Virus double accent circonflexe "^^"
Résolu
luc92
Messages postés
23
Date d'inscription
Statut
Membre
Dernière intervention
-
Thomas -
Thomas -
Bonjour,
Je suis nouveau sur ce Forum
Depuis quelques jours je pense être infecté par un virus.
J'obtient l'affichage direct de 2 accents "^^" quand j'appuie 1seule fois sur la touche "^"
(touche à à côté du p). Même comportement pour le Tréma : ¨¨
Par exemple si j'essaye de saisir un (ê) avec les 2 touches successives "^" + "e" j'obtient à l'écran "^^e" au lieu du caractère "ê" attendu
(remarque : tout les caractères accentués "ê" "û" .... présents dans mon message proviennent d'autres documents car il m'est à présent impossible de les générer à partit de mon clavier.
C'est bien bien sûr très énervant de ne plus pouvoir saisir ces caractère directement .
Mais plus grave je crains surtout qu'il s'agisse d'un logiciel espion capable de dupliquer tous les caractères saisis au clavier pour récupérer des info personnelles lors de leur saisie (password, codes bancaires saisis lors d'achat internet ...).
J'ai pris les devant en téléchargeant et en éxécutant ZHPDiag avec un Rapport de ZHPDiag v2013.docx sauvé sous Word pour garder la mise en page et les caractère en couleur (il y a des lignes en rouge)
Merci d'avance de votre aide et de m'indiquer comment vous faire parvenir ce rapport
Ma config est window XP Pro version 35.1 service pack3 et mon ordinateur est un DellD630.
J'utilise Internet Explorer 8.0 et Mozilla firefox
Je suis nouveau sur ce Forum
Depuis quelques jours je pense être infecté par un virus.
J'obtient l'affichage direct de 2 accents "^^" quand j'appuie 1seule fois sur la touche "^"
(touche à à côté du p). Même comportement pour le Tréma : ¨¨
Par exemple si j'essaye de saisir un (ê) avec les 2 touches successives "^" + "e" j'obtient à l'écran "^^e" au lieu du caractère "ê" attendu
(remarque : tout les caractères accentués "ê" "û" .... présents dans mon message proviennent d'autres documents car il m'est à présent impossible de les générer à partit de mon clavier.
C'est bien bien sûr très énervant de ne plus pouvoir saisir ces caractère directement .
Mais plus grave je crains surtout qu'il s'agisse d'un logiciel espion capable de dupliquer tous les caractères saisis au clavier pour récupérer des info personnelles lors de leur saisie (password, codes bancaires saisis lors d'achat internet ...).
J'ai pris les devant en téléchargeant et en éxécutant ZHPDiag avec un Rapport de ZHPDiag v2013.docx sauvé sous Word pour garder la mise en page et les caractère en couleur (il y a des lignes en rouge)
Merci d'avance de votre aide et de m'indiquer comment vous faire parvenir ce rapport
Ma config est window XP Pro version 35.1 service pack3 et mon ordinateur est un DellD630.
J'utilise Internet Explorer 8.0 et Mozilla firefox
A voir également:
- Accent circonflexe seul
- Comment faire un accent circonflexe sur un clavier azerty ✓ - Forum Windows Vista
- Mettre un accent circonflexe sur clavier azerty ✓ - Forum Clavier
- Comment mettre l'accent circonflexe sur e ou ✓ - Forum Réseaux sociaux
- E accent minuscule - Guide
- Box sfr un seul voyant allumé - Forum SFR / NeufBox / Numéricable
17 réponses
ok thx
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Bonsoir
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=
@+
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 20:57:10
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Program Files\ICQ6Toolbar
Dossier Supprimé : C:\Program Files\Protected Search
Dossier Supprimé : C:\Program Files\Red Sky
Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Fichier Supprimé : C:\WINDOWS\Tasks\Protected Search.job
Fichier Supprimé : D:\END
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\ProtectedSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clé Supprimée : HKLM\Software\pdfforge.org
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7297 octets] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octets] ##########
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Program Files\ICQ6Toolbar
Dossier Supprimé : C:\Program Files\Protected Search
Dossier Supprimé : C:\Program Files\Red Sky
Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\DownTango
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\OpenCandy
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
Fichier Supprimé : C:\WINDOWS\Tasks\Protected Search.job
Fichier Supprimé : D:\END
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\ProtectedSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8DA8B89E-0C65-403B-8231-AB22ECFA0687}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A928E66C-F501-4E66-9953-855C712F93B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0E28FA0-DF07-44B6-95CE-48BE26DB9266}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6B4EE8F-C38E-4994-BE28-229A3F92262C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCA8936E-403A-4487-A966-70F80F1D5A6A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.Band.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.NotificationSource.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.SourceSinkImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\wtb.ToolbarInfo.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Protected Search_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protected Search_is1
Clé Supprimée : HKLM\Software\pdfforge.org
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Page] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Bar] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - Search Page] = hxxp://search.certified-toolbar.com?si=41460&tid=2938&bs=true&q= --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Default_Page_URL] = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2938 --> hxxp://www.google.com
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7297 octets] - [10/04/2013 20:57:10]
########## EOF - D:\AdwCleaner[S1].txt - [7357 octets] ##########
j'ai relancé après reboot une 2ème fois ADW il encore supprimé quelquechose
voici le 2ème rapport
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 21:23:41
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7426 octets] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 octets] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 octets] ##########
voici le 2ème rapport
# AdwCleaner v2.200 - Rapport créé le 10/04/2013 à 21:23:41
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : lvidal - L-FR-11170
# Mode de démarrage : Normal
# Exécuté depuis : D:\documents and settings\lvidal\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : D:\Documents and Settings\lvidal\Local Settings\Application Data\simplytech
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v19.0.2 (fr)
Fichier : D:\Documents and Settings\lvidal\Application Data\Mozilla\Firefox\Profiles\j0utydbv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [7426 octets] - [10/04/2013 20:57:10]
AdwCleaner[S2].txt - [965 octets] - [10/04/2013 21:23:41]
########## EOF - D:\AdwCleaner[S2].txt - [1024 octets] ##########
Re
Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Bonjour Guillaume
Je n'arrive pas à me connecter au site https://www.malwarebytes.com/
( je suis automatiquement envoyé transitoirement sur le lien [http://failsafe.fp.yahoo.com/404.html
qui après quelques secondes me renvoi vers http://failsafe.fp.yahoo.com/. )
Par contre je l'ai trouvé sur un lien http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la version est du 10/04/2013. Sur cette page tu trouve le descriptif et plusieurs serveurs: Nom du logiciel téléchargé :
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Je vais l'installer et l'exécuter en appliquant tes instructions puis je te post le résultat
encore merci
Je n'arrive pas à me connecter au site https://www.malwarebytes.com/
( je suis automatiquement envoyé transitoirement sur le lien [http://failsafe.fp.yahoo.com/404.html
qui après quelques secondes me renvoi vers http://failsafe.fp.yahoo.com/. )
Par contre je l'ai trouvé sur un lien http://www.pcastuces.com/logitheque/telechargement.asp?num=1358 la version est du 10/04/2013. Sur cette page tu trouve le descriptif et plusieurs serveurs: Nom du logiciel téléchargé :
<souligne>Malwarebytes' Anti-Malware 1.75.0.1300 9,80 Mo</souligne>
Je vais l'installer et l'exécuter en appliquant tes instructions puis je te post le résultat
encore merci
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 501580
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2013.04.04.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
11/04/2013 18:29:33
mbam-log-2013-04-11 (18-29-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 501580
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\lvidal\Clé 32_ancienne\soft\ultraedit\17.00\UltraEdit v17.00.0.1035.rar (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.
(fin)
Bonsoir Guillaume
je complète mon post ci-dessus validé un peu rapidement (avec seulement le copier/coller du rapport Malwarebytes).
Ce rapport signale un fichier contenant un RiskWare.Tool.HCK qu'il a mis en quarantaine et éliminé.
Malgré cela le problème de double accent perdure meme après reboot de la machine
Ce fichier trainait depuis plusieur mois sur mon PC (venant d'une clé USB) j'ai pu donc etre contaminé en essayant de m'en servir.
Mais l'utisation de ce fichier date de plusieur mois alors que mon problème de double accent est apparu il y a quelque jour fin mars début avril (du moins c'est là que je m'en suis aperçu)
C'est à dire que celà coincide à peu près avec la date de mon instal de Mozilla fire fox mi -mars 2013 et de certains add on qui ont déclenché un mise à jour de ma version de Java.....
Je suspecte aussi adobe 9.54 dont une mise à jour récente (28/03/2013) est intitulée "Adobe reader 9.5.4-CPSID_83708" ???
Cette mise à jour est dans la liste du paneau de configuration (ajout/suppression de programme) avec le statut "installée" et une mention "cette mise à jour ne peut pas etre supprimée" sur la ligne juste en dessous de la version courante Adobe Reader 9.5.4 (qui elle possède l'option modifier ou supprimer)
Autre suspect flash player dont je vois 2 lignes dans la liste de programme du panneau de configuration:
- 1 ligne Adobe flash player 11 Active X
- et 1 ligne Adobe flash player 11 plug in
Alors que je ne trouve aucune commande dans menu démarrer pour lancer flash player
Peut etre faut -il déinstaller Adobe et flash player ?
merci de ton aide
je complète mon post ci-dessus validé un peu rapidement (avec seulement le copier/coller du rapport Malwarebytes).
Ce rapport signale un fichier contenant un RiskWare.Tool.HCK qu'il a mis en quarantaine et éliminé.
Malgré cela le problème de double accent perdure meme après reboot de la machine
Ce fichier trainait depuis plusieur mois sur mon PC (venant d'une clé USB) j'ai pu donc etre contaminé en essayant de m'en servir.
Mais l'utisation de ce fichier date de plusieur mois alors que mon problème de double accent est apparu il y a quelque jour fin mars début avril (du moins c'est là que je m'en suis aperçu)
C'est à dire que celà coincide à peu près avec la date de mon instal de Mozilla fire fox mi -mars 2013 et de certains add on qui ont déclenché un mise à jour de ma version de Java.....
Je suspecte aussi adobe 9.54 dont une mise à jour récente (28/03/2013) est intitulée "Adobe reader 9.5.4-CPSID_83708" ???
Cette mise à jour est dans la liste du paneau de configuration (ajout/suppression de programme) avec le statut "installée" et une mention "cette mise à jour ne peut pas etre supprimée" sur la ligne juste en dessous de la version courante Adobe Reader 9.5.4 (qui elle possède l'option modifier ou supprimer)
Autre suspect flash player dont je vois 2 lignes dans la liste de programme du panneau de configuration:
- 1 ligne Adobe flash player 11 Active X
- et 1 ligne Adobe flash player 11 plug in
Alors que je ne trouve aucune commande dans menu démarrer pour lancer flash player
Peut etre faut -il déinstaller Adobe et flash player ?
merci de ton aide
Bonjour Guilaume
J'ai finalement résolu mon problème
J'étais infecté par le Trojan.Zbot.FS.
Résultat : Je n'ai plus de doublonnage des caractères inertes (comme les accents et les trémas) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier.
Oubli mon rapport précédent déposé hier car celui-ci exécuté en mode normal ne reflétait pas la réalité.
Je te renvoi à ma discussion avec H@ckm@n plus bas (12 avril 2013 à 18:33) où j'ai relaté en détail les difficultés rencontrées et la méthode mise en oeuvre à partir des élément que tu m'as fourni
Je relate notamment la dificulté a télécharger malwarebytes (le virus reroutant toute les tentatives de connection du navigateur à https://www.malwarebytes.com/ vers un message 404 du moteur Yahoo) et le contournement employé pour trouver une version valide et assez récente sur ton site tutorial.
J'ai du aussi contourner le fait que le virus empêche toute mise à jour proposée par le soft au lancement (en empèchant par la même méthode la connexion au site de téléchargement et en retournant un message falsifié "vous detenez la dernière base de donnée")
En mode sans échec tout change : le logiciel se mets à jour avec succès et la recherche lancée dans la foulée a abouti à la découverte suivante :
Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès Merci pour tous les élément pertinent à 100% que tu m'as fourni gràce auxquel j'ai pu m'en sortir
Voici à toutes fins utiles le rapport complet malwarebytes version BDD v2013.04.12 exécuté en mode sans échec cet APMsur mon PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.(fin)
J'ai finalement résolu mon problème
J'étais infecté par le Trojan.Zbot.FS.
Résultat : Je n'ai plus de doublonnage des caractères inertes (comme les accents et les trémas) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier.
Oubli mon rapport précédent déposé hier car celui-ci exécuté en mode normal ne reflétait pas la réalité.
Je te renvoi à ma discussion avec H@ckm@n plus bas (12 avril 2013 à 18:33) où j'ai relaté en détail les difficultés rencontrées et la méthode mise en oeuvre à partir des élément que tu m'as fourni
Je relate notamment la dificulté a télécharger malwarebytes (le virus reroutant toute les tentatives de connection du navigateur à https://www.malwarebytes.com/ vers un message 404 du moteur Yahoo) et le contournement employé pour trouver une version valide et assez récente sur ton site tutorial.
J'ai du aussi contourner le fait que le virus empêche toute mise à jour proposée par le soft au lancement (en empèchant par la même méthode la connexion au site de téléchargement et en retournant un message falsifié "vous detenez la dernière base de donnée")
En mode sans échec tout change : le logiciel se mets à jour avec succès et la recherche lancée dans la foulée a abouti à la découverte suivante :
Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès Merci pour tous les élément pertinent à 100% que tu m'as fourni gràce auxquel j'ai pu m'en sortir
Voici à toutes fins utiles le rapport complet malwarebytes version BDD v2013.04.12 exécuté en mode sans échec cet APMsur mon PC
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.(fin)
l'histoire du virus je doute plus que fort que ce soit ça :)
petit problème de clavier à configurer je pense^^^ oups un de trop!
Qui ne tente rien n'a rien
petit problème de clavier à configurer je pense^^^ oups un de trop!
Qui ne tente rien n'a rien
ce problème a été abordé dans un autre forum mais ne donne pas de véritables solutions : http://forum.bepo.fr/viewtopic.php?id=159
mais regarde aussi ici : http://forum.bepo.fr/viewtopic.php?pid=6
il y a de fortes chances que ce soit la configuration logicielle
mais regarde aussi ici : http://forum.bepo.fr/viewtopic.php?pid=6
il y a de fortes chances que ce soit la configuration logicielle
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
@Luc92
attends le retour de guillaume et n'ecoute personne d'autre stp
attends le retour de guillaume et n'ecoute personne d'autre stp
merci H@ckm@n
Bien compris.
Toutefois je suis quand meme interressé de savoir si tu as une idée sur la nature de la menace.
Car j'ai déjà effectué un achat fait sur internet début avril alors que le problème était déjà là
Pour le moment en début de cette semaine aucun comportement anormal de ma carte bancaire n'a été constaté par mon banquier. Mais je reste inquiet.
De plus j'ai besoin de réserver un vol prochainement en utilisant mes moyens de paiement en ligne sur portail https d'agence de voyage.
Je ne le ferai pas sans avoir la solution.
Merci à toi
A+
Bien compris.
Toutefois je suis quand meme interressé de savoir si tu as une idée sur la nature de la menace.
Car j'ai déjà effectué un achat fait sur internet début avril alors que le problème était déjà là
Pour le moment en début de cette semaine aucun comportement anormal de ma carte bancaire n'a été constaté par mon banquier. Mais je reste inquiet.
De plus j'ai besoin de réserver un vol prochainement en utilisant mes moyens de paiement en ligne sur portail https d'agence de voyage.
Je ne le ferai pas sans avoir la solution.
Merci à toi
A+
fais quand même une mise à jour pilote de ton clavier, ça ne coûte rien d'essayer :)
pour les achats en ligne si la connexion est sécurisée tu n'as vraiment pas à t'inquiéter. tu as plus de chance d'être fraudé à Carrefour.
il n'est pas impossible que tu ait été infecté par un keylogger, normalement ton antivirus l'aurait trouvé (à moins que tu es fait une exception). Dans ce cas là le mieux c'est de ne plus rien faire sur ton PC et de tout reformater. Mais honnêtement je ne connais pas de keylogger indétectable
pour les achats en ligne si la connexion est sécurisée tu n'as vraiment pas à t'inquiéter. tu as plus de chance d'être fraudé à Carrefour.
il n'est pas impossible que tu ait été infecté par un keylogger, normalement ton antivirus l'aurait trouvé (à moins que tu es fait une exception). Dans ce cas là le mieux c'est de ne plus rien faire sur ton PC et de tout reformater. Mais honnêtement je ne connais pas de keylogger indétectable
refais un zhpdiag pour guillaume mais laisse-le en txt et heberge-le sur https://www.cjoint.com/ et donne le lien il te dira quoi faire
je ne peux interrrompre ne sachant exactement ce qu il a en tete
je ne peux interrrompre ne sachant exactement ce qu il a en tete
merci H@ckm@n
En fait je viens juste de résoudre le problème.
J'étais infecté par le Trojan.Zbot.FS, que j'ai pu éliminer cet APM.
Résultat : Je n'ai plus de doublonnage des caractère inertes (comme les accent et les tréma) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier (voir explication ci-dessous)
Je te résume l'historique les différent Pb et la solution qui m'a tiré d'affaire au cas où ça pourrait servir à d'autre personnes
1) Guillaume m'a demandé :
de lui poster l'analyse Malwarebytes en commençant télécharger ce soft sur un lien qu'il ma fourni https://www.malwarebytes.com/
Ensuite de lancer malwarebytes, le mettre à jour, lancer la recherche d'éléments infectieux, afficher et détruire ces éléments mis en quarantaine et finalement lui poster le rapport sur le Forum
2) ma première difficulté a d'abord été de télécharger Malwarebyte sur le lien fourni : https://www.malwarebytes.com/
Ce lien était inaccessible pour moi comme s'il était périmé me renvoyant automatiquement d'abord sur le lien http://failsafe.fp.yahoo.com/404.html puis après quelques secondes vers http://failsafe.fp.yahoo.com/. )
3) Néanmoins gràce au lien vers le tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume m'avait aussi fourni j'ai pu retrouver un lien de téléchargement Malwarebytes valide : https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
dans une version très récente :Malwarebytes V1.75.0.1300 que j'ai pu télécharger, installer et exécuter.
4) Là nouveau problème : le logiciel me signale à l'ouverture que ma version date déjà de 7 jours et me propose de procéder à une mis à jour que j'accepte. Aussitot un message apparaît " vous avez la dernière version à jour" et aucune mise à jour ne se fait.
(En fait j'ai découvert que c'est un message causé par le Trojan et que c'est aussi lui qui déroutait mon navigateur sur le 404 Yahoo à chaque tentatives de connexion vers https://www.malwarebytes.com/
5) Je me suis contenté de cette version et j'ai fait la recherche d'éléments infectieux.
Malwarebyte a révélé que j'avais un fichier .rar infecté avec RiskWare.Tool.HCK mais rien d'autre pas de clé de registre par d'élément infectieux en cours d'exécution...... Il me l'a mis en quarantaine et je l'ai supprimé . Et j'ai posté le rapport à Guillaume
6) je suis entré en relation avec totodu.net qui suspectait ma config clavier .
C'est là tu es intervenu pour me conseiller d'attendre le retour de Guillaume.
7) Aujourd'hui pour ne pas rester inactif j'ai redemarré mon ordinateur en mode sans échec. J'ai d'emblée constaté dans ce mode la disparition de la double accentuation. C'était de bon augure.
J'ai relancé Malwarebytes V1.75.0.1300. qui s'est aussitôt mis à jour sur le même message (votre base de données date de 7 jours) et contrairement à ce qui s'est passé hier en mode NORMAL a effectué avec succès les téléchargement et la mise à jour.
La recherche a abouti à la découverte suivante :
Je suis infecté par le Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès
Merci pour tes bons conseils et pour la réactivité collective sur ce Forum
PS Je poste le rapport malwarebyte effectué en mode sans échec à Guillaume et les explication que je viens de te donner
Luc
En fait je viens juste de résoudre le problème.
J'étais infecté par le Trojan.Zbot.FS, que j'ai pu éliminer cet APM.
Résultat : Je n'ai plus de doublonnage des caractère inertes (comme les accent et les tréma) , et je ne suis plus dérouté vers Yahoo quand je me connecte sur https://www.malwarebytes.com/ comme c'était le cas hier (voir explication ci-dessous)
Je te résume l'historique les différent Pb et la solution qui m'a tiré d'affaire au cas où ça pourrait servir à d'autre personnes
1) Guillaume m'a demandé :
de lui poster l'analyse Malwarebytes en commençant télécharger ce soft sur un lien qu'il ma fourni https://www.malwarebytes.com/
Ensuite de lancer malwarebytes, le mettre à jour, lancer la recherche d'éléments infectieux, afficher et détruire ces éléments mis en quarantaine et finalement lui poster le rapport sur le Forum
2) ma première difficulté a d'abord été de télécharger Malwarebyte sur le lien fourni : https://www.malwarebytes.com/
Ce lien était inaccessible pour moi comme s'il était périmé me renvoyant automatiquement d'abord sur le lien http://failsafe.fp.yahoo.com/404.html puis après quelques secondes vers http://failsafe.fp.yahoo.com/. )
3) Néanmoins gràce au lien vers le tutorial https://forum.pcastuces.com/sujet.asp?f=31&s=3 que Guillaume m'avait aussi fourni j'ai pu retrouver un lien de téléchargement Malwarebytes valide : https://www.pcastuces.com/logitheque/telechargement.asp?num=1358
dans une version très récente :Malwarebytes V1.75.0.1300 que j'ai pu télécharger, installer et exécuter.
4) Là nouveau problème : le logiciel me signale à l'ouverture que ma version date déjà de 7 jours et me propose de procéder à une mis à jour que j'accepte. Aussitot un message apparaît " vous avez la dernière version à jour" et aucune mise à jour ne se fait.
(En fait j'ai découvert que c'est un message causé par le Trojan et que c'est aussi lui qui déroutait mon navigateur sur le 404 Yahoo à chaque tentatives de connexion vers https://www.malwarebytes.com/
5) Je me suis contenté de cette version et j'ai fait la recherche d'éléments infectieux.
Malwarebyte a révélé que j'avais un fichier .rar infecté avec RiskWare.Tool.HCK mais rien d'autre pas de clé de registre par d'élément infectieux en cours d'exécution...... Il me l'a mis en quarantaine et je l'ai supprimé . Et j'ai posté le rapport à Guillaume
6) je suis entré en relation avec totodu.net qui suspectait ma config clavier .
C'est là tu es intervenu pour me conseiller d'attendre le retour de Guillaume.
7) Aujourd'hui pour ne pas rester inactif j'ai redemarré mon ordinateur en mode sans échec. J'ai d'emblée constaté dans ce mode la disparition de la double accentuation. C'était de bon augure.
J'ai relancé Malwarebytes V1.75.0.1300. qui s'est aussitôt mis à jour sur le même message (votre base de données date de 7 jours) et contrairement à ce qui s'est passé hier en mode NORMAL a effectué avec succès les téléchargement et la mise à jour.
La recherche a abouti à la découverte suivante :
Je suis infecté par le Trojan.Zbot.FS,
Clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo
fichier D:\documents and settings\......\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS)
-> Mis en quarantaine et supprimé avec succès
Merci pour tes bons conseils et pour la réactivité collective sur ce Forum
PS Je poste le rapport malwarebyte effectué en mode sans échec à Guillaume et les explication que je viens de te donner
Luc
Bonsoir luc92
L'essai en mode sans echec est une bonne idée ;-))
Poste ce rapport de Malwaresbytes ensuite tu me postes un nouveau rapport ZHPDiag;merci
@+
L'essai en mode sans echec est une bonne idée ;-))
Poste ce rapport de Malwaresbytes ensuite tu me postes un nouveau rapport ZHPDiag;merci
@+
https://forums.commentcamarche.net/forum/affich-27564553-virus-double-accent-circonflexe#21
héhé ^^ vas-y avec ton pilote clavier ^^
héhé ^^ vas-y avec ton pilote clavier ^^
Bonsoir Guillaume
Pour ZHPDiag as tu un site fiable pour le télécharger ?
Car ma version (que j'ai supprimée) avait une icone sur 3 anormale (celle de mbr) avec un simple carré à bord bleu Window sans l'icone d'origine
Voici le rapport MALWAREBYTES
R A P P O R T M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.
(fin)
Pour ZHPDiag as tu un site fiable pour le télécharger ?
Car ma version (que j'ai supprimée) avait une icone sur 3 anormale (celle de mbr) avec un simple carré à bord bleu Window sans l'icone d'origine
Voici le rapport MALWAREBYTES
R A P P O R T M A L W A R E B Y T E S
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.04.12.04
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
lvidal :: L-FR-11170 [administrateur]
12/04/2013 15:14:35
mbam-log-2013-04-12 (15-14-35).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 502511
Temps écoulé: 33 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Raqybeevqo (Trojan.Zbot.FS) -> Données: "D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\documents and settings\lvidal\Application Data\Iwyw\asyks.exe (Trojan.Zbot.FS) -> Mis en quarantaine et supprimé avec succès.
(fin)
Re
Un de ces liens:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Un de ces liens:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
@+
--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Bonjour Guillaume
Voici le lien du rapport ZHP Diag .txt : https://www.cjoint.com/?3DnlfslRK08
A toutes fins utile voic autre lien : https://www.cjoint.com/?3DnlD1hT2MD
Version WORD du même rapport ZHPDiag (copié/collé depuis le l'affichage du Rapport par ZHPDiag) en conservant les couleurs et la mise en page de l'affichage ZHPDiag:
Pour moi le Word est plus facile à scruter visuellement par exemple
exemple ADWARE opencandy en rouge
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
ou encore l'élément "asyks.exe" en bleu (que n'a pas totalement éradiqué MalwaresBytes)
<gras>ligne o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.S.: "asyks.exe" est aussi présent ligne o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Merci et A+
Luc
Voici le lien du rapport ZHP Diag .txt : https://www.cjoint.com/?3DnlfslRK08
A toutes fins utile voic autre lien : https://www.cjoint.com/?3DnlD1hT2MD
Version WORD du même rapport ZHPDiag (copié/collé depuis le l'affichage du Rapport par ZHPDiag) en conservant les couleurs et la mise en page de l'affichage ZHPDiag:
Pour moi le Word est plus facile à scruter visuellement par exemple
exemple ADWARE opencandy en rouge
[HKLM\Software\Martin Prikryl\OpenCandy] =>Adware.OpenCandy
ou encore l'élément "asyks.exe" en bleu (que n'a pas totalement éradiqué MalwaresBytes)
<gras>ligne o53 - SMSR:HKLM\...\startupreg\Raqybeevqo [Key] . (...) -- D:\Documents and Settings\lvidal\Application Data\Iwyw\asyks.exe (.not file.)
P.S.: "asyks.exe" est aussi présent ligne o45 - LFCP:[MD5.E9304AB1FE4B086ADEA9D5E8D88488B8] - 12/04/2013 - 14:04:24 ---A- - C:\WINDOWS\Prefetch\ASYKS.EXE-39065795.pf
Merci et A+
Luc
Guillaume
Je souhaite bien sur continuer à profiter de tes lumières car
- Je ne connais pas la suite d'outils ZHPDiag et
- Je ne sais pas dire si mon rapport ZHPDiag est suffisant car exécuté en mode user (avec des privilèges d'administrateur) mais pas strictement en mode administrateur.
- Je ne peux de toute façon en interpréter que des bribes et n'ai aucune idée des actions en aval du rapport (Script à exécuter ZHPFix ....)
Mais fait moi confiance pour les quelques actions intermédiaire par rapport à l'évolution de la situation
<gras>
Je souhaite bien sur continuer à profiter de tes lumières car
- Je ne connais pas la suite d'outils ZHPDiag et
- Je ne sais pas dire si mon rapport ZHPDiag est suffisant car exécuté en mode user (avec des privilèges d'administrateur) mais pas strictement en mode administrateur.
- Je ne peux de toute façon en interpréter que des bribes et n'ai aucune idée des actions en aval du rapport (Script à exécuter ZHPFix ....)
Mais fait moi confiance pour les quelques actions intermédiaire par rapport à l'évolution de la situation
<gras>
(Suite)
Par exemple depuis mon post de rapport ZHPDiag ce matin j'ai 2 évèments importants à te signaler
1) Gràce à l'éradication (peut être provisoire) de Zbot.FS mon antivirus Microsoft Forefront Client Security s'est mis à jour ce matin.
Explication: Depuis 2-3 semaines Forefront déclarait que sa base de données de définition de virus devait être mise à jour. Si je tentait l'opération j'avais aussitôt un message "aucune mise à jour disponible" (même genre de Pb que celui rencontré avec MalwareBytes)
2) mon antivirus ainsi updaté a détecté 2 menaces:
a) Forefront confirme (comme ZHPDiag) la détection de l'ADWARE opencandy mis en quarantaine qu'il me propose d'éliminer.
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront vient de détecter un autre Trojan (pas vu je crois par ZHPDiag ce matin) TrojanClicker:Win32/Yabector.gen!B mis en quarantaine qu'il me propose d'éliminer
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
J'ai demandé à Forefront d'éliminer ces 2 éléments.
Si tu es d'accord je te fais un nouveau ZHP diag. et compte sur ton aide pour l'exploiter sous ton contrôle
1) les traces de Zbot.FS mentionnées dans le rapport de ce matin y seront sûrement encore
2) on verra si opencandy (Adware) et TrojanClicker:Win32/Yabector.gen ont disparu par l'action Forefront.
Et tu pourra alors passer l'action pour la suite des contre meeure
Espérant que tu adhère à cette démarche
Merci pour tous les résultats déjà acquis
Luc
Par exemple depuis mon post de rapport ZHPDiag ce matin j'ai 2 évèments importants à te signaler
1) Gràce à l'éradication (peut être provisoire) de Zbot.FS mon antivirus Microsoft Forefront Client Security s'est mis à jour ce matin.
Explication: Depuis 2-3 semaines Forefront déclarait que sa base de données de définition de virus devait être mise à jour. Si je tentait l'opération j'avais aussitôt un message "aucune mise à jour disponible" (même genre de Pb que celui rencontré avec MalwareBytes)
2) mon antivirus ainsi updaté a détecté 2 menaces:
a) Forefront confirme (comme ZHPDiag) la détection de l'ADWARE opencandy mis en quarantaine qu'il me propose d'éliminer.
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Adware%3aWin32%2fOpenCandy&threatid=159633
b) Forefront vient de détecter un autre Trojan (pas vu je crois par ZHPDiag ce matin) TrojanClicker:Win32/Yabector.gen!B mis en quarantaine qu'il me propose d'éliminer
Information de Forefront sur cet élément sur le site Microsoft: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=TrojanClicker%3aWin32%2fYabector.gen
J'ai demandé à Forefront d'éliminer ces 2 éléments.
Si tu es d'accord je te fais un nouveau ZHP diag. et compte sur ton aide pour l'exploiter sous ton contrôle
1) les traces de Zbot.FS mentionnées dans le rapport de ce matin y seront sûrement encore
2) on verra si opencandy (Adware) et TrojanClicker:Win32/Yabector.gen ont disparu par l'action Forefront.
Et tu pourra alors passer l'action pour la suite des contre meeure
Espérant que tu adhère à cette démarche
Merci pour tous les résultats déjà acquis
Luc
Bonjour Guillaume
Je ne peux pas faire appel à l'administrateur car il ne pourra que réinitialiser mon poste comme indiqué dans l'explication ci-dessous (et selon moi vus les progrès accompli sur le problème posé je pense qu'il autre chose à tenter avant d'en arriver là ).
En effet j'ai déjà contacté l'admnistrateur en février c'est à dire 2 mois avant d'avoir ce problème de
double accent (qui date lui de début avril et qui a motivé mon inscription a ce Forum).
Je lui ai signalé que n'arrivais plus à mettre à jour l'antivirus Forefront depuis l'internet comme auparavant. Il ma recommandé d'utiliser l'Intranet (ce qui faute de config VPN m'a obligé à me déplacer). Mais ça a marché et l'incident était clos.
L'administrateur en a profité aussi pour me conseiller d'utiliser MalwareBytes pour résoudre moi même lesmenaces que Forefront pourrais ne pas avoir su détecter faute d'être à jour.
Il m'a aussi indiqué qu'en cas de problème non résolu (virus tenace) par Forefront et MalwareBytes à jours il ne pourrait faire mieux que réinitialiser mon poste faute de temps pour mener des investigations approfondies
Luc
Je ne peux pas faire appel à l'administrateur car il ne pourra que réinitialiser mon poste comme indiqué dans l'explication ci-dessous (et selon moi vus les progrès accompli sur le problème posé je pense qu'il autre chose à tenter avant d'en arriver là ).
En effet j'ai déjà contacté l'admnistrateur en février c'est à dire 2 mois avant d'avoir ce problème de
double accent (qui date lui de début avril et qui a motivé mon inscription a ce Forum).
Je lui ai signalé que n'arrivais plus à mettre à jour l'antivirus Forefront depuis l'internet comme auparavant. Il ma recommandé d'utiliser l'Intranet (ce qui faute de config VPN m'a obligé à me déplacer). Mais ça a marché et l'incident était clos.
L'administrateur en a profité aussi pour me conseiller d'utiliser MalwareBytes pour résoudre moi même lesmenaces que Forefront pourrais ne pas avoir su détecter faute d'être à jour.
Il m'a aussi indiqué qu'en cas de problème non résolu (virus tenace) par Forefront et MalwareBytes à jours il ne pourrait faire mieux que réinitialiser mon poste faute de temps pour mener des investigations approfondies
Luc
Suite
Par rapport au problème de double accent je crois qu'on est tout près du but et qu'il y a autre chose à tenter avant que je fasse appel à l'administrateur pour reformater le PC
Je suis optimiste car :
1) Le comportement de double accent est déjà résolu au moins momentanément par neutralisation du processus runtime du Trojan.Zbot.FS
2) Reste à péréniser ce succès au maximun en éliminant les trace résiduelles que le rapport ZHPdiag décèle encore.
Je trouve que c'est bien parti car la neutralistion de Zbot.FS a aussi permis la mise à jour via internet de Forefront
Forefront une fois à jour est muni de tous les privilège nécessaire et ainsi a pu éliminer l'autre infection TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag exécuté en mode user n'est peut être pas à même de voir).
Les 2 approches Forefront et ZHPDiag se complètent donc un peu comme (MawareByte + ZHPDiag )
Après le travail de Forefront effectué ce matin je te propose donc de t'envoyer si tu en est d'accord le nouveau rapport ZHPDiag lancé après le travail d'éradication de Forefront
Tu pourrais me piloter pour éliminer les éléments (clé de registre ou autre) liès à Zbot.FS (asyks.exe), opencandy ou autre si tu en vois signalé par ZHPDiag
Il y a aussi un certain nombre de ligne bleue (clé orpheline, not.file , ...) qui peuvent signaliser une optimisation possible du registre
Merci encore pour tes conseils
Luc
Par rapport au problème de double accent je crois qu'on est tout près du but et qu'il y a autre chose à tenter avant que je fasse appel à l'administrateur pour reformater le PC
Je suis optimiste car :
1) Le comportement de double accent est déjà résolu au moins momentanément par neutralisation du processus runtime du Trojan.Zbot.FS
2) Reste à péréniser ce succès au maximun en éliminant les trace résiduelles que le rapport ZHPdiag décèle encore.
Je trouve que c'est bien parti car la neutralistion de Zbot.FS a aussi permis la mise à jour via internet de Forefront
Forefront une fois à jour est muni de tous les privilège nécessaire et ainsi a pu éliminer l'autre infection TrojanClicker:Win32/Yabector.gen!B
(que ZHPDiag exécuté en mode user n'est peut être pas à même de voir).
Les 2 approches Forefront et ZHPDiag se complètent donc un peu comme (MawareByte + ZHPDiag )
Après le travail de Forefront effectué ce matin je te propose donc de t'envoyer si tu en est d'accord le nouveau rapport ZHPDiag lancé après le travail d'éradication de Forefront
Tu pourrais me piloter pour éliminer les éléments (clé de registre ou autre) liès à Zbot.FS (asyks.exe), opencandy ou autre si tu en vois signalé par ZHPDiag
Il y a aussi un certain nombre de ligne bleue (clé orpheline, not.file , ...) qui peuvent signaliser une optimisation possible du registre
Merci encore pour tes conseils
Luc
Bonjour Homerlulu
je n'ai aucun doute sur ce point.
D'autant que j'ai été particulièrement bien conseillé par G3n et Guillaume.
J'ai plutôt des doute sur ma capacité à prendre les bonnes décisions dans le cadre de l'exécution de ZHPDiag (ou P-s qui m'a l'air encore plus incursif) pour certaine suppressions.
De plus il faut que tu saches que j'ai un ordinateur Dell sur lequel il peut être irréversible de toucher par exemple au MBR comme pourrait le faire la suite ZHPdiag. Empèchant par la suite tout retour à la config usine.
Or c'est seulement sur cette config usine que peut opérer le DVD master de réinitialisation de mon poste
J'ai possibilté simple d'éliminer tous virus ou suspicion de virus c'est de reconfigurer le poste avec le DVD.
Merci de ton message
@+
Luc
je n'ai aucun doute sur ce point.
D'autant que j'ai été particulièrement bien conseillé par G3n et Guillaume.
J'ai plutôt des doute sur ma capacité à prendre les bonnes décisions dans le cadre de l'exécution de ZHPDiag (ou P-s qui m'a l'air encore plus incursif) pour certaine suppressions.
De plus il faut que tu saches que j'ai un ordinateur Dell sur lequel il peut être irréversible de toucher par exemple au MBR comme pourrait le faire la suite ZHPdiag. Empèchant par la suite tout retour à la config usine.
Or c'est seulement sur cette config usine que peut opérer le DVD master de réinitialisation de mon poste
J'ai possibilté simple d'éliminer tous virus ou suspicion de virus c'est de reconfigurer le poste avec le DVD.
Merci de ton message
@+
Luc
meme symptome, pas detecté par sophos mais par F-secure:
Variant.symmi.29672
un .exe dans le appData\roaming du profil utilisateur, mais aussi peut etre des fichiers généré automatiquement (ex : ykruo.nui)
Variant.symmi.29672
un .exe dans le appData\roaming du profil utilisateur, mais aussi peut etre des fichiers généré automatiquement (ex : ykruo.nui)
Merci, sa fesait des mois que je chercher à suprimser des logiciels malveillants sans y parvenir, c'est désormait chose faite!
# AdwCleaner v3.012 - Rapport créé le 15/11/2013 à 18:16:15
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marin - MARIN-TOSH
# Exécuté depuis : C:\Users\Marin\Desktop\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Program Files (x86)\Pass-Widget
Dossier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Fichier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Raccourcis ] *****
***** [ Registre ] *****
***** [ Navigateurs ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 octets] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 octets] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 octets] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 octets] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 octets] ##########
# AdwCleaner v3.012 - Rapport créé le 15/11/2013 à 18:16:15
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marin - MARIN-TOSH
# Exécuté depuis : C:\Users\Marin\Desktop\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Program Files (x86)\Pass-Widget
Dossier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcfopijhanoceijcfpaileppfklbeggk
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\nsprotector.js
Fichier Supprimé : C:\Users\Marin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.delta-search.com_0.localstorage-journal
***** [ Raccourcis ] *****
***** [ Registre ] *****
***** [ Navigateurs ] *****
-\\ Internet Explorer v10.0.9200.16736
*************************
AdwCleaner[R0].txt - [10444 octets] - [14/10/2013 17:13:09]
AdwCleaner[R1].txt - [1195 octets] - [15/11/2013 18:09:46]
AdwCleaner[S0].txt - [9757 octets] - [14/10/2013 17:14:25]
AdwCleaner[S1].txt - [1123 octets] - [15/11/2013 18:16:15]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1183 octets] ##########
Bonjour,
Je reviens vers votre forum car j'ai téléchargé en effet AdwCleaner mais, contrairement à ce que j'ai lu dans le lien que vous m'avez envoyé, le logiciel ne demande pas "supprimer" d'emblée. J'ai donc fait "scanner" puis "nettoyer" et j'ai tenté de poster sur votre forum le résultat de ce travail. Mais, en l'occurence, le double tréma ^^ est toujours là (en appuyant une seule fois sur la touche, j'en ai 2 et, en plus, ils se placent avant la lettre)!
Merci de votre aide.
Je reviens vers votre forum car j'ai téléchargé en effet AdwCleaner mais, contrairement à ce que j'ai lu dans le lien que vous m'avez envoyé, le logiciel ne demande pas "supprimer" d'emblée. J'ai donc fait "scanner" puis "nettoyer" et j'ai tenté de poster sur votre forum le résultat de ce travail. Mais, en l'occurence, le double tréma ^^ est toujours là (en appuyant une seule fois sur la touche, j'en ai 2 et, en plus, ils se placent avant la lettre)!
Merci de votre aide.
Je n'ose pas lancer un tel logiciel qui risquerait d'altérer une configuration de mon système que je ne maîtrise pas.
Par exemple si je trouve un proxy je ne pourrai pas choisir en connaissance de cause s'il faut le garder ou le supprimer n'étant pas l'auteur de l'installation.
Pour le moment je fait n'ai fait que des rapports de diagnostic et des corrections sans impact sur le système avec des logiciel comme MalwareBytes où mon antivirus Forefront une fois à jour.
Et donc rien entrepris qui soit risqué avec un résultat au moins apparemment est exellent puisque je n'ai plus aucun des symptôme ont motivité ces investigations
Le problème est pour moi résolu du mieux possible et je compte tout simplement faire réinitialiser mon poste pour une sécurité à 100%
Ce qui permettra aussi un mise à jours de mes logiciels
En te remerciant de ton dévoument à toi ainsi qu'à Guillaume
@+
Luc
il faut savoir que P_s est aussi dangereux que ZHPDiag ou Malwarebytes....
donc sans danger.
Surtout que G3n en est le concepteur...........