Virus double accent circonflexe [Résolu/Fermé]

Signaler
-
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
-
Bonjour,

Je viens de récupérer le fameux virus du ^^ sur mon ordinateur (impossible d'écrire un seul ^, ou de mettre l'accent sur une lettre) , de plus Firefox ne fonctionne quasiment plus et se met à ne plus répondre et à freezer inopinément depuis hier également. Tout est arrivé au meme moment.
Auriez vous un moyen de m'en débarasser? J'ai déjà essayé Spybot et CC cleaner.
J'aimerai vraiment pouvoir m'en débarasser sans avoir à tout formater c'est vraiment trop bete!
Merci à vous d'avance.


12 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
salut vire spybot il sert à rien

====================

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

▶ Télécharge ici :OTL

▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Clique ici pour voir la configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C


▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Bonjour Juju666, merci beaucoup pour ta réponse rapide!
J'ai un petit soucis, j'ai tout fait correctement, en revanche, le site FEC upload m'indinque que l'upload de fichier .text n'est pas possible.
Je fais "parcourir" et accède au fichier bloc note, puis j'ai l'icone "envoyer" qui apparait, mais lorsque je clique, j'ai un message rouge affiché en haut de la page "L'envoi de ce type de fichiers (text/plain) n'est pas permis sur ce site!"
Que faire ?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
oui je suis en train de faire des modifs, là ça doit être OK.
Ok parfait!
Voici :

https://forums-fec.be/upload/www/?a=d&i=1272010825
https://forums-fec.be/upload/www/?a=d&i=3040875957

J'en profite pour signaler que j'ai également une erreur au démarrage Windows, une fenetre erreur Windows ,avec le son caractéristique, s'affiche "kdbsync.exe n'a pas pu etre executé bla bla bli bla bla bla. Je ne sais pas d'où ça vient, on m'a parlé d'un problème avec BS player mais je me demande si ça ne pourrais pas etre également résolu avec tout ça.
Merci encore pour ta rapidité.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Me revoilà :)
Désinstalle spybot il sert à rien

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :



:processes
teatimer.exe
:OTL
PRC - [2013/07/22 11:52:47 | 000,248,320 | -H-- | M] (Microsoft) -- C:\Users\Maynard\AppData\Roaming\System33\System33.exe
PRC - [2013/07/19 19:36:18 | 000,211,912 | RHS- | M] (Heaventools PDF ) -- C:\Users\Maynard\AppData\Roaming\dmw\explorer.exe
PRC - [2013/03/07 00:54:13 | 000,329,544 | ---- | M] ( ) -- C:\Users\Maynard\AppData\Roaming\Esca\wafo.exe
PRC - [2012/03/08 10:29:58 | 001,426,432 | ---- | M] () -- C:\Program Files (x86)\PenWes\PenWes.exe
MOD - [2013/07/22 11:52:48 | 000,208,896 | -H-- | M] (ICSharpCode.net) -- C:\Users\Maynard\AppData\Roaming\System33\ICSharpCode.SharpZipLib.dll
MOD - [2013/07/22 11:52:47 | 000,248,320 | -H-- | M] (Microsoft) -- C:\Users\Maynard\AppData\Roaming\System33\System33.exe
MOD - [2013/07/19 19:36:18 | 000,211,912 | RHS- | M] (Heaventools PDF ) -- C:\Users\Maynard\AppData\Roaming\dmw\explorer.exe
MOD - [2012/03/08 10:29:58 | 001,426,432 | ---- | M] () -- C:\Program Files (x86)\PenWes\PenWes.exe
SRV - [2012/10/05 17:08:42 | 000,109,064 | ---- | M] (Wajam) [Auto | Running] -- C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe -- (WajamUpdater)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Wajam)
O3 - HKLM\..\Toolbar: (loadtbs) - {DFEFCDEE-CF1A-4FC8-88AD-129872198372} - C:\Users\Maynard\AppData\Roaming\loadtbs\toolbar.dll (InfiniAd GmbH)
O3 - HKU\S-1-5-21-170608588-1350000267-888310883-1000\..\Toolbar\WebBrowser: (loadtbs) - {DFEFCDEE-CF1A-4FC8-88AD-129872198372} - C:\Users\Maynard\AppData\Roaming\loadtbs\toolbar.dll (InfiniAd GmbH)
O4 - HKLM\..\Run: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-21-170608588-1350000267-888310883-1000\..\Run: [dllhost] C:\Users\Maynard\AppData\Roaming\dmw\explorer.exe (Heaventools PDF )
O4 - HKU\S-1-5-21-170608588-1350000267-888310883-1000\..\Run: [Security Essentials] C:\Users\Maynard\AppData\Roaming\System33\System33.exe (Microsoft)
O4 - HKU\S-1-5-21-170608588-1350000267-888310883-1000\..\Run: [windowsUpdater] C:\Users\Maynard\AppData\Roaming\svhost\svhost.exe ()
O4 - HKU\S-1-5-21-170608588-1350000267-888310883-1000\..\Run: [Ysawgoacsu] C:\Users\Maynard\AppData\Roaming\Esca\wafo.exe ( )
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{949A6D1E-F5AC-4449-8B9C-A8FD3DF95972}: NameServer = 178.33.41.181,46.4.70.20
[2013/07/21 16:52:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013/07/21 16:52:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
[2013/07/21 16:52:07 | 000,017,272 | ---- | C] (Safer Networking Limited) -- C:\Windows\SysNative\sdnclean64.exe
[2013/07/21 16:52:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013/07/21 00:38:17 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Nalae
[2013/07/21 00:38:17 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Ixah
[2013/07/21 00:38:17 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Bihy
[2013/07/20 12:31:47 | 000,000,000 | -H-D | C] -- C:\ProgramData\system32
[2013/07/20 12:30:12 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\svhost
[2013/07/20 12:29:59 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Lumoan
[2013/07/20 12:29:59 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Esca
[2013/07/20 12:29:59 | 000,000,000 | ---D | C] -- C:\Users\Maynard\AppData\Roaming\Ecxox
[2013/07/20 11:40:03 | 000,000,000 | RHSD | C] -- C:\Users\Maynard\AppData\Roaming\dmw
[2013/07/21 16:52:10 | 000,002,180 | ---- | M] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
[2012/05/25 12:55:28 | 000,000,000 | -H-D | M] -- C:\Users\Maynard\AppData\Local\fgYyAAYZ
[2012/05/25 12:53:33 | 000,000,000 | -H-D | M] -- C:\Users\Maynard\AppData\Local\jUHTQXAAmxspE
[2012/05/25 12:55:22 | 000,000,000 | -H-D | M] -- C:\Users\Maynard\AppData\Local\NTRsbjRa06781wZ
[2012/06/04 23:53:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\PenWes
[2013/07/20 12:31:47 | 000,112,128 | ---- | M] () MD5=6D65697C06479BFDB7766B7E58F188D0 -- C:\ProgramData\system32\explorer.exe
[2013/07/20 12:31:47 | 000,112,128 | ---- | M] () MD5=6D65697C06479BFDB7766B7E58F188D0 -- C:\Users\All Users\system32\explorer.exe
@Alternate Data Stream - 1298 bytes -> C:\Users\Maynard\AppData\Local\Temp:GwhURldeX89BAjrnPvyoyP
@Alternate Data Stream - 1279 bytes -> C:\ProgramData\Microsoft:IrudhtgfpRffwUHTQXAAmxspEe
@Alternate Data Stream - 1267 bytes -> C:\Program Files (x86)\Common Files\microsoft shared:rKAAkDqDnbKIiM61P0k
@Alternate Data Stream - 1246 bytes -> C:\Users\Maynard\AppData\Local\fgYyAAYZ:OZyPMaia0J9CffriKpMgSfNq
@Alternate Data Stream - 1214 bytes -> C:\Users\Maynard\AppData\Local\Temp:OcgnGnJnGV9AcANEyRZMHoL5vxMpZ5
@Alternate Data Stream - 1183 bytes -> C:\ProgramData\Microsoft:pHFk4s3lCdbs6g0XQLfRSrWhvO5
:reg
[-HKEY_CURRENT_USER\Software\1ClickDownload]
[-HKEY_CURRENT_USER\Software\InstallCore]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_CURRENT_USER\Software\Wajam]
[-HKEY_CURRENT_USER\Software\windowsUpdater]
[-HKEY_LOCAL_MACHINE\Software\Iminent]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\Wajam]
:commands
[EMPTYTEMP]



▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Plus de bug!!! ê ê ê ê
Merci infiniment. Ca fait vraiment beaucoup de bien de voir qu'il existe encore des gens dévoués qui prennent de leur temps pour aider les autres, sans arrière pensée.

Voici le rapport qui s'affiche après redémarrage :
https://forums-fec.be/upload/www/?a=d&i=6449660317

J'ai tjr mon pb de kdbsync.exe au démarrage mais ça ne m'affecte en rien donc tout va bien.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
ça semble bon.
Les circonflexes doivent refonctionner.

Par contre tes mots de passe ont tous été pompés, faudra les changer.
T'as envoyé la 40aine à Malekal?
Pour mes mot de passe il s'agit desquels? Tous même ceux des sites bancaires?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Oui. Tous sans exception.
Oui j'ai bien envoyé la 40aine :)
Je peux désormais supprimer les log envoyé précédemment?
Aurais tu des logiciels de protections à me conseiller pour éviter que ça se reproduise stp?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Yep.

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/download/telecharger-34079650-delfix

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC !

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)