A voir également:
- Double accent cironflexe
- Double ecran - Guide
- Whatsapp double sim - Guide
- E accent minuscule - Guide
- Double appel - Guide
- Double authentification google - Guide
10 réponses
ouais
C'est un keylogger.
démarre Windows en mode sans échec (F8 au bon moment, tu peux appuyer plsrs fois).
Une fois en mode sans échec, va dans le registre (Démarrer>Exécuter>regedit.exe) et cherche la clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\tgbcde
qui devrait avoir la valeur
C:\WINDOWS\tgbcde\module32.exe arg1
efface la clé, elle lance le keylogger module32.exe au démarrage, et ensuite elle devient invisible. Même chose pour le répertoire
C:\WINDOWS\tgbcde qu'il faut effacer et qui est invisible en windows normal. Voilà. Si t'avais la même chose que moi, ça devrait rouler maintenant.
Pourras-tu noter l'heure et la date de création de module32.exe sur ton ordi (les autres fichiers c pas la peine), et regarder dans ton historique d'internet explorer, quel site aurais pu te l'inoculer à ce moment précis, car je pense avoir attraper ce truc en visitant un site, par un popup publicitaire peut-être.
Note : ce keylogger récupère les mots de passe stockés dans la machine, ainsi que ce qu'on tape dans une page web. Si c'était pas module32, en attendant de trouver la solution, utilises osk.exe (Démarrer>Exécuter>osk), le clavier visuel de windows. Il y aura des chances que le keylogger ne détecte pas ce que tu y tapes, ce qui est le cas de module32.
C'est un keylogger.
démarre Windows en mode sans échec (F8 au bon moment, tu peux appuyer plsrs fois).
Une fois en mode sans échec, va dans le registre (Démarrer>Exécuter>regedit.exe) et cherche la clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\tgbcde
qui devrait avoir la valeur
C:\WINDOWS\tgbcde\module32.exe arg1
efface la clé, elle lance le keylogger module32.exe au démarrage, et ensuite elle devient invisible. Même chose pour le répertoire
C:\WINDOWS\tgbcde qu'il faut effacer et qui est invisible en windows normal. Voilà. Si t'avais la même chose que moi, ça devrait rouler maintenant.
Pourras-tu noter l'heure et la date de création de module32.exe sur ton ordi (les autres fichiers c pas la peine), et regarder dans ton historique d'internet explorer, quel site aurais pu te l'inoculer à ce moment précis, car je pense avoir attraper ce truc en visitant un site, par un popup publicitaire peut-être.
Note : ce keylogger récupère les mots de passe stockés dans la machine, ainsi que ce qu'on tape dans une page web. Si c'était pas module32, en attendant de trouver la solution, utilises osk.exe (Démarrer>Exécuter>osk), le clavier visuel de windows. Il y aura des chances que le keylogger ne détecte pas ce que tu y tapes, ce qui est le cas de module32.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
8 avril 2004 à 14:16
8 avril 2004 à 14:16
salut a tu fait ce scan fait le et met le rapport
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
Mister BeeGee
Messages postés
1415
Date d'inscription
vendredi 10 août 2001
Statut
Membre
Dernière intervention
25 mai 2008
191
8 avril 2004 à 16:58
8 avril 2004 à 16:58
Il s'agit très probablement d'une manifestation des virus BugBear ou Badtrans !
Voir à : http://www.secuser.com/alertes/2002/bugbear.htm et http://www.secuser.com/alertes/2001/badtransb.htm
Extrait d'infos trouvées à : http://aspirine.org/frame.html?encyclo
Badtrans
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; peut crasher les serveurs de courriers à cause d'un bug. Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 13 ko compressé, 40 ko décompressé
DECOUVERT: trouvé dans la nature le 12 avril 2001 script de désinfection
Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
BugBear
ALIAS: Tanat, Tanatos
TYPE: ver Internet
CARACTERISTIQUES: utilise les réseaux locaux, enregistre les frappes au clavier, installe un cheval de Troie, désactive les anti-virus qui ne l'ont pas détecté, peut falsifier l'adresse de l'expéditeur des messages.
TAILLE: 51 ko
DECOUVERT: 30 septembre 2002
Extrait d'infos trouvées à : http://www.secuser.com/alertes/2002/bugbear.htm
Accessoirement, lorsque Bugbear infecte un ordinateur, il perturbe l'affichage des caractères accentués : lorsque l'utilisateur veut entrer une lettre comportant un accent, celui-ci est doublé : ``a, ``e, ^^e, ¨¨i, etc.
Les sites INDISPENSABLES à connaître :
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Encyclopédie sur les Virus à : http://aspirine.org/frame.html?encyclo
Extrait de : http://aspirine.org/frame.html?encyclo à propos du virus Badtrans.
"Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté)."
Extrait du même à propos de Bugbear :
"Enregistrement des frappes au clavier : tout ce qui est entré au clavier est enregistré par ce ver, et ensuite c'est envoyé à plusieurs adresses e-mail. Textes divers, mots de passe, codes d'accès...
Un bug à ce niveau-là provoque des problèmes d'affichage des accents circonflexes : un ô apparaîtra comme ^^o, par exemple."
Antivirus en ligne : http://www.secuser.com/antivirus/
Voir à : http://www.secuser.com/alertes/2002/bugbear.htm et http://www.secuser.com/alertes/2001/badtransb.htm
Extrait d'infos trouvées à : http://aspirine.org/frame.html?encyclo
Badtrans
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; peut crasher les serveurs de courriers à cause d'un bug. Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 13 ko compressé, 40 ko décompressé
DECOUVERT: trouvé dans la nature le 12 avril 2001 script de désinfection
Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
BugBear
ALIAS: Tanat, Tanatos
TYPE: ver Internet
CARACTERISTIQUES: utilise les réseaux locaux, enregistre les frappes au clavier, installe un cheval de Troie, désactive les anti-virus qui ne l'ont pas détecté, peut falsifier l'adresse de l'expéditeur des messages.
TAILLE: 51 ko
DECOUVERT: 30 septembre 2002
Extrait d'infos trouvées à : http://www.secuser.com/alertes/2002/bugbear.htm
Accessoirement, lorsque Bugbear infecte un ordinateur, il perturbe l'affichage des caractères accentués : lorsque l'utilisateur veut entrer une lettre comportant un accent, celui-ci est doublé : ``a, ``e, ^^e, ¨¨i, etc.
Les sites INDISPENSABLES à connaître :
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Encyclopédie sur les Virus à : http://aspirine.org/frame.html?encyclo
Extrait de : http://aspirine.org/frame.html?encyclo à propos du virus Badtrans.
"Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté)."
Extrait du même à propos de Bugbear :
"Enregistrement des frappes au clavier : tout ce qui est entré au clavier est enregistré par ce ver, et ensuite c'est envoyé à plusieurs adresses e-mail. Textes divers, mots de passe, codes d'accès...
Un bug à ce niveau-là provoque des problèmes d'affichage des accents circonflexes : un ô apparaîtra comme ^^o, par exemple."
Antivirus en ligne : http://www.secuser.com/antivirus/
salut
j'ai le m^^eme problème (ouais ça se voit hein), sauf qu'en plus le copier-coller ne marche plus dans IE. Il marche au sein de notepad par exemple, mais si je veux récupérer du texte d'une page internet vers notepas ça marche pas. D'ailleurs m^^eme sur Opera ça ne marche pas. J'ai testé les bugbear removal tool que j'ai pu trouvé et rien. J'ai testé un scanner en ligne censé utiliser de l'heuristique, et que dalle.
Bon je vais essayer les removal tool pour BadTrans, ainsi que ravantivirus.com, je vous tiens au courant. Mais est-ce que ça vous dit kke chose le pb du copier-coller ?
Merci
j'ai le m^^eme problème (ouais ça se voit hein), sauf qu'en plus le copier-coller ne marche plus dans IE. Il marche au sein de notepad par exemple, mais si je veux récupérer du texte d'une page internet vers notepas ça marche pas. D'ailleurs m^^eme sur Opera ça ne marche pas. J'ai testé les bugbear removal tool que j'ai pu trouvé et rien. J'ai testé un scanner en ligne censé utiliser de l'heuristique, et que dalle.
Bon je vais essayer les removal tool pour BadTrans, ainsi que ravantivirus.com, je vous tiens au courant. Mais est-ce que ça vous dit kke chose le pb du copier-coller ?
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour mdeubz!!!
j'ai moi aussi le preoblème des ^^ ou des ¨¨ mais m^^eme en fesant ce que tu nous dis, mon problème est toujours là.
j'ai moi aussi le preoblème des ^^ ou des ¨¨ mais m^^eme en fesant ce que tu nous dis, mon problème est toujours là.
bonjour marion,
tu dis que tu as fais ce que je disais, donc est-ce que ça veut dire que tu es tombée sur module32.exe ou le répertoire tgbcde dans ton système ?
Sinon :
ouvres une fenêtre dos et tapes les commandes suivantes
cd c:\windows
dir
et compare ce qui est affiché avec ce que tu vois avec Explorer au même endroit, histoire de voir s'il n'y a pas un répertoire invisible à l'Explorer.
aussi redémarre en mode sans échec, puis tapes msconfig.exe dans Démarrer>Exécuter et notes tout le contenu de l'onglet Démarrage, et note-le ici stp. Le programme devrait y apparaître.
Note les contenus de la colonne "Elément de démarrage" et la colonne "Commande".
PS : ton copier-coller sur Internet Explorer ne marche pas non plus ?
PPS : en attendant de régler, penses à utiliser osk.exe pour taper tes mots de passe sur internet.
tu dis que tu as fais ce que je disais, donc est-ce que ça veut dire que tu es tombée sur module32.exe ou le répertoire tgbcde dans ton système ?
Sinon :
ouvres une fenêtre dos et tapes les commandes suivantes
cd c:\windows
dir
et compare ce qui est affiché avec ce que tu vois avec Explorer au même endroit, histoire de voir s'il n'y a pas un répertoire invisible à l'Explorer.
aussi redémarre en mode sans échec, puis tapes msconfig.exe dans Démarrer>Exécuter et notes tout le contenu de l'onglet Démarrage, et note-le ici stp. Le programme devrait y apparaître.
Note les contenus de la colonne "Elément de démarrage" et la colonne "Commande".
PS : ton copier-coller sur Internet Explorer ne marche pas non plus ?
PPS : en attendant de régler, penses à utiliser osk.exe pour taper tes mots de passe sur internet.
salut tlm ce probleme a deja etait traiter sur ce forum et enfin de compte c'etait du a un bugue generer par un logiciel de protection d'enfant je vous donne le lien j'espere que ca vous aidera ;))http://www.commentcamarche.net/forum/affich-785622-Double-accent-toujours-et-encore
@+++++++++++++++++++
@+++++++++++++++++++
bonjour jess15,
eh bien en fait pas seulement, ce problème est typique d'un keylogger buggé, c'est le cas des virus badtrans et bugbear qui ont un keylogger. Je n'avais ni badtrans ni bugbear mais un simple troyen avec keylogger qui se chargeait de récupérer les infos personnelles, mots de passe, mails de correspondants, etc.
J'avais attrapé ce truc par un popup publicitaire.
J'ai regardé le topic sur logprotect, eh bien ce logiciel contient tout simplement un keylogger buggé pour contrôler ce que tape les enfants (comme donner leur coordonnées sur des chats par exemple).
eh bien en fait pas seulement, ce problème est typique d'un keylogger buggé, c'est le cas des virus badtrans et bugbear qui ont un keylogger. Je n'avais ni badtrans ni bugbear mais un simple troyen avec keylogger qui se chargeait de récupérer les infos personnelles, mots de passe, mails de correspondants, etc.
J'avais attrapé ce truc par un popup publicitaire.
J'ai regardé le topic sur logprotect, eh bien ce logiciel contient tout simplement un keylogger buggé pour contrôler ce que tape les enfants (comme donner leur coordonnées sur des chats par exemple).
Bravo !
Je surfe depuis 3 jours sur les forums à la recherche d'une solution à mon problème d'accents circonflexes. J'ai supprimé deux virus (hatoy et qhosts) et plus rien n'était détecté.
Grace à toi mdeubz, j'ai vu le répertoire caché sous dos.
Cette solution ne semble pas etre très répandue sur le net.
Super !
Je surfe depuis 3 jours sur les forums à la recherche d'une solution à mon problème d'accents circonflexes. J'ai supprimé deux virus (hatoy et qhosts) et plus rien n'était détecté.
Grace à toi mdeubz, j'ai vu le répertoire caché sous dos.
Cette solution ne semble pas etre très répandue sur le net.
Super !
Merci pour les excellentes infos qu'on trouve sous ce thread.
Pour ma part, je viens de regler le problème de l'accent circonflexe en identifiant le trojan "WIN32-GEN". L'anti-virus ayant planté au moment où j'ai voulu l'effacer. Voilà la procédure que j'ai suivie :
1) démarrage en mode sans échec (F8 avant le lancement d'XP)
2) effacement du fichier server.exe dans C:/WINDOWS/SYSTEM32/Server.exe
3) Lancement de HijackThis. effacement de la ligne ou Server.exe apparait.
4) redémarage du système
Et Hop!
Pour ma part, je viens de regler le problème de l'accent circonflexe en identifiant le trojan "WIN32-GEN". L'anti-virus ayant planté au moment où j'ai voulu l'effacer. Voilà la procédure que j'ai suivie :
1) démarrage en mode sans échec (F8 avant le lancement d'XP)
2) effacement du fichier server.exe dans C:/WINDOWS/SYSTEM32/Server.exe
3) Lancement de HijackThis. effacement de la ligne ou Server.exe apparait.
4) redémarage du système
Et Hop!
5 mai 2004 à 20:07
T'avais tout à fait raison. Par contre, la clé n'était pas la même (noter mon tout beau tout neuf accent circonflexe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tgbcde
Tout le reste était pareil. Par contre, étant donné que mon historique s'efface tout les 20 jours, je ne peux pas t'aider concernant le site. Si tu trouves, ça m'intéresse. Par contre, j'ai 2 cookies creées le même jour à la même heure: Cookie:propriétaire@www2.paypopup.com/
Cookie:propriétaire@www3.paypopup.com/
Encore merci
Lonstein