Infection par SrvID : double accents circonflexes Fermé

Question

Bonjour, 

J'ai remarqué un problème de double accents circonflexes sur mon ordinateur. 
J'ai effectué un scan MBAM et il m'a donné un résulat : SrvID mais impossible de le supprimer, meme en mode sans échec ou à l'aide d'AWcleaner.
C'est pourquoi je m'en retourne vers vous, n'étant pas très qualifié en informatique. 

En cherchant j'ai pu voir que de nombreuses personnes avaient été dans mon cas et que vous aviez pu les aider. 

Merci par avance à vous

Malekal_morte- · Answer

Salut,

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Grisou3 · Answer

Merci de ton aide si rapide. Je fait tout ça et je te tiens au courant.

Grisou3 · Answer

https://pjjoint.malekal.com/files.php?id=20140131_u7p10l13k15w5
https://pjjoint.malekal.com/files.php?id=20140131_l9s12k10j13e8

voilà les rapports

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O4 - HKU\S-1-5-21-1022677014-3591203089-2883984587-1002..\Run: [local] C:\Users\Aurélien\AppData\Roaming\local\local.exe (Adobe Systems Incorporated) 
:files
C:\Users\Aurélien\AppData\Roaming\local\
    
 
* poste le rapport ici 
 
 
~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Grisou3 · Answer

Voilà déjà le rapport

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1022677014-3591203089-2883984587-1002\Software\Microsoft\Windows\CurrentVersion\Run\local deleted successfully.
C:\Users\Aurélien\AppData\Roaming\local\local.exe moved successfully.
========== FILES ==========
C:\Users\Aurélien\AppData\Roaming\local folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 01312014_230615

Grisou3 · Answer

J'ai uploader le .zip, il me dit que c'est bon mais pas de lien, est-ce normal ?

Malekal_morte- · Answer

redémarre l'ordinateur, moyenne les détections : https://www.virustotal.com/gui/file/285924d22d0356a948f3b7f5c7dd51eb3373d1a73413483676b16e048c5d5713

Avast  Win32:Dropper-gen [Drp]  20140131
ESET-NOD32  Win32/Ainslot.AB  20140131
Kaspersky  Trojan-Dropper.Win32.Dapato.diws  20140131
Microsoft  Worm:Win32/Ainslot.A  20140131
Panda  Generic Malware  20140131
Qihoo-360  HEUR/Malware.QVM05.Gen  20140126
TrendMicro-HouseCall  TROJ_GEN.R0C1H01AQ14  20140131 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Grisou3 · Answer

Je redémarre juste l'ordinateur ?

Malekal_morte- · Answer

ouaip et tu regardes ce que cela donne pour les accents.

Grisou3 · Answer

ben cela à l'air d'avoir marché (ê ê ê)

Malekal_morte- · Answer

:)


Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

Grisou3 · Answer

ok merci encore de ton aide. 
Je change tous les mots de passes immédiatement. 

Je refais un scan MBAM ? 

Du coup le combinaison Avira et MBAM Pro est suffisante ou je change quelque chose pour l'avenir ?

Grisou3 · Answer

Autre question cela a-t-il pu infecter mes DDE et clefs USB ?

Grisou3 · Answer

Après le scan MBAM toujours infecté, d'ailleurs les doubles accents sont revenus...

Grisou3 · Answer

Je suis désolé pour les doubles posts mais mon problème n'est pas parti malgré l'aide de Malekal-morte. 

Quelqu'un a-t-il une idée pour se débarrasser de ce rat de m**** ?

Malekal_morte- · Answer

ho?

Refais un scan OTL et donne le rapport.
Donne le rapport Malwarebytes.

Grisou3 · Answer

voilà le rapport OTL : https://pjjoint.malekal.com/files.php?id=20140201_k10m12q7h6z14

MBAM arrive 

Merci

Malekal_morte- · Answer

Je ne crois pas que le malware soit encore actif.

Compte tenu des détections là : https://forums.commentcamarche.net/forum/affich-29620504-infection-par-srvid-double-accents-circonflexes#8

Ce que tu peux faire :
- Désinstaller antivir et mettre Avast! 
- Faire un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32

Grisou3 · Answer

Ok merci je ait ça tout de suite. 
Merci encore

Infection par SrvID : double accents circonflexes

19 réponses

Discussions similaires