Accents circonflexes qui deviennent ^^ et infection syswow64 [résolu]

[Mulivine]

Bonjour,

j'ai un problème avec mes accents circonflexes qui deviennent "^^" peu après le démarrage.
J'ai également un processus de SYSWOW64 svchost qui pompe beaucoup de ressources.
J'ai mis les éléments détectés par Malwarebytes en quarantaine (les PUM)

Voici le compte-rendu de FRST : https://pjjoint.malekal.com/files.php?i ... 13b6s5z8d7
ainsi que : https://pjjoint.malekal.com/files.php?i ... v157z5p5j5
et enfin : https://pjjoint.malekal.com/files.php?i ... 1213c12l14

Pouvez-vous m'aider?

Merci!

[Malekal_morte]

Bonjour,




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {BC6536D4-236D-4A15-91F9-C4AE899C2636} - System32\Tasks\Microsoft\Windows\applicationdata\mscMetastore => C:\Windows\SysWOW64\rundll32.exe [73216 2024-07-26] (Microsoft Windows -> Microsoft Corporation) -> C:\ProgramData\WorksWrap\TarsetTejz\C:\ProgramData\WorksWrap\TarsetTejz\msgsemFWornePS.dll CaasoftJeenkoj <==== ATTENTION
C:\ProgramData\WorksWrap
2025-03-22 11:14 - 2025-03-22 11:14 - 000000000 _____ () C:\ProgramData\freebl3.dll
2025-03-22 11:12 - 2025-03-22 11:12 - 000000000 _____ () C:\ProgramData\mozglue.dll
2025-03-24 20:40 - 2025-03-24 20:40 - 000000000 _____ () C:\ProgramData\msvcp140.dll
2025-03-24 20:39 - 2025-03-24 20:39 - 000000000 _____ () C:\ProgramData\nss3.dll
2025-03-24 20:46 - 2025-03-24 20:46 - 000000000 _____ () C:\ProgramData\softokn3.dll
2025-03-22 11:12 - 2025-03-22 11:12 - 000000000 _____ () C:\ProgramData\vcruntime140.dll
2025-01-31 19:19 - 2025-01-31 19:25 - 000007833 _____ () C:\Users\Mulivine\AppData\Roaming\ezplay.cat
2025-01-31 19:19 - 2025-01-31 19:25 - 000001127 _____ () C:\Users\Mulivine\AppData\Roaming\ezplay.inf
2025-01-31 19:19 - 2025-01-31 19:19 - 000000125 _____ () C:\Users\Mulivine\AppData\Roaming\ezplay.ini
2025-01-31 19:20 - 2025-01-31 19:25 - 000000033 _____ () C:\Users\Mulivine\AppData\Roaming\ezplay.log
2025-01-31 19:19 - 2025-01-31 19:25 - 000118400 _____ (VSO Software) C:\Users\Mulivine\AppData\Roaming\ezplay.sys
2025-01-31 19:19 - 2025-01-31 19:25 - 000099384 _____ () C:\Users\Mulivine\AppData\Roaming\inst.exe
2025-01-31 19:19 - 2025-01-31 19:25 - 000007859 _____ () C:\Users\Mulivine\AppData\Roaming\pcouffin.cat
2025-01-31 19:19 - 2025-01-31 19:25 - 000001167 _____ () C:\Users\Mulivine\AppData\Roaming\pcouffin.inf
2025-01-31 19:19 - 2025-01-31 19:25 - 000000055 _____ () C:\Users\Mulivine\AppData\Roaming\pcouffin.log
2025-01-31 19:19 - 2025-01-31 19:25 - 000082816 _____ (VSO Software) C:\Users\Mulivine\AppData\Roaming\pcouffin.sys
2025-03-24 21:51 - 2025-03-24 21:53 - 000007614 _____ () C:\Users\Mulivine\AppData\Local\resmon.resmoncfg
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Mulivine]

Merci
J'ai appliqué le correctif, lancé privatizer et Malwarebytes (qui n'a rien détecté), et réinitialisé mes navigateurs.
Ensuite j'ai lancé FRST dont voici le rapport :
https://pjjoint.malekal.com/files.php?i ... 9l9c5n9w12
https://pjjoint.malekal.com/files.php?i ... 4x5i9j15y7

Est-ce que je dois changer mes mots de passe d'après vous?

Sans vous, j'aurais fini par tout reformater, merci encore pour votre aide précieuse...je crois que je peux même taper mes circonflexes correctement!!!

[Parisien_entraide]

Bonjour

Il était demandé

"Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Ensuite OU était il demandé de lancer Privazer et MalwareBytes ? Sachant EN PLUS que Privazer est juste un nettoyeur de fichiers
Malwarebyes initialement n'avait pas résolu ton problème donc pourquoi le relancer ? Il est juste utile pour certaines classes d'infection

Privazer lui est par contre conseillé en remplacement de CCleaner, MAIS tu es en analyse donc il faut réserver son usage en dehors de cette analyse et suivre ce qui est demandé SANS prendre d'initiatives

Quant aux mots de passe, juste par précaution il vaut mieux les changer
Du reste on devrait les changer à minima tous les 6 mois vu les vols de données de sites par ex et en utilisant un gestionnaire de mots de passe qui lui peut générer des mots de passe (Donc ne surtout pas les garder dans les navigateurs)

Avec par ex : https://www.malekal.com/keepassxc-le-ge ... piratages/
et le module pour navigateurs https://www.malekal.com/integrer-keepas ... -internet/

[Mulivine]

Ah ok c'est pour ça que je ne trouvais pas le fichier FRST...
Vous parlez de celui-ci peut-être?
https://pjjoint.malekal.com/files.php?i ... y15k14y8d8

J'espère que j'ai pas encore fait de connerie

[Parisien_entraide]

Voila :-) c'est ce fichier fixlist qui permet d'un seul coup d'oeil de savoir si il a fonctionné (Malekal le confirmera mais c'est le cas)

A noter qu'il y a eu 23Go de données temporaires supprimées.. C'est énorme
Privazer à condition de bien le configurer permettra un nettoyage plus régulier

Su le site la configuration initiale
https://www.malekal.com/privazer-nettoyer-windows/

Sur le forum tu as du complément
viewtopic.php?t=63807

[Malekal_morte]

c'est good =)

Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement (protections activées et qu'il n'y a pas d'exceptions ajoutées).

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[Mulivine]

Encore merci
je vais installer keepassxc!

[Mulivine]

Re!
Je me permets de vous contacter car depuis la "désinfection" j'ai un dossier #00# qui s'est créé dans mon DD externe, et qui contient 4 fichiers .0x0, pour un total de 162Go. Est-ce que je peux le supprimer selon vous?
Merci!

[Malekal_morte]

Je pense que oui, ce n'est pas un format standard.
Peut-être un logiciel de récupération de données ou de vérification de disque qui les as créés ?

[Mulivine]

Merci!