Problème double accent circonflexe/trema [Résolu/Fermé]

Signaler
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
-
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
-
Bonjour,

avant de vous poser ma question j'ai fait une recherche internet et CCM mais je suis "handicapée" par le fait que ce soit un pc de société, je n'ai pas la main sur tout notamment la suppression ou le changement d'antivirus.

D'après ce que j'ai lu le problème que je rencontre est un virus qui serait arrivé sur mon pc mais je ne saurais l'identifier et le supprimer, mon antivirus actuel (McAfee security scan plus) ne détecte rien d'anormal.

Mon soucis c'est que j'ai besoin du trema très souvent vu mon métier, auriez-vous une solution ?


Merci d'avance


PS : ce matin j'ai eu un bug, le pc à comme redémarrer (tous les programmes se sont fermés) mais je n'ai pas vu de message particulier je n'étais pas sur mon pc à ce moment là et depuis j'ai le problème.


12 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Salut,

Le problème d'accent peut-être dû à la présence d'un keylogger, il faut vérifier cette éventualité.

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
voici le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.26.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
BROCA :: PORTBA [administrateur]

26/02/2014 15:17:45
mbam-log-2014-02-26 (15-17-45).txt

Type d'examen: Examen complet (C:\|D:\|P:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 354790
Temps écoulé: 57 minute(s), 43 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 8
C:\Users\STANDARD\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\43A5MPG4\pdf[1].exe (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\43A5MPG4\pdf[2].exe (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PF72OIII\8mo[1].exe (Trojan.PWS.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Temp\ffupdate.exe (Trojan.Email) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Temp\gewos.exe (Trojan.Kryptik) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Temp\plus-hd-4-9.exe (PUP.Optional.AdLyrics) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\AppData\Local\Temp\update_Firefox.exe (Trojan.Downloader.Upatre) -> Mis en quarantaine et supprimé avec succès.
C:\Users\STANDARD\Downloads\SoftonicDownloader_pour_photofiltre.exe (PUP.Optional.Softonic.A) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
bon alors j'ai un gros soucis :

j'ai fais comme tu m'as dis, 1h environs de scan, j'ai copié le résultat de l'analyse et j'ai redémarré depuis ça n'apparait plus est ce normal ?
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
il y avait 8 éléments infectés, tous des dossiers temp et normalement tous étaient supprimés ...
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
je refais un scan pour voir, en tout cas le problème persiste :(
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Trojan.Zbot <= c'est une possible source des prb d'accents.

~~




Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
pas de soucis je commence à avoir l'habitude avec mon pc perso ;)
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Désinstalle MCafee Security Scan.
Sert à rien.

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-1340113177-1399732806-11773852-1000..\Run: [Ceba] C:\Users\STANDARD\AppData\Roaming\Suow\ceba.exe ()
[2013/10/10 13:37:41 | 000,000,000 | ---D | M] -- C:\Users\STANDARD\AppData\Roaming\Asowoz
[2012/01/24 17:54:03 | 000,000,000 | ---D | M] -- C:\Users\STANDARD\AppData\Roaming\Suow
[2013/12/10 12:50:16 | 000,000,000 | ---D | M] -- C:\Users\STANDARD\AppData\Roaming\Ywba


* poste le rapport ici


Redémarre l'ordinateur.

~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

puis :


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
par contre c'est pas très clair pour moi "fais un skip sur les détections" ça consiste en quoi ?
j'ai fais "continue" pour le supprimer je suppose
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
Bonjour,

voici le rapport correction otl :

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1340113177-1399732806-11773852-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Ceba deleted successfully.
File C:\Users\STANDARD\AppData\Roaming\Suow\ceba.exe not found.
C:\Users\STANDARD\AppData\Roaming\Asowoz folder moved successfully.
C:\Users\STANDARD\AppData\Roaming\Suow folder moved successfully.
C:\Users\STANDARD\AppData\Roaming\Ywba folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 02272014_090655
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
ok :

09:39:42.0420 0x00fc C:\Windows\System32\Drivers\26c8d1578129a81d.sys - copied to quarantine
09:39:42.0479 0x00fc HKLM\SYSTEM\ControlSet001\services\26c8d1578129a81d - will be deleted on reboot
09:39:42.0540 0x00fc HKLM\SYSTEM\ControlSet002\services\26c8d1578129a81d - will be deleted on reboot
09:39:43.0341 0x00fc C:\Windows\System32\Drivers\26c8d1578129a81d.sys - will be deleted on reboot
09:39:43.0341 0x00fc 26c8d1578129a81d ( Rootkit.Win32.Necurs.gen ) - User select action: Delete
09:39:43.0393 0x00fc KLMD registered as C:\Windows\system32\drivers\55325409.sys


Ton Zbot :

https://www.virustotal.com/gui/file/88db50cdab72633d0122f92f1122ed8a3fa1d7220d1bd609ff680d021994fbff

SHA256: 88db50cdab72633d0122f92f1122ed8a3fa1d7220d1bd609ff680d021994fbff
Nom du fichier : ceba.exe
Ratio de détection : 9 / 47
Date d'analyse : 2014-02-27 08:52:11 UTC (il y a 1 minute)

AntiVir TR/Changeling.A.681 20140227
CMC Packed.Win32.Katusha.1!O 20140220
DrWeb Trojan.PWS.Panda.5676 20140227
ESET-NOD32 Win32/Spy.Zbot.AAU 20140227
Kaspersky Trojan-Spy.Win32.Zbot.rqin 20140227
Malwarebytes Spyware.Zbot.GO 20140227
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.B 20140227
Sophos Troj/Zbot-HTS 20140227
VIPRE Trojan.Win32.Generic!BT 20140227



S'il a été viré, tu ne devrais plus avoir le prob d'accent circonflexe.
De plus Malwarebytes devrait encore mieux aider :)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Tu veux dire en mode sans échec ?

Si tu redémarres normalement, il ne revient pas en mode normal ?
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
c'est pas en mode sans échec, c'est en "mode test windows 7" avec un numéro derrière
j'ai redémarré le pc j'ai eu la même idée mais ça ne fonctionne pas...
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Je ne vois pas ce que c'est que le mode test de Windows 7 :/
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
c'est ennuyeux cette histoire
en fait j'ai des documents habituellement "cachés" qui apparaissent (doc desktop)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Pour les docs cachés => https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Pour ton Windows test fas une capture d'"cran => https://www.commentcamarche.net/faq/398-comment-faire-une-capture-d-ecran que je puisse voir à quoi ça ressemble.

Au fait, faut que tu changes tous tes mots de passe (Facebook, mail etc), ils ont été volés.
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
pour la copie d'écran :

https://www.cjoint.com/?0BBl3MvDU89
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
merci pour le changement des mdp, je ne le savais pas
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
j'ai refait un malwarebyte

encore 2 fichiers infectés zbot

voici le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.26.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
BROCA :: PORTBA [administrateur]

27/02/2014 10:28:20
mbam-log-2014-02-27 (10-28-20).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 346341
Temps écoulé: 1 heure(s), 24 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\_OTL\MovedFiles.zip (Spyware.Zbot.GO) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\02272014_090655\C_Users\STANDARD\AppData\Roaming\Suow\ceba.exe (Spyware.Zbot.GO) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
je crois que je vais motiver le service informatique de s'en charger !!
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
ok, par contre faut changer tous les mots de passe, ils ont été volés.

Je pense que tu t'es fait avoir par ça : https://www.malekal.com/spam-malicieux-zbot-par-vbs-sur-ovh/

ca vise les entreprises.
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
tu me disais d'envoyer les zip plus haut je fais juste un transfert de mail vers l'adresse indiquée ?
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
oui :)
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
c'est envoyé
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
yep ton antivirus a dû le virer :)
si ça représente envoie le zip :)

merci !
Messages postés
281
Date d'inscription
mercredi 25 juillet 2012
Statut
Membre
Dernière intervention
25 avril 2016
41
ok, pas de soucis, je l'ai mis en direct spam (maintenant je le sais) et je te remercie pour ton aide