Virus Accent Circonflexe DoubleRésolu/Fermé

Question

Bonjour, l'autre jour j'ai remarqué que ma touche pour l'accent circonflexe faisait le caractère en double et me donnait des mots de ce type : "m^^eme" "^^etre".
Bref je crois que vous avez compris comment ça marche.
Après quelques recherches sur la toile j'ai pu lire que ceci est un virus et pas un problème matériel. 
J'aimerais donc savoir quelle est la démarche à suivre pour régler ce soucis qui peut etre grave (le virus peut il avoir accès à mes données ou ce que je fais?).
Je remercie d'avance celui ou celle (pourquoi pas lol) qui m'aidera et me suivra dans la résolution du mal. Merci beaucoup.

Configuration: Windows 7 / Safari 535.7

Malekal_morte- · Accepted Answer

Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/ 

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques :: 
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/    
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Malekal_morte- · Answer

Salut,

Ramnit or not ramnit
That's the question.

Fais un scan NOD32 et poste le rapport ici : https://www.malekal.com/scan-antivirus-ligne-nod32/

S'il est trop long, utilise http://pjjoint.malekal.com

MartinLouisKing · Answer

Après quelques heures de scan voilà le résultat :

C:\Users\PC\AppData\Local\Temp\MyBabylonTB.exe	Win32/Toolbar.Babylon application	cleaned by deleting - quarantined
C:\Users\PC\AppData\Roaming\owned.exe	Win32/Ainslot.AA worm	cleaned by deleting - quarantined

g3n-h@ckm@n · Answer

salut seul combofix vire cette merd$ à ma connaissance.....

Malekal_morte- · Answer

- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

MartinLouisKing · Answer

Merci de ta réponse.
et voici le lien de mon rapport HijackThis : http://pjjoint.malekal.com/files.php?id=HijackThis_20120106_x11v7y7i7k10

Au passage j'ai remarqué que l'accent circonflexe n'est plus double aujourd'hui :) Virus ou pas virus ? 
Merci.

Malekal_morte- · Answer

humm pas de Ramnit.

Scanne ce fichier C:\Users\Sidi Ahmed\AppData\Local\Google\Chrome\Application\chrome.exe sur https://www.virustotal.com/gui/ et donne le lien de scan.

et ensuite :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s   
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

MartinLouisKing · Answer

Quand on me demande de sélectionner un fichier, j'arrive pas à joindre C:\Users\Sidi Ahmed\AppData\Local\Google\Chrome\Application\chrome.exe

Il n'y a pas AppData mais juste Bureau, Contacts, Favoris, Lien, Image...

MartinLouisKing · Answer

Après avoir fait le scan ça m'envoie à ce lien : 
http://www.virustotal.com/file-scan/reanalysis.html?id=65884e528ce2a9336ca8b11910ecf356ef2a6edb14a16465b0c9bb62f3089a7b-1325936968



Alors avec OTL, le rapport extras.txt est ici :
http://pjjoint.malekal.com/files.php?id=20120107_t9g10d1013j13

Et le rapport OTL.txt est ici :
http://pjjoint.malekal.com/files.php?id=20120107_m10q10n5n7x7

Merci Malekal_morte de suivre mon cas :)

Malekal_morte- · Answer

Le rapport est OK. 

RAT : C:\Users\PC\AppData\Roaming\owned.exe Win32/Ainslot.AA worm cleaned by deleting - quarantined 

Comme ça a des fonctionnalités de keylogger, ça peux être la source du prb. 



Prb résolu donc ? 

Au passage j'ai remarqué que l'accent circonflexe n'est plus double aujourd'hui :) Virus ou pas virus ? 


Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc). 
Vous cliquez, téléchargez et executer. 
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc. 

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection. 

Faire attention à ce que vous téléchargez 

~~ 

d'autre part :  
 [2011/12/23 17:08:00 | 000,000,000 | ---D | C] -- C:\Users\Sidi Ahmed\AppData\Roaming\cacaoweb   
 [2011/12/23 00:24:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PlayerPlus 

PlayerPlus est un programme qui embarque un programme vidéo gratuit et surtout avec des programmes pourris ajoutés pour te les faire installer (Adwares,PUPs etc), ça change les moteurs de recherche. 
Apparemment si c'est bien ça, tu l'as installé et t'as mis cacaoweb derrière. 

Ca vient sur les sites de streaming par les pubs.
Lire : https://forum.malekal.com/viewtopic.php?t=29633&start= 

Bref faire attention à ce que tu installes. 


Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

MartinLouisKing · Answer

Oui j'avais remarqué que CacaoWeb et PlayerPlus (censés être des plugs-ins pour regarder des chaines TV en streaming) sont pas nets et je les avais supprimés mais bon...
Bon et bien je vais faire le changement de tout mes mots de passe. Et merci beaucoup, en espérant que ça prend pas les informations bancaires.. :)

MartinLouisKing · Answer

Merci beaucoup, je vais lire ça !

Gabydou45 · Answer

Bonjour,
je rencontrais le même problème que vous depuis hier. Microsoft Essentials n'identifie pas ce malware.
J'ai donc procédé comme suit :
Vérifier dans le gestionnaire de tâches > onglet processus
si vous voyez upubo.exe (c'est le nom qu'il portait chez moi) ou un autre exe (exotique) qui ne correspond à rien de reconnu.
J'ai cliqué sur fin de tâche et vérifié si ça règlait mon problème d'accents.
C'était bien le cas.
J'ai redémarré mon pc.
Le problème d'accents étant revenu.
Je suis retourné dans le gestionnaire de tâches.
upubo.exe s'était relancé au démarrage.
Cliquer-droit pour voir ces propriétés.
C'est un répertoire caché donc vous faites un copier/coller du chemin d'accès dans votre explorateur de fichiers Windows.
Chez moi c'était dans:
C:\Users\Gaby\AppData\Roaming\Pyoh
cliquez sur fin de tâche à nouveau pour cet exe.
Supprimez définitivement l'exe et son répertoire.

J'ai redémarré pour vérifier.
Problème résolu.

Virus Accent Circonflexe Double

13 réponses

Discussions similaires

Newsletters