Double accent circonflexe et double tréma [Résolu/Fermé]

Signaler
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019
-
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
-
Bonjour,

Depuis quelques jours, quand j'appuie sur la touche ^ j'ai 2 accents circonflexes qui s'affichent au lieu d'avoir un seul accent sur la lettre (de m^^eme pour le tréma).
J'ai déja eu ces symptomes il y a quelques années et quelqu'un de votre équipe avait diagnostiqué et éradiqué le virus "Trojan Z Bot FS".
Quelqu'un pourrait-il m'aider à nouveau pour supprimer cette sale b^^ete ?
A l'avance merci.

Mon ordi est un PC portable Toshiba avec un Intel duo 2.1GHz et Vista pour système d'exploitation.

11 réponses

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
ouaip infecté par un Trojan RAT et une un virus par clé USB.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:()
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Run: [canon] => wscript.exe "C:\Users\Denis\AppData\Local\Temp\colis-relay-fr.vbs_.wsf" <==== ATTENTION
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Run: [colis-relay-fr] => wscript.exe //B "C:\Users\Denis\AppData\Local\Temp\colis-relay-fr.vbs_.wsf" <==== ATTENTION
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2926592 2009-04-11] (Microsoft Corporation) <==== ATTENTION
AppInit_DLLs: c:\progra~2\bitguard\271769~1.27\{c16c1~1\bitguard.dll => Pas de fichier
2017-12-04 08:41 - 2017-12-04 08:41 - 000000000 ____D C:\Program Files\Lrpxdft
2017-12-04 06:11 - 2017-12-22 13:53 - 000000000 ___HD C:\Users\Denis\AppData\Roaming\5Q3RSS1U
2017-11-30 09:56 - 2017-11-30 09:56 - 000188224 _____ C:\Users\Denis\AppData\LocalLow\wbk92E3.tmp
2017-11-27 15:45 - 2017-11-27 15:45 - 000000011 _____ C:\ProgramData\.tv5
2010-10-21 11:57 - 2010-10-21 11:57 - 000000000 _____ () C:\Users\Denis\AppData\Roaming\chrtmp
2013-04-20 14:24 - 2013-04-20 14:24 - 000000043 _____ () C:\Users\Denis\AppData\Roaming\stats.txt
2013-02-10 18:03 - 2013-02-10 18:03 - 000000000 _____ () C:\Users\Denis\AppData\Roaming\wklnhst.dat
2017-01-23 03:00 - 2017-12-18 10:34 - 000000680 _____ () C:\Users\Denis\AppData\Local\d3d9caps.dat
2009-09-20 10:53 - 2017-12-08 10:41 - 000227840 _____ () C:\Users\Denis\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2011-06-07 20:38 - 2011-06-07 20:38 - 000000000 _____ () C:\Users\Denis\AppData\Local\{3707459F-A6FC-4156-92FC-9633B76C2F06}
2011-09-25 21:54 - 2011-09-25 21:54 - 000000000 _____ () C:\Users\Denis\AppData\Local\{4D59FC7E-A735-488B-97AF-F868AA7CF132}
2011-07-19 20:38 - 2011-07-19 20:38 - 000000000 _____ () C:\Users\Denis\AppData\Local\{579B52DD-CC90-47E3-8D4D-D7405E8A06AF}
2011-09-28 21:26 - 2011-09-28 21:26 - 000000000 _____ () C:\Users\Denis\AppData\Local\{5A55DCEB-776C-4CF8-A36A-9351B71309FB}
2012-01-04 18:41 - 2012-01-04 18:41 - 000000000 _____ () C:\Users\Denis\AppData\Local\{652D8A8F-4055-4DFA-BA33-F45B7C4B910F}
2011-10-20 21:03 - 2011-10-20 21:03 - 000000000 _____ () C:\Users\Denis\AppData\Local\{7EB7F160-56EC-4B10-8D12-6459D0802FAF}
2011-12-04 21:56 - 2011-12-04 21:56 - 000000000 _____ () C:\Users\Denis\AppData\Local\{7F2BF7FA-875E-458C-A7D2-706B31F24C02}
2011-10-16 21:19 - 2011-10-16 21:19 - 000000000 _____ () C:\Users\Denis\AppData\Local\{8BA25F6B-2FFA-488D-AFE6-6428482E5473}
2011-11-19 17:55 - 2011-11-19 17:55 - 000000000 _____ () C:\Users\Denis\AppData\Local\{9FF98F4B-41D9-4C74-8D6A-137B5113A0D2}
2011-10-04 21:48 - 2011-10-04 21:48 - 000000000 _____ () C:\Users\Denis\AppData\Local\{A10EC84E-B02D-471A-A477-E6D11AA9468A}
2011-09-27 20:59 - 2011-09-27 20:59 - 000000000 _____ () C:\Users\Denis\AppData\Local\{A4F6FB0C-97ED-4001-9640-B6C5C8B18050}
2011-07-07 20:38 - 2011-07-07 20:38 - 000000000 _____ () C:\Users\Denis\AppData\Local\{B876537A-3F10-4021-A644-256A5FA6A21B}
2011-10-03 20:59 - 2011-10-03 20:59 - 000000000 _____ () C:\Users\Denis\AppData\Local\{F2D6E1A9-0C46-47D6-8C68-8747C4E787AC}
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Run: [GoogleChrome update] => C:\Users\Denis\AppData\Roaming\GoogleChrome Update\GoogleChrom.exe [645808 2017-12-22] (Simon Tatham)
C:\Users\Denis\AppData\Roaming\GoogleChrome Update
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

3°)
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

4°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Voici le lien du rapport fixlog :
https://pjjoint.malekal.com/files.php?id=20171222_w1110c5i8o7

A noter que le double accent circonflexe a disparu !
Je continue la suite.
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

J'ai nettoyé 3 clés (G, H et I) mais je n'ai pas pu nettoyer mon DD de sauvegarde qui est en D , il ne veut pas de cette lettre ?
Voici le rapport Rem-VBSlog :

I: \Device\HarddiskVolume7 FAT

=========== - Disinfection info:


=========== - USB drive info:

I: selected

USB Device ID:
IDE\DISKTOSHIBA_MK4055GSX_______________________FG011M__\4&2F0449CB&0&0.0.0

USBSTOR\DISK&VEN_IBM&PROD_MEMORY_KEY&REV_5.02\06E1425123515B39&0

USBSTOR\DISK&VEN_SAMSUNG&PROD_M3_PORTABLE&REV_1402\82317DFA1A00007A&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.03\20043512921DEF220C48&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.02\43185102CF629962&0




Listing root contents of I:
Le volume dans le lecteur I s'appelle IBM MEMKEY
Le num‚ro de s‚rie du volume est 9087-FE40

R‚pertoire de I:\


USB drive disinfected and files unhidden!!


=========== - USB drive info:

H: selected

USB Device ID:
IDE\DISKTOSHIBA_MK4055GSX_______________________FG011M__\4&2F0449CB&0&0.0.0

USBSTOR\DISK&VEN_IBM&PROD_MEMORY_KEY&REV_5.02\06E1425123515B39&0

USBSTOR\DISK&VEN_SAMSUNG&PROD_M3_PORTABLE&REV_1402\82317DFA1A00007A&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.03\20043512921DEF220C48&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.02\43185102CF629962&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of H:
Le volume dans le lecteur H s'appelle D JEANNOT
Le num‚ro de s‚rie du volume est E023-4E94

R‚pertoire de H:\

19/05/2016 22:02 4ÿ096 ._.Trashes
08/07/2016 22:14 21ÿ504 Recolte orge hiver 2016.xls
11/11/2016 20:21 164ÿ864 Relev‚ cour2.xls
12/11/2016 11:35 150ÿ528 Relev‚ cour3.xls
13/11/2016 22:10 160ÿ768 Relev‚ cour4.xls
14/11/2016 10:02 467ÿ944 Quadrillage .pdf
14/11/2016 10:04 689ÿ641 Relev‚ niveaux.pdf
14/11/2016 10:14 160ÿ768 Relev‚ cour4bis.xls
23/12/2016 09:47 10ÿ538 Page 16 etiquettes.xlsx
21/01/2017 11:18 39ÿ091 Epalement cuves1.xlsx
10/08/2017 22:05 <REP> Eolienne
02/10/2017 17:24 <REP> Arts et M‚tiers
10 fichier(s) 1ÿ869ÿ742 octets
3 R‚p(s) 2ÿ166ÿ620ÿ160 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

G: selected

USB Device ID:
IDE\DISKTOSHIBA_MK4055GSX_______________________FG011M__\4&2F0449CB&0&0.0.0

USBSTOR\DISK&VEN_IBM&PROD_MEMORY_KEY&REV_5.02\06E1425123515B39&0

USBSTOR\DISK&VEN_SAMSUNG&PROD_M3_PORTABLE&REV_1402\82317DFA1A00007A&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.03\20043512921DEF220C48&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.02\43185102CF629962&0




Fichier supprim‚ - G:\Chamonix\Sony\Photos\Raccourci vers DSC00152.JPG.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of G:
Le volume dans le lecteur G n'a pas de nom.
Le num‚ro de s‚rie du volume est 0CFA-9054

R‚pertoire de G:\

15/05/2011 21:46 31ÿ232 R‚gime.xls
30/03/2013 18:37 <REP> Videos Chamonix
30/03/2013 18:52 <REP> Chamonix
05/04/2013 21:32 <REP> Copines Lyc‚e
05/04/2013 21:32 <REP> copines Monique
05/04/2013 21:33 <REP> Les bonbonniŠres
05/04/2013 21:43 <REP> Sauvegarde Asus
16/06/2013 18:05 <REP> Manitou Riaux
23/07/2013 20:58 166ÿ400 c628feb012b1a51cfd51ff0ba11260eb.exe
06/08/2013 07:05 <REP> Saint-Clair 2013
21/08/2013 21:36 <REP> Corse 2013
02/09/2013 22:16 <REP> Argile
02/09/2013 22:16 <REP> Belvedere
02/09/2013 22:35 <REP> Coup de coeur 2013
17/09/2013 21:25 <REP> Saint Remy
18/09/2013 22:09 <REP> Roulotte Nokia
20/10/2017 12:14 104ÿ744 Dada1.docx
20/10/2017 12:23 104ÿ594 Dada2.docx
4 fichier(s) 406ÿ970 octets
15 R‚p(s) 3ÿ769ÿ171ÿ968 octets libres

USB drive disinfected and files unhidden!!
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Voici le lien pour le compte rendu malwarebytes :
https://pjjoint.malekal.com/files.php?id=20171222_t15w10y10e14p8

Je n'ai ni enregistré ni mis en quarantaine, que dois-je faire ?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
Oui mets en quarantaine.
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Bon c'est fait.
Maintenant, je peux même écrire Joyeux Noël correctement !
Je vous remercie pour le super travail que vous faites.

Je peux considérer que mon PC est propre ?
Si c'est le cas comment puis-je passer ce sujet en résolu ?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
il faut refaire une analyse FRST et fournir les rapports.
Il faudra aussi changer tous tes mots de passe, car ils ont pu être volés.
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
oui c'est mieux,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:()
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Run: [MJBHC08P] => C:\Program Files\Lrpxdft\d6qlixuhr8lv.exe
C:\Program Files\Lrpxdft
2017-12-22 18:58 - 2017-10-31 09:39 - 000000000 ____D C:\Users\Denis\AppData\Roaming\Imminent
2017-12-22 18:58 - 2017-10-27 19:25 - 000000000 ____D C:\Users\Denis\AppData\Roaming\client
2017-12-22 18:57 - 2015-01-27 21:08 - 000000000 ____D C:\ProgramData\APN
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Voici le contenu du fichier fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 17-12-2017
Exécuté par Denis (22-12-2017 20:53:40) Run:2
Exécuté depuis C:\Users\Denis\Desktop
Profils chargés: Denis (Profils disponibles: Denis)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:()
HKU\S-1-5-21-4237292960-909490886-124525197-1000\...\Run: [MJBHC08P] => C:\Program Files\Lrpxdft\d6qlixuhr8lv.exe
C:\Program Files\Lrpxdft
2017-12-22 18:58 - 2017-10-31 09:39 - 000000000 ____D C:\Users\Denis\AppData\Roaming\Imminent
2017-12-22 18:58 - 2017-10-27 19:25 - 000000000 ____D C:\Users\Denis\AppData\Roaming\client
2017-12-22 18:57 - 2015-01-27 21:08 - 000000000 ____D C:\ProgramData\APN
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-4237292960-909490886-124525197-1000\Software\Microsoft\Windows\CurrentVersion\Run\\MJBHC08P => valeur supprimé(es) avec succès
"C:\Program Files\Lrpxdft" => non trouvé(e).
C:\Users\Denis\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\Users\Denis\AppData\Roaming\client => déplacé(es) avec succès
C:\ProgramData\APN => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4237292960-909490886-124525197-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4237292960-909490886-124525197-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 7989803 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 16778 B
Edge => 0 B
Chrome => 167310331 B
Firefox => 6527591 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 66228 B
LocalService => 0 B
NetworkService => 0 B
Denis => 320848 B

RecycleBin => 0 B
EmptyTemp: => 181.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 20:55:29

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
ok,

Change bien tous tes mots de passe,

c'est terminé,


Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Messages postés
10
Date d'inscription
vendredi 22 décembre 2017
Statut
Membre
Dernière intervention
15 mai 2019

Bonjour,
J'ai supprimé le dossier FRST et j'ai relancé Malwarebytes qui n'a trouvé aucune menace.
J'ai aussi lu le dossier sur les programmes parasites qui fait très peur !
Il me reste donc à changer mes mots de passe mais ça je sais faire tout seul !
Je tiens une nouvelle fois à vous remercier pour l'aide apportée avec réactivité et des outils bien expliqués par des tutoriels que même moi j'ai réussi à suivre !
Vraiment bravo et merci.
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 277
de rien et bonnes fêtes =)