Téléchargement
illégal
Posez votre question Signaler

Virus "Thayet Myo Hacking Day" pb clavier

mleloy 1Messages postés 2 avril 2010Date d'inscription 2 avril 2010Dernière intervention - Dernière réponse le 1 juil. 2010 à 04:06
Bonjour,
J'ai chope le virus Thayet Myo Hacking Day il y a quelques jours et n'arrive pas a m'en debarasser, malgres la lecture de plusieurs forums sur le sujet.
J'ai telecharge Trojan Remover, ainsi que Malwarebytes, mais je n'arrive pas a supprimer definitivement les fichiers infectes explorer.exe, ils reviennent a chaque fois!
J'ai eu au debut 2 banieres qui apparaissaient sur mon ecran avec le nom du virus, maintenant je ne les ai plus, mais j'ai toujours le probleme avec le clavier, quand je veux taper un O, c'est un 6 qui s'inscrit!
Comment faire pour m'en debarasser definitivement?
J'ai besoin de votre aide, je suis en voyage et toutes mes photos sont sur mon laptop, je ne veux pas les perdre!!!!
Merci d'avance pour votre aide.
Marie-Laure
Lire la suite 

Virus "Thayet Myo Hacking Day" pb clavier »

18 réponses
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 2 avril 2010 à 13:03
Salut,

Quel est ton systeme d'exploitation stp ?

Fait ceci :

▶ Télécharge Random's System Information Tool (RSIT).

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur 'Continue' à l'écran Disclaimer.

▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Comment héberger les rapports trop longs de RSIT ??


Ajouter un commentaire
mleloy- 2 avril 2010 à 13:31
C'est Windows XP, mais j'ai utilise USB Fix pour nettoyer mon PC mais cela a tellement ete efficace qu'il m'a supprime le fichier infecte "explorer.exe" et que quand je rallume mon PC, je n'ai plus aucun icone sur mon bureau et ne peut rien faire, comment reparer ca? Aidez moi s'il vous plait, je suis nul en informatique!
625 - 1 juil. 2010 à 04:06
info.txt logfile of random's system information tool 1.06 2010-07-01 03:01:25

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe AIR-->c:\Program Files\Fichiers communs\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
Dofus 1.28.0-->C:\Program Files\Dofus\uninstall.exe
Maroc Telecom-->C:\Program Files\InstallShield Installation Information\{5ABD53CC-6182-40DF-9663-EBC9E6F3AE7C}\setup.exe -runfromtemp -l0x040c -removeonly
Mozilla Firefox (3.5.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Sagem Wi-Fi 11g USB adapter (driver)-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2ED60C17-4568-4CD5-830A-03C4688B09A1}\setup.exe" -l0x40c
Sagem Wi-Fi 11g USB adapter (utility)-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AAFD22B6-A6C7-4134-AF4E-080BCBCD3493}\Setup.exe" -l0x40c

======System event log======

Computer Name: ABDOU-BC41810BC
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 131
Source Name: EventLog
Time Written: 20100604133515.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 130
Source Name: EventLog
Time Written: 20100604133515.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 7036
Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

Record Number: 129
Source Name: Service Control Manager
Time Written: 20100604125059.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 7036
Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

Record Number: 128
Source Name: Service Control Manager
Time Written: 20100604125059.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI.

Record Number: 127
Source Name: Service Control Manager
Time Written: 20100604125058.000000+000
Event Type: Informations
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: ABDOU-BC41810BC
Event Code: 2003
Message:
Record Number: 168
Source Name: EAPOL
Time Written: 20100629214638.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 167
Source Name: SecurityCenter
Time Written: 20100629214632.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 101
Message: wuauclt (1204) Le moteur de base de données est arrêté.

Record Number: 166
Source Name: ESENT
Time Written: 20100629145516.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 103
Message: wuaueng.dll (1204) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).

Record Number: 165
Source Name: ESENT
Time Written: 20100629145516.000000+000
Event Type: Informations
User:

Computer Name: ABDOU-BC41810BC
Event Code: 102
Message: wuaueng.dll (1204) SUS20ClientDataStore: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 164
Source Name: ESENT
Time Written: 20100629145015.000000+000
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
Ajouter un commentaire
Réponse
+1
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 2 avril 2010 à 14:24
Apres USBFIX ?

Essaye lorsque tu es sur le bureau de faire ceci :

CTRL+ALT+SUPPR - le gestionnaire de taches s'est ouvert - dans l'onglet Applications clique sur Nouvelle tache- dans l'encadré, ecrit : explorer.exe et clique sur OK ...dis moi si tes icones sont revenues.

Si cela marche fait RSIT.

Ajouter un commentaire
mleloy- 2 avril 2010 à 18:00
J'ai fait cette manip, mais j'ai le message suivant : "Windows ne trouve pas explorer.exe" et je n'ai toujours aucune icone.
Quoi faire?
Ajouter un commentaire
Réponse
+0
moins plus
Guillaume5188 16814Messages postés 21 mars 2009Date d'inscription 26 mai 2012Dernière intervention 2 avril 2010 à 18:56
Bonsoir

Pour avancer InfernO.vir

Essaie une restauration;même si ton problème revient;et fait ceci:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

http://telechargement.zebulon.fr/zhpdiag.html

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 2 avril 2010 à 20:32
Salut,

Merci Guillaume, en fait javais pas vu que mleloy avait repondu, mes interventions etaient grises ...


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
mleloy 4 avril 2010 à 09:54
J'ai tente de faire une restauration a une date anterieure au probleme, mais cela n'a pas fait re-apparaitre mes icones sur le bureau, j'ai toujours le meme message, Windows ne trouve pas explorer.exe!

Et je n'arrive du coup pas a me connecter au net, donc je ne peux rien telecharger non plus.

Quoi faire?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 4 avril 2010 à 10:04
Tu as un moyen de telecharger a partir d'un autre pc et de le transmettre sur le pc infecté ( par clé usb par ex...) ?

Ensuite, télécharge Zeb-Restore :

ftp://zebulon.fr/Zeb-Restore.zip

Enregistre ce fichier sur le bureau.

? Clique droit Zeb-Restore.zip ==> Extraire tout choisis comme
lieu d'enregistrement le bureau.

? Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

? Coche la case devant : Bureau ( si tu as un message d'erreur recommence en mode sans échec )

-- Ne coche aucune autre case --

? Clique sur Restaurer

? Redémarre ton PC


Dis-moi si tes icones sont revenues ?

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
mleloy 6 avril 2010 à 07:05
inferno j'ai telecharge zebulon et cocher toutes les cases par megarde car je n'avais plus ton message sous les yeux.

mes icones ne sont pas revenu et j'ai toujours le probleme avec mon clavier, je suis oblige d'ecrire avec la touche fn enfonce sinon par exemple quand je tape "jkl" ceala m'ecris "123".

je vous rappel qu'a la base j'ai voulu eradiquer le virus thayet myo hacking day et que maintenant je pense avoir eradiquer le virus mais je n'ai plus d'icones sur mon bureau et un probleme de clavier.

tout cela est tres handicapant!

EsT-CE que quelqu'un peut m'aider

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 6 avril 2010 à 12:07
Bien,

On va passer a un outil plus puissant :

▶ Télécharge Combofix de sUBs


▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Je te conseille d'installer la console de récupération !!

ensuite envois le rapport stp




Ajouter un commentaire
mleloy - 6 avril 2010 à 12:19
Merci pour tes conseils, mais cela me fait un peu peur d'utiliser combofix.
Surtout que j'ai du nouveau, j'ai récupére mon clavier normal en me baladant sur d'autres forums et en enfonçant juste les touches Fn et NumLk en même temps!
Je pense également que le virus est éradiquer, donc mon seul problème maintenant (et pas des moindre) récupérer toutes les icônes de mon bureau, la barre des taches...
Je pense que tout cela vient de la suppression du fichier explorer.exe par le programme UsbFix au moment où je voulait supprimer le virus.

Comment puis-je donc retrouver ce fichier?
Dois-je nécessairement lancer le CD d'installation?
Car le problème c'est que j'ai un netbook donc pas de lecteur CD!

Merci de votre aide
Ajouter un commentaire
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 6 avril 2010 à 12:54
Ne t'inquiètes pas, passe combofix, si tu suis les instructions données, cela se passeras bien, une infection peut remplacer le shell explorer.exe avec celui de l'infection et donc plus acces aux incones ni rien sur le bureau ...

On essayer combofix et si cela ne change rien, je vais me renseigner pour remplcaer le explorer.exe ...


Ajouter un commentaire
InfernO.vir- 6 avril 2010 à 13:03
PS : est-ce tu as le rapport d'usbfic quand il a viré explorer.exe ? si oui poste le stp.
mleloy - 6 avril 2010 à 13:15
Je ne suis pas sûr que ce sois le rapport de USBFix mais ça peux peut être aider :


BitDefender Online Scanner



Scan report generated at: Tue, Mar 30, 2010 - 14:41:55





Scan path: C:\;D:\;







Statistics

Time
01:54:37

Files
169653

Folders
3768

Boot Sectors
0

Archives
7956

Packed Files
16311




Results

Identified Viruses
7

Infected Files
21

Suspect Files
0

Warnings
0

Disinfected
15

Deleted Files
5




Engines Info

Virus Definitions
5555062

Engine build
AVCORE v2.1 Windows/i386 11.0.0.33 (Feb 25 2010)

Scan plugins
17

Archive plugins
44

Unpack plugins
8

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe
Infected with: Win32.Sality.2.OE

C:\Documents and Settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe
Disinfected

C:\Documents and Settings\Marie-Laure ELOY\Application Data\Facebook\uninstall.exe
Infected with: Win32.Sality.2.OE

C:\Documents and Settings\Marie-Laure ELOY\Application Data\Facebook\uninstall.exe
Disinfected

C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
Infected with: Gen:Win32.Sality.Dam

C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
Disinfection failed

C:\Documents and Settings\Marie-Laure ELOY\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
Deleted

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temp\winxigaw.exe
Infected with: Trojan.Generic.3551133

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temp\winxigaw.exe
Deleted

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\5BXK1TNR\OOo_3.1.1_Win32Intel_install_wJRE_fr[1].exe
Infected with: Win32.Sality.2.OE

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\5BXK1TNR\OOo_3.1.1_Win32Intel_install_wJRE_fr[1].exe
Disinfected

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\6MRGLFEJ\Install_Facebook_Plug-In_1.0.3[1].exe
Infected with: Win32.Sality.2.OE

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\6MRGLFEJ\Install_Facebook_Plug-In_1.0.3[1].exe
Disinfected

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[1].exe
Infected with: Win32.Sality.2.OE

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[1].exe
Disinfected

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
Infected with: Gen:Trojan.Heur.gmZ@@d39nG

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
Disinfection failed

C:\Documents and Settings\Marie-Laure ELOY\Local Settings\Temporary Internet Files\Content.IE5\ENZEE7PI\Firefox%20Setup%203.6.2[2].exe
Deleted

C:\Documents and Settings\Marie-Laure ELOY\Mes documents\DCIM.exe
Infected with: Worm.Generic.55725

C:\Documents and Settings\Marie-Laure ELOY\Mes documents\DCIM.exe
Deleted

C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
Disinfected

C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
Disinfected

C:\Program Files\Google\Picasa3\Picasa3.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Google\Picasa3\Picasa3.exe
Disinfected

C:\Program Files\Google\Picasa3\PicasaUpdater.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Google\Picasa3\PicasaUpdater.exe
Disinfected

C:\Program Files\Mozilla Firefox\firefox.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Mozilla Firefox\firefox.exe
Disinfected

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
Disinfected

C:\Program Files\VideoLAN\VLC\vlc.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\VideoLAN\VLC\vlc.exe
Disinfected

C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
Infected with: Win32.Sality.2.OE

C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
Disinfected

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
Infected with: Backdoor.Hamweq.J

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
Delete failed

C:\WINDOWS\Alcmtr.exe
Infected with: Win32.Sality.2.OE

C:\WINDOWS\Alcmtr.exe
Disinfected

C:\WINDOWS\BackUp\autorun.inf
Infected with: Win32.Worm.Autorun.PF

C:\WINDOWS\BackUp\autorun.inf
Deleted

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Infected with: Win32.Sality.2.OE

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Disinfected
Ajouter un commentaire
Réponse
+0
moins plus
InfernO.vir 111Messages postés 19 février 2010Date d'inscription 27 octobre 2010Dernière intervention 6 avril 2010 à 13:26
Aîeaîe !!!!!!!!!!!

Mauvaise nouvelle, tu es infection par Sality qui est une variante de Virut, le virus le plus difficile a enlever ! je vais te demander de faire ce qui es ici :

http://www.commentcamarche.net/faq/16138-comment-supprimer-virut

Tu me poste un rapport de Dr webcureit et d'AVPTOOL.


Ajouter un commentaire
mleloy - 7 avril 2010 à 03:40
C'est bien ma veine!!
Du coup j'abandonne la procedure de Combo Fix?

Par contre, sais-tu comment je peux sauvegarder mes documents precieux car je ne peux pas utiliser de CD ou DVD dans mon netbook et une cle USB risquerait d'etre infecte non?

J'ai lu que le temps etait mon pire ennemi car le virus se propage, mais est-ce aussi le cas, ordinateur eteint?

Merci de votre aide
InfernO.vir- 7 avril 2010 à 11:10
"Du coup j'abandonne la procedure de Combo Fix? "

Il va falloir formater a letat d'usine !

"Par contre, sais-tu comment je peux sauvegarder mes documents precieux car je ne peux pas utiliser de CD ou DVD dans mon netbook et une cle USB risquerait d'etre infecte non?

Pas de bol en plus tu peux pas utiliser de CD ... il infecte les cle usb donc ca sert a rien tu vas infecter ton autre pc apres ...

Je t'aurais bien proposé ceci :

http://www.commentcamarche.net/...

Mais il y a besoin de graver un CD et sur un netbook ....

Je suis desolé pour toi mais je crois bien qu'il va falloir formater sans rien pouvoir sauvegarder !

J'ai bien chercher mais aucune solution il faudrait un lecteur CD ...
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus "Thayet Myo Hacking Day" pb clavier » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?