de téléchargement et en retournant un message falsifié "vous detenez la dernière base de donnée")
En mode sans échec tout change : le logiciel se mets à jour avec succès et la recherche lancée dans la foulée a abouti à la découverte suivante :
Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès Merci pour tous les élément pertinent à 100% que tu m'as fourni gràce auxquel j'ai pu m'en sortir
Voici à toutes fins utiles le rapport complet malwarebytes version BDD v2013.04.12 exécuté en mode sans échec cet APMsur mon PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.(fin)
J'ai finalement résolu mon problème
J'étais infecté par le Trojan.Zbot.FS.
Résultat : Je n'ai plus de doublonnage des caractères inertes (comme les accents et les trémas) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier.
Oubli mon rapport précédent déposé hier car celui-ci exécuté en mode normal ne reflétait pas la réalité.
Je te renvoi à ma discussion avec H@ckm@n plus bas (12 avril 2013 à 18:33) où j'ai relaté en détail les difficultés rencontrées et la méthode mise en oeuvre à partir des élément que tu m'as fourni
Je relate notamment la dificulté a télécharger malwarebytes (le virus reroutant toute les tentatives de connection du navigateur à https://www.malwarebytes.com/ vers un message 404 du moteur Yahoo) et le contournement employé pour trouver une version valide et assez récente sur ton site tutorial.
J'ai du aussi contourner le fait que le virus empêche toute mise à jour proposée par le soft au lancement (en empèchant par la même méthode la connexion au site de téléchargement et en retournant un message falsifié "vous detenez la dernière base de donnée")
En mode sans échec tout change : le logiciel se mets à jour avec succès et la recherche lancée dans la foulée a abouti à la découverte suivante :
Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès Merci pour tous les élément pertinent à 100% que tu m'as fourni gràce auxquel j'ai pu m'en sortir
Voici à toutes fins utiles le rapport complet malwarebytes version BDD v2013.04.12 exécuté en mode sans échec cet APMsur mon PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.(fin)
totodunet
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
199
Modifié par totodunet le 11/04/2013 à 22:40
Modifié par totodunet le 11/04/2013 à 22:40
l'histoire du virus je doute plus que fort que ce soit ça :)
petit problème de clavier à configurer je pense^^^ oups un de trop!
Qui ne tente rien n'a rien
petit problème de clavier à configurer je pense^^^ oups un de trop!
Qui ne tente rien n'a rien
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 00:14
12 avril 2013 à 00:14
Bonsoir
Je suis certain de ne taper la touche ^ qu'une seule fois
Je serais soulgé de savoir que la config du clavier peut produire un tel comortement anormal
Sais tu s'il y a un moyen d'action sur le clavier
Je suis certain de ne taper la touche ^ qu'une seule fois
Je serais soulgé de savoir que la config du clavier peut produire un tel comortement anormal
Sais tu s'il y a un moyen d'action sur le clavier
totodunet
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
199
12 avril 2013 à 09:35
12 avril 2013 à 09:35
ce problème a été abordé dans un autre forum mais ne donne pas de véritables solutions : http://forum.bepo.fr/viewtopic.php?id=159
mais regarde aussi ici : http://forum.bepo.fr/viewtopic.php?pid=6
il y a de fortes chances que ce soit la configuration logicielle
mais regarde aussi ici : http://forum.bepo.fr/viewtopic.php?pid=6
il y a de fortes chances que ce soit la configuration logicielle
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 18:52
12 avril 2013 à 18:52
Merci pour tes sugestions du post ci-dessus et plus loin (12 avril 2013 à 14:29)
J'ai pu résoudre le Pb en lançant Malwarebytes en mode sans echec (voir échange avec H@ckm@n plus bas)
le virus est le Trojan.Zbot.FS
Merci pour ton aide
J'ai pu résoudre le Pb en lançant Malwarebytes en mode sans echec (voir échange avec H@ckm@n plus bas)
le virus est le Trojan.Zbot.FS
Merci pour ton aide
totodunet
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
199
12 avril 2013 à 20:15
12 avril 2013 à 20:15
pas de quoi, désolé quand même d'avoir donné des fausses pistes. je n'aurais jamais pensé qu'une infection pourrait se manifestait de telle sorte
totodunet
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
199
12 avril 2013 à 20:38
12 avril 2013 à 20:38
tu as quoi comme antivirus sinon ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
12 avril 2013 à 02:22
12 avril 2013 à 02:22
salut c'est bien une infection qui fait ca
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
12 avril 2013 à 09:42
12 avril 2013 à 09:42
@Luc92
attends le retour de guillaume et n'ecoute personne d'autre stp
attends le retour de guillaume et n'ecoute personne d'autre stp
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 13:20
12 avril 2013 à 13:20
merci H@ckm@n
Bien compris.
Toutefois je suis quand meme interressé de savoir si tu as une idée sur la nature de la menace.
Car j'ai déjà effectué un achat fait sur internet début avril alors que le problème était déjà là
Pour le moment en début de cette semaine aucun comportement anormal de ma carte bancaire n'a été constaté par mon banquier. Mais je reste inquiet.
De plus j'ai besoin de réserver un vol prochainement en utilisant mes moyens de paiement en ligne sur portail https d'agence de voyage.
Je ne le ferai pas sans avoir la solution.
Merci à toi
A+
Bien compris.
Toutefois je suis quand meme interressé de savoir si tu as une idée sur la nature de la menace.
Car j'ai déjà effectué un achat fait sur internet début avril alors que le problème était déjà là
Pour le moment en début de cette semaine aucun comportement anormal de ma carte bancaire n'a été constaté par mon banquier. Mais je reste inquiet.
De plus j'ai besoin de réserver un vol prochainement en utilisant mes moyens de paiement en ligne sur portail https d'agence de voyage.
Je ne le ferai pas sans avoir la solution.
Merci à toi
A+
totodunet
Messages postés
1377
Date d'inscription
mercredi 18 mars 2009
Statut
Membre
Dernière intervention
5 mars 2020
199
12 avril 2013 à 14:29
12 avril 2013 à 14:29
fais quand même une mise à jour pilote de ton clavier, ça ne coûte rien d'essayer :)
pour les achats en ligne si la connexion est sécurisée tu n'as vraiment pas à t'inquiéter. tu as plus de chance d'être fraudé à Carrefour.
il n'est pas impossible que tu ait été infecté par un keylogger, normalement ton antivirus l'aurait trouvé (à moins que tu es fait une exception). Dans ce cas là le mieux c'est de ne plus rien faire sur ton PC et de tout reformater. Mais honnêtement je ne connais pas de keylogger indétectable
pour les achats en ligne si la connexion est sécurisée tu n'as vraiment pas à t'inquiéter. tu as plus de chance d'être fraudé à Carrefour.
il n'est pas impossible que tu ait été infecté par un keylogger, normalement ton antivirus l'aurait trouvé (à moins que tu es fait une exception). Dans ce cas là le mieux c'est de ne plus rien faire sur ton PC et de tout reformater. Mais honnêtement je ne connais pas de keylogger indétectable
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
12 avril 2013 à 15:21
12 avril 2013 à 15:21
refais un zhpdiag pour guillaume mais laisse-le en txt et heberge-le sur https://www.cjoint.com/ et donne le lien il te dira quoi faire
je ne peux interrrompre ne sachant exactement ce qu il a en tete
je ne peux interrrompre ne sachant exactement ce qu il a en tete
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 18:33
12 avril 2013 à 18:33
merci H@ckm@n
En fait je viens juste de résoudre le problème.
J'étais infecté par le Trojan.Zbot.FS, que j'ai pu éliminer cet APM.
Résultat : Je n'ai plus de doublonnage des caractère inertes (comme les accent et les tréma) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier (voir explication ci-dessous)
Je te résume l'historique les différent Pb et la solution qui m'a tiré d'affaire au cas où ça pourrait servir à d'autre personnes
1) Guillaume m'a demandé :
de lui poster l'analyse Malwarebytes en commençant télécharger ce soft sur un lien qu'il ma fourni https://www.malwarebytes.com/
Ensuite de lancer malwarebytes, le mettre à jour, lancer la recherche d'éléments infectieux, afficher et détruire ces éléments mis en quarantaine et finalement lui poster le rapport sur le Forum
2) ma première difficulté a d'abord été de télécharger Malwarebyte sur le lien fourni : https://www.malwarebytes.com/
Ce lien était inaccessible pour moi comme s'il était périmé me renvoyant automatiquement d'abord sur le lien http://failsafe.fp.yahoo.com/404.html puis après quelques secondes vers http://failsafe.fp.yahoo.com/. )
3) Néanmoins gràce au lien vers le tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume m'avait aussi fourni j'ai pu retrouver un lien de téléchargement Malwarebytes valide : https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
dans une version très récente :Malwarebytes V1.75.0.1300 que j'ai pu télécharger, installer et exécuter.
4) Là nouveau problème : le logiciel me signale à l'ouverture que ma version date déjà de 7 jours et me propose de procéder à une mis à jour que j'accepte. Aussitot un message apparaît " vous avez la dernière version à jour" et aucune mise à jour ne se fait.
(En fait j'ai découvert que c'est un message causé par le Trojan et que c'est aussi lui qui déroutait mon navigateur sur le 404 Yahoo à chaque tentatives de connexion vers https://www.malwarebytes.com/
5) Je me suis contenté de cette version et j'ai fait la recherche d'éléments infectieux.
Malwarebyte a révélé que j'avais un fichier .rar infecté avec RiskWare.Tool.HCK mais rien d'autre pas de clé de registre par d'élément infectieux en cours d'exécution...... Il me l'a mis en quarantaine et je l'ai supprimé . Et j'ai posté le rapport à Guillaume
6) je suis entré en relation avec totodu.net qui suspectait ma config clavier .
C'est là tu es intervenu pour me conseiller d'attendre le retour de Guillaume.
7) Aujourd'hui pour ne pas rester inactif j'ai redemarré mon ordinateur en mode sans échec. J'ai d'emblée constaté dans ce mode la disparition de la double accentuation. C'était de bon augure.
J'ai relancé Malwarebytes V1.75.0.1300. qui s'est aussitôt mis à jour sur le même message (votre base de données date de 7 jours) et contrairement à ce qui s'est passé hier en mode NORMAL a effectué avec succès les téléchargement et la mise à jour.
La recherche a abouti à la découverte suivante :
Je suis infecté par le Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès
Merci pour tes bons conseils et pour la réactivité collective sur ce Forum
PS Je poste le rapport malwarebyte effectué en mode sans échec à Guillaume et les explication que je viens de te donner
Luc
En fait je viens juste de résoudre le problème.
J'étais infecté par le Trojan.Zbot.FS, que j'ai pu éliminer cet APM.
Résultat : Je n'ai plus de doublonnage des caractère inertes (comme les accent et les tréma) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier (voir explication ci-dessous)
Je te résume l'historique les différent Pb et la solution qui m'a tiré d'affaire au cas où ça pourrait servir à d'autre personnes
1) Guillaume m'a demandé :
de lui poster l'analyse Malwarebytes en commençant télécharger ce soft sur un lien qu'il ma fourni https://www.malwarebytes.com/
Ensuite de lancer malwarebytes, le mettre à jour, lancer la recherche d'éléments infectieux, afficher et détruire ces éléments mis en quarantaine et finalement lui poster le rapport sur le Forum
2) ma première difficulté a d'abord été de télécharger Malwarebyte sur le lien fourni : https://www.malwarebytes.com/
Ce lien était inaccessible pour moi comme s'il était périmé me renvoyant automatiquement d'abord sur le lien http://failsafe.fp.yahoo.com/404.html puis après quelques secondes vers http://failsafe.fp.yahoo.com/. )
3) Néanmoins gràce au lien vers le tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume m'avait aussi fourni j'ai pu retrouver un lien de téléchargement Malwarebytes valide : https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
dans une version très récente :Malwarebytes V1.75.0.1300 que j'ai pu télécharger, installer et exécuter.
4) Là nouveau problème : le logiciel me signale à l'ouverture que ma version date déjà de 7 jours et me propose de procéder à une mis à jour que j'accepte. Aussitot un message apparaît " vous avez la dernière version à jour" et aucune mise à jour ne se fait.
(En fait j'ai découvert que c'est un message causé par le Trojan et que c'est aussi lui qui déroutait mon navigateur sur le 404 Yahoo à chaque tentatives de connexion vers https://www.malwarebytes.com/
5) Je me suis contenté de cette version et j'ai fait la recherche d'éléments infectieux.
Malwarebyte a révélé que j'avais un fichier .rar infecté avec RiskWare.Tool.HCK mais rien d'autre pas de clé de registre par d'élément infectieux en cours d'exécution...... Il me l'a mis en quarantaine et je l'ai supprimé . Et j'ai posté le rapport à Guillaume
6) je suis entré en relation avec totodu.net qui suspectait ma config clavier .
C'est là tu es intervenu pour me conseiller d'attendre le retour de Guillaume.
7) Aujourd'hui pour ne pas rester inactif j'ai redemarré mon ordinateur en mode sans échec. J'ai d'emblée constaté dans ce mode la disparition de la double accentuation. C'était de bon augure.
J'ai relancé Malwarebytes V1.75.0.1300. qui s'est aussitôt mis à jour sur le même message (votre base de données date de 7 jours) et contrairement à ce qui s'est passé hier en mode NORMAL a effectué avec succès les téléchargement et la mise à jour.
La recherche a abouti à la découverte suivante :
Je suis infecté par le Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès
Merci pour tes bons conseils et pour la réactivité collective sur ce Forum
PS Je poste le rapport malwarebyte effectué en mode sans échec à Guillaume et les explication que je viens de te donner
Luc
Utilisateur anonyme
12 avril 2013 à 18:52
12 avril 2013 à 18:52
Bonsoir luc92
L'essai en mode sans echec est une bonne idée ;-))
Poste ce rapport de Malwaresbytes ensuite tu me postes un nouveau rapport ZHPDiag;merci
@+
L'essai en mode sans echec est une bonne idée ;-))
Poste ce rapport de Malwaresbytes ensuite tu me postes un nouveau rapport ZHPDiag;merci
@+
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
Modifié par g3n-h@ckm@n le 12/04/2013 à 20:12
Modifié par g3n-h@ckm@n le 12/04/2013 à 20:12
https://forums.commentcamarche.net/forum/affich-27564553-virus-double-accent-circonflexe#21
héhé ^^ vas-y avec ton pilote clavier ^^
héhé ^^ vas-y avec ton pilote clavier ^^
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
12 avril 2013 à 20:51
12 avril 2013 à 20:51
salut guillaume :)
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
12 avril 2013 à 22:16
12 avril 2013 à 22:16
Bonsoir Guillaume
Pour ZHPDiag as tu un site fiable pour le télécharger ?
Car ma version (que j'ai supprimée) avait une icone sur 3 anormale (celle de mbr) avec un simple carré à bord bleu Window sans l'icone d'origine
Voici le rapport MALWAREBYTES
R A P P O R T M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.
(fin)
Pour ZHPDiag as tu un site fiable pour le télécharger ?
Car ma version (que j'ai supprimée) avait une icone sur 3 anormale (celle de mbr) avec un simple carré à bord bleu Window sans l'icone d'origine
Voici le rapport MALWAREBYTES
R A P P O R T M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.
(fin)
Utilisateur anonyme
Modifié par Guillaume5188 le 12/04/2013 à 22:22
Modifié par Guillaume5188 le 12/04/2013 à 22:22
Re
Un de ces liens:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Un de ces liens:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
13 avril 2013 à 11:37
13 avril 2013 à 11:37
Bonjour Guillaume
Voici le lien du rapport ZHP Diag .txt : https://www.cjoint.com/?3DnlfslRK08
A toutes fins utile voic autre lien : https://www.cjoint.com/?3DnlD1hT2MD
Version WORD du même rapport ZHPDiag (copié/collé depuis le l'affichage du Rapport par ZHPDiag) en conservant les couleurs et la mise en page de l'affichage ZHPDiag:
Pour moi le Word est plus facile à scruter visuellement par exemple
exemple ADWARE opencandy en rouge
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
ou encore l'élément "asyks.exe" en bleu (que n'a pas totalement éradiqué MalwaresBytes)
<gras>ligne o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.S.: "asyks.exe" est aussi présent ligne o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Merci et A+
Luc
Voici le lien du rapport ZHP Diag .txt : https://www.cjoint.com/?3DnlfslRK08
A toutes fins utile voic autre lien : https://www.cjoint.com/?3DnlD1hT2MD
Version WORD du même rapport ZHPDiag (copié/collé depuis le l'affichage du Rapport par ZHPDiag) en conservant les couleurs et la mise en page de l'affichage ZHPDiag:
Pour moi le Word est plus facile à scruter visuellement par exemple
exemple ADWARE opencandy en rouge
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
ou encore l'élément "asyks.exe" en bleu (que n'a pas totalement éradiqué MalwaresBytes)
<gras>ligne o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.S.: "asyks.exe" est aussi présent ligne o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Merci et A+
Luc
Utilisateur anonyme
13 avril 2013 à 14:47
13 avril 2013 à 14:47
Bonjour
je te laisse faire;alors !!!
@+
je te laisse faire;alors !!!
@+
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
13 avril 2013 à 17:25
13 avril 2013 à 17:25
Guillaume
Je souhaite bien sur continuer à profiter de tes lumières car
- Je ne connais pas la suite d'outils ZHPDiag et
- Je ne sais pas dire si mon rapport ZHPDiag est suffisant car exécuté en mode user (avec des privilèges d'administrateur) mais pas strictement en mode administrateur.
- Je ne peux de toute façon en interpréter que des bribes et n'ai aucune idée des actions en aval du rapport (Script à exécuter ZHPFix ....)
Mais fait moi confiance pour les quelques actions intermédiaire par rapport à l'évolution de la situation
<gras>
Je souhaite bien sur continuer à profiter de tes lumières car
- Je ne connais pas la suite d'outils ZHPDiag et
- Je ne sais pas dire si mon rapport ZHPDiag est suffisant car exécuté en mode user (avec des privilèges d'administrateur) mais pas strictement en mode administrateur.
- Je ne peux de toute façon en interpréter que des bribes et n'ai aucune idée des actions en aval du rapport (Script à exécuter ZHPFix ....)
Mais fait moi confiance pour les quelques actions intermédiaire par rapport à l'évolution de la situation
<gras>
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
13 avril 2013 à 17:51
13 avril 2013 à 17:51
(Suite)
Par exemple depuis mon post de rapport ZHPDiag ce matin j'ai 2 évèments importants à te signaler
1) Gràce à l'éradication (peut être provisoire) de Zbot.FS mon antivirus Microsoft Forefront Client Security s'est mis à jour ce matin.
Explication: Depuis 2-3 semaines Forefront déclarait que sa base de données de définition de virus devait être mise à jour. Si je tentait l'opération j'avais aussitôt un message "aucune mise à jour disponible" (même genre de Pb que celui rencontré avec MalwareBytes)
2) mon antivirus ainsi updaté a détecté 2 menaces:
a) Forefront confirme (comme ZHPDiag) la détection de l'ADWARE opencandy mis en quarantaine qu'il me propose d'éliminer.
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront vient de détecter un autre Trojan (pas vu je crois par ZHPDiag ce matin) TrojanClicker:Win32/Yabector.gen!B mis en quarantaine qu'il me propose d'éliminer
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
J'ai demandé à Forefront d'éliminer ces 2 éléments.
Si tu es d'accord je te fais un nouveau ZHP diag. et compte sur ton aide pour l'exploiter sous ton contrôle
1) les traces de Zbot.FS mentionnées dans le rapport de ce matin y seront sûrement encore
2) on verra si opencandy (Adware) et TrojanClicker:Win32/Yabector.gen ont disparu par l'action Forefront.
Et tu pourra alors passer l'action pour la suite des contre meeure
Espérant que tu adhère à cette démarche
Merci pour tous les résultats déjà acquis
Luc
Par exemple depuis mon post de rapport ZHPDiag ce matin j'ai 2 évèments importants à te signaler
1) Gràce à l'éradication (peut être provisoire) de Zbot.FS mon antivirus Microsoft Forefront Client Security s'est mis à jour ce matin.
Explication: Depuis 2-3 semaines Forefront déclarait que sa base de données de définition de virus devait être mise à jour. Si je tentait l'opération j'avais aussitôt un message "aucune mise à jour disponible" (même genre de Pb que celui rencontré avec MalwareBytes)
2) mon antivirus ainsi updaté a détecté 2 menaces:
a) Forefront confirme (comme ZHPDiag) la détection de l'ADWARE opencandy mis en quarantaine qu'il me propose d'éliminer.
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront vient de détecter un autre Trojan (pas vu je crois par ZHPDiag ce matin) TrojanClicker:Win32/Yabector.gen!B mis en quarantaine qu'il me propose d'éliminer
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
J'ai demandé à Forefront d'éliminer ces 2 éléments.
Si tu es d'accord je te fais un nouveau ZHP diag. et compte sur ton aide pour l'exploiter sous ton contrôle
1) les traces de Zbot.FS mentionnées dans le rapport de ce matin y seront sûrement encore
2) on verra si opencandy (Adware) et TrojanClicker:Win32/Yabector.gen ont disparu par l'action Forefront.
Et tu pourra alors passer l'action pour la suite des contre meeure
Espérant que tu adhère à cette démarche
Merci pour tous les résultats déjà acquis
Luc
Utilisateur anonyme
13 avril 2013 à 17:43
13 avril 2013 à 17:43
Re
je te propose de contacter l'administrateur de ce PC
@+
je te propose de contacter l'administrateur de ce PC
@+
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
14 avril 2013 à 07:58
14 avril 2013 à 07:58
mmmm...tu me permets Guillaume ?
Utilisateur anonyme
14 avril 2013 à 08:37
14 avril 2013 à 08:37
Salut Gen
Je t'en prie ;-)
@+
Je t'en prie ;-)
@+
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
14 avril 2013 à 18:07
14 avril 2013 à 18:07
Bonjour Guillaume
Je ne peux pas faire appel à l'administrateur car il ne pourra que réinitialiser mon poste comme indiqué dans l'explication ci-dessous (et selon moi vus les progrès accompli sur le problème posé je pense qu'il autre chose à tenter avant d'en arriver là ).
En effet j'ai déjà contacté l'admnistrateur en février c'est à dire 2 mois avant d'avoir ce problème de
double accent (qui date lui de début avril et qui a motivé mon inscription a ce Forum).
Je lui ai signalé que n'arrivais plus à mettre à jour l'antivirus Forefront depuis l'internet comme auparavant. Il ma recommandé d'utiliser l'Intranet (ce qui faute de config VPN m'a obligé à me déplacer). Mais ça a marché et l'incident était clos.
L'administrateur en a profité aussi pour me conseiller d'utiliser MalwareBytes pour résoudre moi même lesmenaces que Forefront pourrais ne pas avoir su détecter faute d'être à jour.
Il m'a aussi indiqué qu'en cas de problème non résolu (virus tenace) par Forefront et MalwareBytes à jours il ne pourrait faire mieux que réinitialiser mon poste faute de temps pour mener des investigations approfondies
Luc
Je ne peux pas faire appel à l'administrateur car il ne pourra que réinitialiser mon poste comme indiqué dans l'explication ci-dessous (et selon moi vus les progrès accompli sur le problème posé je pense qu'il autre chose à tenter avant d'en arriver là ).
En effet j'ai déjà contacté l'admnistrateur en février c'est à dire 2 mois avant d'avoir ce problème de
double accent (qui date lui de début avril et qui a motivé mon inscription a ce Forum).
Je lui ai signalé que n'arrivais plus à mettre à jour l'antivirus Forefront depuis l'internet comme auparavant. Il ma recommandé d'utiliser l'Intranet (ce qui faute de config VPN m'a obligé à me déplacer). Mais ça a marché et l'incident était clos.
L'administrateur en a profité aussi pour me conseiller d'utiliser MalwareBytes pour résoudre moi même lesmenaces que Forefront pourrais ne pas avoir su détecter faute d'être à jour.
Il m'a aussi indiqué qu'en cas de problème non résolu (virus tenace) par Forefront et MalwareBytes à jours il ne pourrait faire mieux que réinitialiser mon poste faute de temps pour mener des investigations approfondies
Luc
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
14 avril 2013 à 18:32
14 avril 2013 à 18:32
Suite
Par rapport au problème de double accent je crois qu'on est tout près du but et qu'il y a autre chose à tenter avant que je fasse appel à l'administrateur pour reformater le PC
Je suis optimiste car :
1) Le comportement de double accent est déjà résolu au moins momentanément par neutralisation du processus runtime du Trojan.Zbot.FS
2) Reste à péréniser ce succès au maximun en éliminant les trace résiduelles que le rapport ZHPdiag décèle encore.
Je trouve que c'est bien parti car la neutralistion de Zbot.FS a aussi permis la mise à jour via internet de Forefront
Forefront une fois à jour est muni de tous les privilège nécessaire et ainsi a pu éliminer l'autre infection TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag exécuté en mode user n'est peut être pas à même de voir).
Les 2 approches Forefront et ZHPDiag se complètent donc un peu comme (MawareByte + ZHPDiag )
Après le travail de Forefront effectué ce matin je te propose donc de t'envoyer si tu en est d'accord le nouveau rapport ZHPDiag lancé après le travail d'éradication de Forefront
Tu pourrais me piloter pour éliminer les éléments (clé de registre ou autre) liès à Zbot.FS (asyks.exe), opencandy ou autre si tu en vois signalé par ZHPDiag
Il y a aussi un certain nombre de ligne bleue (clé orpheline, not.file , ...) qui peuvent signaliser une optimisation possible du registre
Merci encore pour tes conseils
Luc
Par rapport au problème de double accent je crois qu'on est tout près du but et qu'il y a autre chose à tenter avant que je fasse appel à l'administrateur pour reformater le PC
Je suis optimiste car :
1) Le comportement de double accent est déjà résolu au moins momentanément par neutralisation du processus runtime du Trojan.Zbot.FS
2) Reste à péréniser ce succès au maximun en éliminant les trace résiduelles que le rapport ZHPdiag décèle encore.
Je trouve que c'est bien parti car la neutralistion de Zbot.FS a aussi permis la mise à jour via internet de Forefront
Forefront une fois à jour est muni de tous les privilège nécessaire et ainsi a pu éliminer l'autre infection TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag exécuté en mode user n'est peut être pas à même de voir).
Les 2 approches Forefront et ZHPDiag se complètent donc un peu comme (MawareByte + ZHPDiag )
Après le travail de Forefront effectué ce matin je te propose donc de t'envoyer si tu en est d'accord le nouveau rapport ZHPDiag lancé après le travail d'éradication de Forefront
Tu pourrais me piloter pour éliminer les éléments (clé de registre ou autre) liès à Zbot.FS (asyks.exe), opencandy ou autre si tu en vois signalé par ZHPDiag
Il y a aussi un certain nombre de ligne bleue (clé orpheline, not.file , ...) qui peuvent signaliser une optimisation possible du registre
Merci encore pour tes conseils
Luc
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
14 avril 2013 à 18:43
14 avril 2013 à 18:43
hello ca se passe en dessous
luc92
Messages postés
23
Date d'inscription
mercredi 10 janvier 2007
Statut
Membre
Dernière intervention
17 mars 2018
17 avril 2013 à 09:55
17 avril 2013 à 09:55
Bonjour Homerlulu
je n'ai aucun doute sur ce point.
D'autant que j'ai été particulièrement bien conseillé par G3n et Guillaume.
J'ai plutôt des doute sur ma capacité à prendre les bonnes décisions dans le cadre de l'exécution de ZHPDiag (ou P-s qui m'a l'air encore plus incursif) pour certaine suppressions.
De plus il faut que tu saches que j'ai un ordinateur Dell sur lequel il peut être irréversible de toucher par exemple au MBR comme pourrait le faire la suite ZHPdiag. Empèchant par la suite tout retour à la config usine.
Or c'est seulement sur cette config usine que peut opérer le DVD master de réinitialisation de mon poste
J'ai possibilté simple d'éliminer tous virus ou suspicion de virus c'est de reconfigurer le poste avec le DVD.
Merci de ton message
@+
Luc
je n'ai aucun doute sur ce point.
D'autant que j'ai été particulièrement bien conseillé par G3n et Guillaume.
J'ai plutôt des doute sur ma capacité à prendre les bonnes décisions dans le cadre de l'exécution de ZHPDiag (ou P-s qui m'a l'air encore plus incursif) pour certaine suppressions.
De plus il faut que tu saches que j'ai un ordinateur Dell sur lequel il peut être irréversible de toucher par exemple au MBR comme pourrait le faire la suite ZHPdiag. Empèchant par la suite tout retour à la config usine.
Or c'est seulement sur cette config usine que peut opérer le DVD master de réinitialisation de mon poste
J'ai possibilté simple d'éliminer tous virus ou suspicion de virus c'est de reconfigurer le poste avec le DVD.
Merci de ton message
@+
Luc
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
17 avril 2013 à 10:27
17 avril 2013 à 10:27
hello
zhpdiag tout comme pre_scan , ne touchent au MBR que si on leur demande dans un scipt :)
zhpdiag tout comme pre_scan , ne touchent au MBR que si on leur demande dans un scipt :)
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
18 août 2013 à 20:31
18 août 2013 à 20:31
salut ouvre un nouveau sujet tu dois avoir d'autres choses , avec le lien du rapport pour qu on puisse voir ce qui a été fait par l outil
meme symptome, pas detecté par sophos mais par F-secure:
Variant.symmi.29672
un .exe dans le appData\roaming du profil utilisateur, mais aussi peut etre des fichiers généré automatiquement (ex : ykruo.nui)
Variant.symmi.29672
un .exe dans le appData\roaming du profil utilisateur, mais aussi peut etre des fichiers généré automatiquement (ex : ykruo.nui)
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
11 sept. 2013 à 16:10
11 sept. 2013 à 16:10
oui mais ton fichier ykruo.nui se trouve dans :
c:\users\ta session\appdata\local\<dossier aléatoire>\ykruo.nui
c:\users\ta session\appdata\local\<dossier aléatoire>\ykruo.nui
marinouss
Messages postés
1
Date d'inscription
vendredi 15 novembre 2013
Statut
Membre
Dernière intervention
15 novembre 2013
15 nov. 2013 à 18:24
15 nov. 2013 à 18:24
Merci, sa fesait des mois que je chercher à suprimser des logiciels malveillants sans y parvenir, c'est désormait chose faite!
# AdwCleaner v3.012 - Rapport créé le 15/11/2013 à 18:16:15
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marin - MARIN-TOSH
# Exécuté depuis : C:\Users\Marin\Desktop\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Program Files (x86)\Pass-Widget
Dossier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Fichier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Raccourcis ] *****
***** [ Registre ] *****
***** [ Navigateurs ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 octets] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 octets] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 octets] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 octets] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 octets] ##########
# AdwCleaner v3.012 - Rapport créé le 15/11/2013 à 18:16:15
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marin - MARIN-TOSH
# Exécuté depuis : C:\Users\Marin\Desktop\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Program Files (x86)\Pass-Widget
Dossier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Fichier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Raccourcis ] *****
***** [ Registre ] *****
***** [ Navigateurs ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 octets] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 octets] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 octets] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 octets] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 octets] ##########
nicodico
Messages postés
36
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
8 juillet 2022
25 nov. 2013 à 16:48
25 nov. 2013 à 16:48
Bonjour,
Je reviens vers votre forum car j'ai téléchargé en effet AdwCleaner mais, contrairement à ce que j'ai lu dans le lien que vous m'avez envoyé, le logiciel ne demande pas "supprimer" d'emblée. J'ai donc fait "scanner" puis "nettoyer" et j'ai tenté de poster sur votre forum le résultat de ce travail. Mais, en l'occurence, le double tréma ^^ est toujours là (en appuyant une seule fois sur la touche, j'en ai 2 et, en plus, ils se placent avant la lettre)!
Merci de votre aide.
Je reviens vers votre forum car j'ai téléchargé en effet AdwCleaner mais, contrairement à ce que j'ai lu dans le lien que vous m'avez envoyé, le logiciel ne demande pas "supprimer" d'emblée. J'ai donc fait "scanner" puis "nettoyer" et j'ai tenté de poster sur votre forum le résultat de ce travail. Mais, en l'occurence, le double tréma ^^ est toujours là (en appuyant une seule fois sur la touche, j'en ai 2 et, en plus, ils se placent avant la lettre)!
Merci de votre aide.
16 avril 2013 à 08:59
Je n'ose pas lancer un tel logiciel qui risquerait d'altérer une configuration de mon système que je ne maîtrise pas.
Par exemple si je trouve un proxy je ne pourrai pas choisir en connaissance de cause s'il faut le garder ou le supprimer n'étant pas l'auteur de l'installation.
Pour le moment je fait n'ai fait que des rapports de diagnostic et des corrections sans impact sur le système avec des logiciel comme MalwareBytes où mon antivirus Forefront une fois à jour.
Et donc rien entrepris qui soit risqué avec un résultat au moins apparemment est exellent puisque je n'ai plus aucun des symptôme ont motivité ces investigations
Le problème est pour moi résolu du mieux possible et je compte tout simplement faire réinitialiser mon poste pour une sécurité à 100%
Ce qui permettra aussi un mise à jours de mes logiciels
En te remerciant de ton dévoument à toi ainsi qu'à Guillaume
@+
Luc
16 avril 2013 à 10:44
16 avril 2013 à 11:52
il faut savoir que P_s est aussi dangereux que ZHPDiag ou Malwarebytes....
donc sans danger.
Surtout que G3n en est le concepteur...........