double accent circonflexe sous sevenRésolu/Fermé

Question

Bonjour à tous,

Je viens d'attrapper cette saloperie moi aussi en deux fois. La première fois, après un simple scan avec MBAM j'ai réussi à revenir sur le simple circonflexe, meme s'il n'avait rien détecté, mais cette deuxième fois pas moyen. J'ai fais tous les scans possibles avec la multitude des outils présents sur les forums, mais en vain.

Je suis sous win 7.

j'ai m^^eme essayé (vous voyez) les outils de suppression des Bugbear et BadTrans2, mais rine, ce ne sont pas eux en cause.

En revanche, je viens de m'apercevoir d'encore un effet néfaste de ce virus: les flèche directionnelles ne fonctionnent plus, en revanche lors de leur utilisation, l'ordinateur rame pour un court moment.

Comme j'ai pu lire sur les forums, j'ai aussi une double apparition de l'IE dans les processus lors de l'ouverture d'une seule page (un de processus peut ^^etre arr^^eté, mais pas l'autre)

L'effet est présent meme en "save mode", mais seulement sur mon profil.

J'ai déjà essayé de supprimer les langues du clavier et réinstaller (une solution qui a marché pour certains), mais pas pour moi.

J'ai fait un diagnostique avec ZPH, et voilà le résultat. Si vous pouvez m'aider ce sera sympa!

Merci d'avance.

<html><a href "http://www.cijoint.fr/cjlink.php?file=cj201110/cijX0jObDF.txt ">ZPH result</a></html>

Je sais pas pourquoi ça ne marche pas en lien..... Désolé

http://www.cijoint.fr/cjlink.php?file=cj201110/cijX0jObDF.txt juju666

juju666 · Answer

Salut,

Envoie ce fichier sur virustotal.com et colle le lien de l'analyse ici (s'il te dit que le fichier a déjà été analysé, clique sur Reanalyse)

C:\Users\Gabi\AppData\Roaming\supfc\upd.exe   

Désinstalle la toolbar FaceMood

gabidospi · Answer

Merci juju de m'avoir répondu.

Pour le fichier, j'ai du demander la réannalyse (comme tu te doutais un peu) et maintenant il est en file d'attente (#800). Dès que la réponse sera prete, je la posterai.

Sinon pour la toolbar, je l'avais déjà désintallé, mais il restait les entrées dans les registres (j'y pense jamais).

Je sais meme pas à quelle occasion elle s'est installé, d'habitude je fais gaffe. 

Merci. En revanche je voudrais te demander aussi, comment on fait apparaitre les liens html, parceque avec l'insertion de code et avec du html, ça marche pas trop (comme tu vois dans mon premier poste).

juju666 · Answer

Oui  

Il suffit d'utiliser ce code : 


[lien nom du lien] 

 .::. Contributeur Sécurité .::.

gabidospi · Answer

Voilà les résultats (comme je ne sais pas si le lien du résultat c'est l'adresse affichée dans la barre de liens, je pose 2 versions):

http://www.virustotal.com/file-scan/report.html?id=130e2cc158cf084eb57976ed43404f2851f9afa37e6a75557552bc82f7d116cb-1318961295#

sinon, le résultat en format pdf sur 
http://www.cijoint.fr/cjlink.php?file=cj201110/cijV9zJ7ef.pdf

gabidospi · Answer

Merci, 

J'arrive toujours pas avec le hypertexte......

si je mets [lien adresse_du_lien] il m'affiche en texte adresse_du_lien
-              [adresse_du_lien "nom_du_lien] il m'affiche que le nom_du_lien

Il doit manquer qq chose dans la syntaxe du code.

Sinon merci de regarder pour mon problème

juju666 · Answer

ok c'est bien un malware :)

envoie le fichier C:\Users\Gabi\AppData\Roaming\supfc\upd.exe  sur http://upload.malekal.com

merci de ta contribution :)

~~

 Désactive ton antivirus le temps de l'utilisation de l'outil car l'outil est détecté à tort comme infectieux 

Télécharge ForceMove de Juju666    

Exécute le.  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:    


C:\Users\Gabi\AppData\Roaming\supfc\upd.exe 


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t'avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s'ouvrira à terme  (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)  

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

gabidospi · Answer

Je n'arrive pas à envoyer le fichier, le site m'affiche "Erreur, vous n'avez pas choisi de fichier"

Et je pense qu'il y a un lien entre le fait que je n'arrive pas à le copier ailleurs ou le supprimer manuellement ce fichier (les options ont disparu du menu pop-up)

Je continue avec forcemove ou pas?

juju666 · Answer

Oui, fait forcemove, on récupèrera la 40aine après :o)

gabidospi · Answer

Rapport ForceMove: 

########## ForceMove de Juju666  
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666  
Windows 7 Home Premium [7601.17640.amd64fre.win7sp1_gdr.110622-1506]  
Démarrage à 21:49:18   
  
##### Arrêt des processus  
ArrÛtÚ : PID 1260 'iexplore.exe'   
ArrÛtÚ : PID 4928 'iexplore.exe'   
ArrÛtÚ : PID 4928 'iexplore.exe'   
ArrÛtÚ : PID 4928 'iexplore.exe'   
ArrÛtÚ : PID 2520 'explorer.exe'   
  
  
##### Fichiers|Dossiers  
   
  
Mis en quarantaine et supprimé ! : C:\Users\Gabi\AppData\Roaming\supfc\upd.exe       
   
Non supprimé !!! : C:\Users\Gabi\AppData\Roaming\supfc\upd.exe        
   
########## Terminé avec succès à 21:59:45   
   
########## ( EOF )   



En effet, le fichier est toujours présent.
Et le ^^ aussi :(          Saloperie!!!

juju666 · Answer

Il se fait coriace, je vais essayer de modifier mon programme pour que ça passe ^^

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Files
C:\Users\Gabi\AppData\Roaming\supfc\upd.exe 


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

gabidospi · Answer

Done!  

Le fichier a été supprimé après reboot! 

========== FILES ========== 
File move failed. C:\Users\Gabi\AppData\Roaming\supfc\upd.exe scheduled to be moved on reboot. 
  
OTM by OldTimer - Version 3.1.19.0 log created on 10182011_220728 

Files moved on Reboot... 
C:\Users\Gabi\AppData\Roaming\supfc\upd.exe moved successfully. 

Registry entries deleted on Reboot... 

Et maintenant je peut même écrire correctement "même" lol 

Merci juju 

MAintenant je vais chercher à uploader le fichier sur malekal. 

En revanche, pour les autres fichiers (des dll) qui se trouvaient dans le même dossier que le fichier exe, je les supprime je pense?


Mince, je viens de m'appercevoir, la carantaine est vide, le fichier n'a pas pu être déposé là (je pense que pour la même raison que je pouvais pas l'uploader sur malekal

juju666 · Answer

Non, pas touche les dll.

Refais un zhpdiag pour voir

gabidospi · Answer

Yes!!!

Par contre il est dans le dossier MOVED de l'OTM

juju666 · Answer

oui :)

envoie le chez mak' ;)

gabidospi · Answer

J'espère qu'il n'y a pas de limite de taille, parce qu'il fait quandmême 8 mb.


Toujours pas de possibilité de l'uploader.

Le même message: "Vous n'avez pas choisi de fichier. Retour"

En revanche, dans le dossier MovedFiles de OTM les restrictions du fichier corrompu ont été enlevées (j'ai récupéré les options Copier/Supprimer du menu contextuel)


Comment l'envoyer autrement sur le site???

juju666 · Answer

Normalement, non. L'upload risque d'être assez long par contre.

gabidospi · Answer

Le temps ça compte pas, vu qu'il est assez coriace, ça serait bien de l'envoyer afin de pouvoir faire sa profilaxie, mais je n'arrive pas. Après quelques minutes d'attente (pas de fenetre qui s'affiche, seulement le cercle qui tourne - rechargement de page) et puis le message d'erreur.


Là je viens d'éradiquer la dernière trace de cette saloperie dans les registres.

Merci juju!!! Bon travail!!!

juju666 · Answer

et si tu le zippe ?

gabidospi · Answer

Je gagne pas beaucoup en taille... quelques 200 kb seulement. Mais j'essaye....

Non, il veut rien savoir.

J'abandonne..... dommage... si m'arrive d'avoir d'autres idées, je vais les essayer...

Winfboom · Answer

Bonjour , pour résoudre le problème j'ai supprimé tout le fichier supfc qui se trouve dans :
C:\Users\mon_nom\AppData\Roaming
Si il est impossible de le supprimer car ouvert dans une autre application, faites ALT+CTRL+SUPR et ouvrez le gestionnaire de tâche, allez dans processus, et terminé le processus udp*32.exe.
Vous pourrez alors supprimer ce satané dossier et écrire correctement le verbe être ;)

Double accent circonflexe sous seven

20 réponses

Discussions similaires

Newsletters