Doute de virus double accent circonflexe [résolu]

[PaperStreet]

Bonjour, je crois avoir un virus, quand je tape sur la touche accent circonflexe, voici ce que cela me fait "^^".

J'ai vu sur le forum une personne avoir ce souci.
J'ai suivi toutes les étapes possible pour m'en débarrasser mais cela revient toujours.

A noter, étrangement, quand je boot le PC, durant 1 minute ou 2 tout va bien mais en suite les double accents reviennent.

Que dois-je faire?

Je vous remercie par avance.

[Malekal_morte]

Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[PaperStreet]

Bonsoir,

J'ai bien suivi le tuto FRST, ma seule question est (je prends des précautions vous voyez^^) , mon nom s'affiche dans le rapport, je l'ai donc mis en privé.

Comment puis-je vous fournir le mot de passe pour le consulter en privé?

En attendant, voici les trois liens :
FRST :
https://pjjoint.malekal.com/files.php?i ... _g914f1368

ADDITION:
https://pjjoint.malekal.com/files.php?i ... g10z7i6n13

SHORTCUT:
https://pjjoint.malekal.com/files.php?i ... u13u7s10u8

[PaperStreet]

Après un scan de Malwarebytes Anti-Malware (MBAM), il a trouvé plusieurs entrées dans 1 Module, 3 Clé du registre et dans 2 fichiers, toutes avec le même nom : Trojan.BrowserHijack

Je n'ai plus de problème depuis la mise en quarantaine.

J'ai pourtant norton 360 d'installé... Puis-je avoir MBAM en plus de Norton ?

Y a t-il un moyen de savoir depuis combien de temps ce Trojan était installé ?
J'ai peut être installé norton juste après l'infection. Est-ce que, même si j'avais le trojan, Norton a fait une protection contre d’éventuelles récupérations de données ?

J'imagine que je dois changer tous mes mots de passe par sécurité quoi qu'il en soit mais j'aimerais me rassurer autant que possible et comprendre le fonctionnement de tout ça.

[Malekal_morte]

Si tu ne donnes pas le mot de passe, on ne peut pas consulter les rapports.

[Malekal_morte]

En effet, MBAM a supprimer le malware :

Trojan.BrowserHijack, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\PI\WSTPQuery, Aucune action de l'utilisateur, 2471, 955723, , , , , 7793BFE818DE0C6FC8E881105F7B118B, 8C0267CBEA24B6A187FDA4B87B420642C8189A81590C9521C4063118A3DB8635
Trojan.BrowserHijack, C:\PROGRAM FILES (X86)\COMMON FILES\CONTROLDISCOVER\YOGOPINS\NETR3C_WZAG.DLL, Aucune action de l'utilisateur, 2471, 955723, 1.0.61277, , ame, , 849A36E9CF3481D50C602CEA1FAB59DF, 120117664D04F192DD9F9198407DA328512BB1C041050147F9223B7E469586B8

Change tous tes mots de passe, ils ont été volés.



A noter que tu n'es pas à ta première infection, déjà en Août :

Date: 2021-08-12 15:13:28
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Wacatac.B!ml
ID : 2147735505
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Charles MILLS\AppData\Local\NSogs2\NSogs2.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : MILLS-PC\Charles MILLS
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.345.381.0, AS: 1.345.381.0, NIS: 1.345.381.0
Version du moteur : AM: 1.1.18400.4, NIS: 1.1.18400.4

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {F63EB0A5-55B3-481C-A13D-870AC76662DA} - System32\Tasks\Microsoft\Windows\PI\WSTPQuery => C:\WINDOWS\SysWOW64\RUNDLL32 "C:\Program Files (x86)\Common Files\ControlDiscover\YogoPins\netr3c_Wzag.dll" Micrft_SecSPACE
C:\Users\Charles MILLS\AppData\Local\NSogs2
2020-08-27 17:32 - 2020-08-27 17:32 - 000000000 _____ () C:\Users\Charles MILLS\AppData\Local\{FA5B2C04-FC2E-4F94-B691-35A07CFEC39E}

EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

~~

A désinstaller, inutile :

QuickTime
Wise Registry Cleaner

[PaperStreet]

Voici le resultat fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-10-2022
Exécuté par Charles MILLS (20-10-2022 14:39:40) Run:2
Exécuté depuis C:\Users\Charles MILLS\Desktop
Profils chargés: Charles MILLS & postgres
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {F63EB0A5-55B3-481C-A13D-870AC76662DA} - System32\Tasks\Microsoft\Windows\PI\WSTPQuery => C:\WINDOWS\SysWOW64\RUNDLL32 "C:\Program Files (x86)\Common Files\ControlDiscover\YogoPins\netr3c_Wzag.dll" Micrft_SecSPACE
C:\Users\Charles MILLS\AppData\Local\NSogs2
2020-08-27 17:32 - 2020-08-27 17:32 - 000000000 _____ () C:\Users\Charles MILLS\AppData\Local\{FA5B2C04-FC2E-4F94-B691-35A07CFEC39E}

EmptyTemp:
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F63EB0A5-55B3-481C-A13D-870AC76662DA}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\Microsoft\Windows\PI\WSTPQuery" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\PI\WSTPQuery" => non trouvé(e)
"C:\Users\Charles MILLS\AppData\Local\NSogs2" => non trouvé(e)
C:\Users\Charles MILLS\AppData\Local\{FA5B2C04-FC2E-4F94-B691-35A07CFEC39E} => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1151821420-2383065939-3652181381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1151821420-2383065939-3652181381-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 786432 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29550607 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 237860 B
Edge => 0 B
Chrome => 0 B
Firefox => 647453194 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 56616 B
NetworkService => 56616 B
Charles MILLS => 10489101 B
postgres => 10489101 B
OVRLibraryService => 10489101 B

RecycleBin => 0 B
EmptyTemp: => 676.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:40:04 ====

[Malekal_morte]

Ok parfait.

Supprime C:\FRST
Change tous tes mots de passe.


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[PaperStreet]

J'ai changé tous mes mots de passe avant de faire le fix FRST. Est ce que cela est grave?
J'avais bien éffacé l’ensemble des cookies et des données de sites stockés par Firefox avant de le faire.

[PaperStreet]

Je les ai tous changé après la suppresion par MBAM mais avant le fix FRST.
Dois-je tout recommencer?

Aussi, pour l'infection en Aout, quand on voit inscrit "Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable." est ce que le defender fait un travail pour le bloquer à ce moment là ou c'est juste une notification?

Que conseillez-vous pour limiter au maximum les attaques, MBAM ou Norton 360?

[Parisien_entraide]

Bonjour

Déjà :

- Tu étais en procédure, donc tu n'avais pas à prendre d'initiatives comme changer les mots de passe et passer MBAM et en plus ce n'était pas demandé avant analyse
- Tu fais une fixette sur ton identité mais tu laisse le rapport fixlist avec nom et prénom et SURTOUT, ton ordinateur EST ton identité


Malekal répondra peut etre pour les questions infections car vu que les logs FRST ne sont pas consultables (mot de passe) il y a peut etre d autres compléments
Néanmoins Defender est comme tous les AV, il peut détecter une partie de l'infection mais pas tout
Pour en savoir plus sur ton infection https://www.malekal.com/virus-chronopos ... rojan-rat/

et pour se protéger des scripts de ces malwares : https://www.malekal.com/hardentools-securiser-windows/

Ensuite pourquoi NORTON ?
L' AV n'est qu'une partie, une brique dans la protection
Regarde la signature de Malekal sur la protection

[PaperStreet]

Bonjour

Déjà :

- Tu étais en procédure, donc tu n'avais pas à prendre d'initiatives comme changer les mots de passe et passer MBAM et en plus ce n'était pas demandé avant analyse
- Tu fais une fixette sur ton identité mais tu laisse le rapport fixlist avec nom et prénom et SURTOUT, ton ordinateur EST ton identité


Malekal répondra peut etre pour les questions infections car vu que les logs FRST ne sont pas consultables (mot de passe) il y a peut etre d autres compléments
Néanmoins Defender est comme tous les AV, il peut détecter une partie de l'infection mais pas tout
Pour en savoir plus sur ton infection https://www.malekal.com/virus-chronopos ... rojan-rat/

et pour se protéger des scripts de ces malwares : https://www.malekal.com/hardentools-securiser-windows/

Ensuite pourquoi NORTON ?
L' AV n'est qu'une partie, une brique dans la protection
Regarde la signature de Malekal sur la protection

Bonjour,
Je vous remercie pour votre réponse.

- En effet, j'ai préféré prendre les devants, essayer d'avancer au maximum en passant MBAM et changer aussi vite que possible mes mots de passe.
Cela veut il dire que je dois de nouveau changer tous les mots de passe car je l'ai fait avant le fix FRST?
J'avais bien effacé l’ensemble des cookies et des données de sites stockés par Firefox avant de le faire.

- Quand j'ai vu que Malekal à publié le rapport d'une infection en Aout avec mon nom j'en suis venu à la conclusion que cela n'avait aucune importance que mon nom apparaisse sinon elle ne l'aurait pas fait. Tous ces rapports et fixlist ne contiennent pas d'information qui puissent mettre en danger la sécurité de mon ordinateur ?

Merci aussi pour tout le reste de vos réponses et votre aide, c'est très intéressant. Je vais regarder cela de très prêt.

[Parisien_entraide]

Il n'y a pas de rapport avec le vidage des cookies etc et le changement de mot de passe

Par contre si tu as des doutes tu peux les change à nouveau et en profiter pour utiliser un gestionnaire de mots de passe
https://www.malekal.com/keepassxc-le-ge ... piratages/

A utiliser avec Firefox (qui n 'est pas impacté), par ex car TOUS les gestionnaire de mots de passe de sites, sont piratables avec Chrome, et navigateurs sous Chromium (EDGE etc autres)
Cela évite de stocker les login et mot de passe dans les navigateurs (ce qui est pire)

Ensuite c'est un forum, donc Malekal ne va pas communiquer les procédures dont de fixlist etc par mail (ca serait ingérable avec tous les utilisateurs) et un forum c'est fait pour apprendre, échanger, etc
Ton nom et prénom sont les seules infos que les lecteurs voient ici
Les infos fixlist ne mettent pas en danger ton ordi

Par contre sur des sites web (meme en visitant) avec différentes données recueillies automatiquement on (l'administraeur du site) peut savoir qui tu es, où tu habites, photos etc et le tout avec un minimum de données tout cela parce que tu as mis ton nom et prénom en tant qu'utilisateur de Windows qui confirment l'identification (l'IP en est une meme si elle n'est pas toujours probante)
Une adresse mail peut également indiquer une tranche d'age (et oui :-) déterminer ton ancienneté sur le net etc

Sinon pour la lecture, tu as bien vu les liens que Malekal à donné sur les virus, comment s'en protéger etc ?

[PaperStreet]

Merci encore pour la réponse.

Ai-je changé mes mots de passe trop tôt et dois-je tout recommencer du fait de l'avoir fait avant le fix FRST?
Le malware avait déjà était supprimé par MBAM mais je n'avais pas encore fait le fix FRST...
Le malware en question repéré par MBAM était Trojan.BrowserHijack
Si j'ai bien compris c'est un trojan qui peut récuperer les mots de passe stockés dans le navigateur? (Que je refuse toujours fort heureusement)
Et celui qui datait du mois d'Aout était un Trojan:Win32/Wacatac.B!ml
Celui là à été traité surtout avec le fix FRST si j'ai bien compris? D’où ma question si j'ai changé mes mots de passe trop tôt et que je dois tout recommencer.

C'est encore très intéressant et je l'ignorais. Je vais donc le changer au plus vite.

Pour la lecture, j'ai bien vu les liens que Malekal à donné, je m'attèle à mettre tout en place. Je passe de topic en topic sur le site pour tout bien vérifier mais je m'y perds un peu avec la masse d'informations que j'essaye d’engranger.

[Parisien_entraide]

Je n'ai pas accès à tes logs FRST donc je ne sais rien

Ensuite j'ai écris "Par contre si tu as des doutes tu peux les changer à nouveau "
et mieux, même si ils sont changés, d'utiliser un gestionnaire de mot de passe

Je ne peux pas être plus clair