Bonjour, cliquez-ici pour vous inscrire et participer au forum.
  • Login:



+ Répondre à la discussion
Page 1 sur 5 12 3 4 DernièreDernière
Affichage des résultats 1 à 30 sur 127

unyrlm.exe

  1. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    unyrlm.exe

    Bonjour,
    J'ai vu que dans mon msconfig/démarrage, j'avais une ligne cochée intitulée unyrlm.exe.
    Je ne vois pas ce que c'est et aucune trace en faisant une recherche sur le web????
    Quelqu'un peut-il me dire à quoi ça correspond et faut il le supprimer dans dle registre?

    Je précise que je l'ai décoché dans msconfig et à priori, ça n'a pas l'air de poser de problème (mais ça fait qu'1/2 h!)

    Merci d'avance

    -----

     


    • Publicité



  2. synthexe

    Date d'inscription
    mars 2006
    Localisation
    Haute-savoie
    Âge
    41
    Messages
    1 695

    Re : unyrlm.exe

    Bonjour,

    je ne connais pas du tout cet Exe.

    Pourriez-vous trouver le chemin d'acces a ce fichier ? ou savoir de quel processus il dépend ?

    Tenez-nous au courant ...
    La vie ne vaut rien, mais rien ne vaut la vie ...
     

  3. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    Merci pour votre aide.
    c:\windows\system32\unyrlm.exe nyrlm


    ?????
     

  4. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Bonsoir,

    Effectue cette procédure je te prie : http://forums.futura-sciences.com/thread69698.html

    Poste les rapport en pièces jointes de ton message.

    Bonne soirée
    Cyrrus
     

  5. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    ok, je m'en occupe mais pourquoi pour ewido :"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
    Merci

    Pour info, je me suis trompé et recréer un nouveau sujet!!!!

    Merci
     


    • Publicité



  6. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    Citation Envoyé par erbbardin
    ok, je m'en occupe mais pourquoi pour ewido :"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
    Merci

    Pour info, je me suis trompé et recréer un nouveau sujet!!!!

    Merci
    J'ai également depuis que j'ai vu ce "unyrlm" regulièrement un message de mon pare feu kerio me demandant si je veux autoriser une connection entrante avec ce message:Voulez vous autoriser "winiebugo¶"


    [31/03/2006 10:09:54]

    Direction: entrant
    Point local: 82.239.105.159, port http [80]
    Matériel: Connexion au réseau local
    Point distant: 66.14.232.72.reverse.layeredte ch.com [72.232.14.66], port 39850
    Protocole: TCP

    Fichier: c:\Documents and Settings\Eric\Local Settings\Temp\winiebugo¶.exe
    Description: winiebugo¶
    Version:
    Créé le: 2006/3/31, 07:29:17
    Modifié le: 2006/3/31, 07:29:18
    Accédé le: 2006/3/31, 07:29:18

    RuleId = 201326613

    Est-ce lié? car je ne vois également rien sur le web!!!!
    Merci
     

  7. yoda1234

    Date d'inscription
    août 2004
    Localisation
    dagobah
    Messages
    13 688

    Re : unyrlm.exe

    Citation Envoyé par erbbardin
    Pour info, je me suis trompé et recréer un nouveau sujet!!!!
    Bonjour,
    non ce n'est pas la peine.
    Citation Envoyé par erbbardin
    "L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
    Pour plusieurs raisons:
    la première c'est que éwido est un version d'évaluation et que dans 15 jours, le processus de surveillance (background guard) sera désactivé si tu n'achète ewido.
    La seconde:Cela évite de surcharger encore un peu plus ta machine qui est dèja lente à cause de l'infection dont tu es victime.
    A noter que dans ces conditions, tu peux conserver ewido et faire tes mises a jours manuellement et t'en servir pour scanner ponctuellement ton PC.
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
     

  8. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):
    voir fichier joint

    Mon rapport ewido:
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 12:54:35, 31/03/2006
    + Somme de contrôle: 1A078ECE

    + Résultats du scan:

    C:\Documents and Settings\Guillaume\Cookies\gui llaume@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
    C:\WINDOWS\system32\wcuauth.dl l ->
    Trojan.AVKill.i : Nettoyer et sauvegarder

    ::Fin du rapport




    mon log hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:58:50, on 31/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.e xe
    C:\WINDOWS\system32\services.e xe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\spoolsv.ex e
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\RunDll32.e xe
    C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
    C:\PROGRA~1\Webshots\webshots. scr
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\oodag.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.ex e
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.ex e
    C:\Program Files\Hijackthis\HijackThis.ex e

    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.viamichelin.fr/viamicheli...MaHomePage.htm
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.ex e
    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142527743625
    O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap.../mmsPlayer.cab
    O16 - DPF: {E49A9FCB-FAA9-4C1F-A1C1-54920DA2CCA4} - http://es6-scripts.dlv4.com/binaries...1052_FR_XP.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.e xe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    Images attachées
     

  9. JPL

    Date d'inscription
    septembre 2003
    Messages
    69 181

    Re : unyrlm.exe

    Rappel :

    Ces rapports étant longs, ils doivent être postés en pièces jointes. Merci de lire la procédure jusqu'au bout !
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
     

  10. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    ok, autant pour moi.

    alors:

    ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):
    Images attachées
    Fichiers attachés
     

  11. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    Je suis désolé mais achaque fois que je lance hijackthis (télechargé par le forum, ici!), j'ai toujours l'alerte de avast me disant que wmimgr32.dll essaie de s'installer.

    Je le supprime et j'ouvre hijackthis et hop, rebelote.
    Images attachées
     

  12. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Bonjour à tous,

    Tu as une sacré infection, avec edgaccess et un enregistreur de frappe en bundle. Il me faut un peu de temps pour te rédigerla manip de désinfection, je fais au plus préssé....

    A+
    Cyrrus
     

  13. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Re erbbardin,

    Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

    Télécharge Brute Force Uninstaller (de Merijn).
    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

    FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    Sous Scriptline to execute copie/colle cette ligne :

    c:\bfu\EGDACCESS.bfu

    Clique sur Execute et laisse-le faire son travail.

    Attendre que Complete script execution apparaîsse et clique sur OK.
    Clique Exit pour fermer le programme BFU.
    2/ Toujours en mode sans echec, supprime le fichier suivant :
    C:\WINDOWS\system32\wmimgr32.dll
    3/ Redémarre normalement et passe un coup de CCleaner (comme indiqué dans la manip préliminaire).

    4/ Poste un nouveau log hijackthis.

    Bonne soirée
    Cyrrus
     

  14. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    Bonjour et merci pour ton aide.

    J'ai donc fait ce que tu m'as préconisé mais dès que je reviens en mode normal, avast me redemande (en fait à chaque fois que j'ouvre une application, à priori, quelqu'elle soit) de ou "supprimer" ou "mettre en quarantaine" le fameux "wmimgr32.dll. Je l'avais pourtant bien supprimé en mode sans echec (quoique je ne l'ai trouvé qu'avec la fonction recherche car invisible dans le system32, il était en "caché").

    Donc ça continue. En plus quand avast me pose la question, si je fais supprimer, le message revient pour la même question 2 secondes après. Il faut que je fasse "mettre en quarantaine" pour "calmer les ardeurs" d'avast!.

    Merci d'avance pour ton aide.

    mon log en fichier joint.

    Pour ma culture perso, peux-tu me dire quelles lignes sur le log te renseignent sur la présence de ces infections?
    Merci


    Pour info également, je te joins un rapport qui est apparu dans c:\ intitulé egd!
    Pour le log de hijackthis, je n'arrive pas à l'uploader tel quel, je suis obligé d'ouvrir le blocnote et de faire un copier/coller du log et l'enregister sinon il n'est pas accepté par l'uploader du forum (c'est pourtant bien un .txt)!!!!!
    Fichiers attachés
     

  15. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    Citation Envoyé par erbbardin
    Bonjour et merci pour ton aide.

    J'ai donc fait ce que tu m'as préconisé mais dès que je reviens en mode normal, avast me redemande (en fait à chaque fois que j'ouvre une application, à priori, quelqu'elle soit) de ou "supprimer" ou "mettre en quarantaine" le fameux "wmimgr32.dll. Je l'avais pourtant bien supprimé en mode sans echec (quoique je ne l'ai trouvé qu'avec la fonction recherche car invisible dans le system32, il était en "caché").

    Donc ça continue. En plus quand avast me pose la question, si je fais supprimer, le message revient pour la même question 2 secondes après. Il faut que je fasse "mettre en quarantaine" pour "calmer les ardeurs" d'avast!.

    Merci d'avance pour ton aide.

    mon log en fichier joint.

    Pour ma culture perso, peux-tu me dire quelles lignes sur le log te renseignent sur la présence de ces infections?
    Merci


    Pour info également, je te joins un rapport qui est apparu dans c:\ intitulé egd!
    Pour le log de hijackthis, je n'arrive pas à l'uploader tel quel, je suis obligé d'ouvrir le blocnote et de faire un copier/coller du log et l'enregister sinon il n'est pas accepté par l'uploader du forum (c'est pourtant bien un .txt)!!!!!
    Simplement pour t'informer (je suppose que les symptomes que je peux rencontrer peuvent t'aider!).
    Je voulais simplement renomer un mp3 (legal, c'est morceau d'un de mes cd converti en mp3), donc d'abord un simple clic pour le selectionner et alors là messages sur le wmimgr32 à répétition (que je mets en quarantaine) jusqu"à ce que je le déselectionne!!!!!!
     

  16. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Bonjour erbbadin,

    Bon d'après le rapport hijackthis le fix aurait foiré...on va voir de quoi il retourne :

    1/ Télécharge Regsearch
    Dézippe le sur ton bureau
    Dans "Enter search strings" tape : egdaccess et en dessous wmimgr32.dll
    Clique sur Ok
    Laisse le chercher, et poste en pièce jointe le rapport qu'il t'affichera.
     

  17. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    bonjour,
    Ok je te joint le rapport de regsearch.

    Tu as vu ce que j'ai mis sur le comportement du pc (mp3, messages d'avast...)
    J'ai refait la manip que tu m'avais indiqué et ensuite j'ai fixé la ligne 016 (egauth4....)
    J'ai voulu supprimé wmimgr32.dll. Impossible à partir du moment ou j'ai lancé une application (n'importe laquelle). Par contre si je change d'utilisateur ou redemarre (toujours en sans echec) et que je COMMENCE par vouloir supprimer wmimgr32.dll, là ç'est bon. Mais il suffit que je relance par exemple hijackthis (ou bfu ou autre chose, il réapparait et plus moyen de le supprimer sinon en redémarrant.
    J'ai aussi fait en faisant "recherche" dans regedit des suppressions de tout ce qui pouvait toucher ou ressembler à egauth4 1052.....dll, à wuauclt et à wmimgr32 (toujours sans echec) mais en revenant en mode normal, toujours les messages d'avast pour wmimgr32 concernant un win32SalityD (voir mon image au début du sujet).

    Voilà, j'attends de tes nouvelles car je seche.
    Merci encore
    Fichiers attachés
     

  18. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    je viens de refaire un log.
    La ligne 016 a bien disparu mais toujours la même chose sur le pc.
    Fichiers attachés
     

  19. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Bonjour erbbaddin,

    Normal que egdaccess résiste au script bfu, il y a des processus caché qui le protege et font foirer si on ne les a pas supprimer avant (merci Mark ). On va scanner avec Blacklight qui normallement les voit :


    Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

    Double-clique sur blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique sur Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    Penses à renommer le rapport de blacklight de .log à .txt pour que le forum accepte la pièce jointe.

    Bonne journée
    Cyrrus
     

  20. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    je veux bien, mais quand j'ouvre blbeta je n'ai pas "scan through windows....". Et quand je scan, il ne me trouve rien??????
    Voici l'image
    Images attachées
     

  21. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Re erbbaddin,

    Ok il se peut que l'infection soit inactive, ce qui faciliterai les choses. On va s'en occupper, et ensuite on s'occupera des processus qui font hurler avast.

    Télécharge HijackThis! + Extra de ce lien :
    http://metallica.geekstogo.com/setuphjt.exe

    Sauvegarde le sur ton Bureau.
    Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT
    Double-clique sur le raccourci HJT and More, puis double-clique ht.bat
    Une fenêtre DOS apparaîtra;
    Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.
    Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).
    Joint moi le rapport en pièces jointes, et évite de m'envoyer des mp pour la désinfection, je n'y répond pas par principe.

    Bonne journée
    Cyrrus
     

  22. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    C'est fait. Je colle le rapport ici (comme tu le demandes) et pas en fichier joint.

    Tu dis qu'il est inactif mais depuis que je l'ai, il faut très souvent que je retape mes identifiants et mots de passe (cookies) dans le forum et je vois que dans le dossier cookies de documents and settings\.... ils disparaissent au bout d'un moment alors que tout était bon avant.



    Logfile of HijackThis v1.99.1
    Scan saved at 18:21:38, on 01/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.e xe
    C:\WINDOWS\system32\services.e xe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.ex e
    C:\WINDOWS\System32\svchost.ex e
    C:\WINDOWS\system32\spoolsv.ex e
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    C:\WINDOWS\system32\RunDll32.e xe
    C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
    C:\PROGRA~1\Webshots\webshots. scr
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\oodag.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.ex e
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\MICROS~2\Office\OU TLOOK.EXE
    C:\WINDOWS\System32\lxcfcoms.e xe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Hijackthis\HijackThis.ex e

    R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.viamichelin.fr/viamicheli...MaHomePage.htm
    R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.ex e
    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142527743625
    O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap.../mmsPlayer.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.e xe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

    doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe
    doesn't exist HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ RunOnceEx
    doesn't exist HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ policies\Explorer\Run
    doesn't exist HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \policies\Explorer\Run
    doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    -----------------------
    -----------------------
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \RunOnceEx]


    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers]
    @=""

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\CopyToCD]
    @="{2AA59FC0-31E8-42DA-9D3C-E9A52953853B}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\ewido]
    @="{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Offline Files]
    @="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Open With]
    @="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Open With EncryptionMenu]
    @="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\WinRAR]
    @="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\WinZip]
    @="{E0D79304-84BE-11CE-9641-444553540000}"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
    @="Épingle du menu Démarrer"

    [HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}]


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\ShellExecuteHooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
    "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run]
    "avast!"="C:\\PROGRA~1\\ALWILS ~1\\Avast4\\ashDisp.exe"
    "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
    "PMXInit"="C:\\WINDOWS\\system 32\\pmxinit.exe"
    "DXM6Patch_981116"="C:\\WINDOW S\\p_981116.exe /Q:A"
    "SunJavaUpdateSched"="C:\\Prog ram Files\\Java\\jre1.5.0_06\\bin\ \jusched.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\MAPI]
    "NoChange"="1"
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\MSFS]
    "Installed"="1"


    [HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Run]


    [HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Runonce]


    [HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Runonce]

    Scheduled Tasks Folder Contents
    *
    C:\WINDOWS\Tasks\desktop.ini
    C:\WINDOWS\Tasks\SA.DAT


    oups j'avais pas vu la phrase fichier joint. Excuse moi
    Dernière modification par erbbardin ; 01/04/2006 à 17h30.
     

  23. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    voici le rapport
    Fichiers attachés
     

  24. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    et le booth
    Fichiers attachés
     

  25. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Re,

    Bon apparemment Edgaccess n'a pas l'air là non plus. On va donc s'occupper des fichiers récalcitrants :

    1/ Télécharge Killbox sur ton Bureau :

    http://www.downloads.subratam.org/KillBox.exe

    Double-clique killbox.exe.
    Choisis l'option "Delete on reboot".

    Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :

    C:\WINDOWS\system32\unyrlm.exe nyrlm
    C:\WINDOWS\system32\wmimgr32.d ll


    Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

    Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
    Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

    Clique sur le bouton : All Files (!important!)

    Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
    Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
    Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".

    2/ Une fois fait cela, fais un scan complet avec Ewido en mode sans echec et poste le rapport en pièces jointes.

    Coriace la bête !

    Bonne fin de journée
    Cyrrus
     

  26. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    ok je fais ça mais tu dis qu'il n'apparait pas? Que penses tu de la ligne 016 que j'ai cru voir sur le booth concernant egauth4....?
     

  27. Cyrrus

    Date d'inscription
    février 2004
    Localisation
    Lyon
    Âge
    30
    Messages
    4 563

    Re : unyrlm.exe

    Re,

    Arff je postai quand tu mettai les deux rapports en pièces jointes. Je viens juste de les voir !

    ...une chose me tracasse : le rapport que tu m'a mis en pièces jointes date de 10:31 ce matin. Celui que tu as affiché par erreur date de 18:21 cette après midi. Est tu sur que tu m'as joint le bon rapport ? J'aurai plutot tendance à croire celui de 18:21 que celui de 10:31....
     

  28. synthexe

    Date d'inscription
    mars 2006
    Localisation
    Haute-savoie
    Âge
    41
    Messages
    1 695

    Re : unyrlm.exe

    (Bonjour,

    je laisse faire les spécialiste comme cyrrus, mais effectivement, vous devriez réessayer de supprimer cette ligne en mode sans echec depuis hijackthis, mais comme dit cyrrus, "Coriace la bête !"

    Bon courage)
    La vie ne vaut rien, mais rien ne vaut la vie ...
     

  29. synthexe

    Date d'inscription
    mars 2006
    Localisation
    Haute-savoie
    Âge
    41
    Messages
    1 695

    Re : unyrlm.exe

    Mais faudrait vous détendre tous les 2, on a meme plus le temps de rédiger un post mdr
    La vie ne vaut rien, mais rien ne vaut la vie ...
     

  30. erbbardin

    Date d'inscription
    décembre 2005
    Localisation
    Tours
    Âge
    54
    Messages
    114

    Re : unyrlm.exe

    tu as raison de croire celui de 18h21, j'ai mélangé les deux. Je viens de faire le ménage et ça n'arriverra plus, promis.

    Par contre problème. Quand je fais paste from clipboard dans killbox en ayant pris soin de copier les deux lignes integralement (en enlevant le blanc avant ll) etde cocher delete on reboot, il n'y a rien dans la boite full path...Je l'ai fait plusieurs fois et rien n'apparait même en cliquant sur la petite flèche. Pourtant c'est bien dans le presse papier car si je fais coller dans le bloc note par exemple, ils sont bien là!
     


    • Publicité







Sur le même thème :





 

Discussions similaires

  1. image.exe
    Par sabulle dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 2
    Dernier message: 03/07/2007, 17h54
  2. iexplore.exe ?
    Par pephy dans le forum Internet - Réseau - Sécurité générale
    Réponses: 13
    Dernier message: 07/12/2006, 09h46
  3. explorer.exe
    Par Hobbes dans le forum Internet - Réseau - Sécurité générale
    Réponses: 2
    Dernier message: 29/10/2004, 00h02
  4. isasss.exe
    Par netkaiser dans le forum Internet - Réseau - Sécurité générale
    Réponses: 3
    Dernier message: 03/09/2004, 09h01