unyrlm.exe

[erbbardin]

ok, je vais faire le scan (après killbox) ewido en sans echec et te l'envoie.

attention c'est wcuauth.dll et non wuauth.dll

[erbbardin]

ouf, c'est ok j'ai le rapport d'ewido.
J'ai vérifié, le wmimgr32.dl_ est bien revenu dans system32, et il y en a un (pas caché, celui là) dans le dossier c:\!killbox (mais ça parait normal).
en FJ le rapport ewido. Je te laisse pour ce soir. Je serais là demain. Dis moi si tu peux, sinon je patienterai. En tout cas merci pour tout.

[Cyrrus]

Re,

Il y a quelque chose qui régénère cette dll, il faut le trouver....

1/ Lance regsearch et effectue une recherche avec les mots clés suivants :
wmimgr32.dl_
wmimgr32.dll

Clique sur Ok et poste le rapport qu'il te donnera.

Bonne soirée
Cyrrus

[erbbardin]

Bonjour et bon dimanche.
J'ai fait regsearch, je te poste le log.
J'ai eu encore les alertes d'ewido et j'ai noté ce qu'il m'a dit.
1/ fichier:wcuauth.dll
chemin:c:\windows\systeme32\
infection:Trojan.AVKill.i

2/ fichier:windcmvà.exe
chemin:c:\windows\temp\
infection: Proxy.Agent.jh

3/ fichier:winsvlyh¥.exe
chemin :c:\windows\temp\
infection: Trojan.Agent.pm

J'ai fait "nettoyer" à chaque fois donc ils ne sont pas dans les chemins spécifiés (ewido a du les bloquer).

Donc je t'envoie 3 fj
1 rapport regsearch avec les wmimgr32...
1 rapport regsearch avec ces 3 fichiers indiqués par ewido
1 image d'une recherche dans windows de tous ces fichiers (les 2 wmimgr32 et les 3 mentionnés ci-dessus)

Les deux rapports supplémentaires ne t'apporteront peut-être rien mais....

A bientôt

[erbbardin]

Re
Je suis assez inquiet sur deux points:
Après une recherche sur google, je m'apercois qu'un autre gars a le même soucis que moi et on lui réponds après plusieurs scans d'utilitaires différent et plusieurs rapport que son pc a l'air sain (comme le mien). Par contre il a fait un scab en ligne par securiser qui lui a trouvé un millier de fichiers infectés!!!!

Je suis par hasard passé sur un de mes mp3 et même lorsque je mets le pointeur (sans cliquer) sur un mp3, j'ai plein d'alertes (simplement en passant dessus).

Je me demande si cette m.... n'as pas touché tous mes programmes et mes mp3!!!!

[Youssefmm]

Bonjour a tous,
je viens de m inscrire sur ce forum, j ai pas su comment poster un nouveau message c pour ca que j ai profité de lancer mon message sous forme de réponse : Mon probleme c que j ai supprimé mes donées par erreur sous XP la recupération des données etait impossible via Xp puisqu il s agit de presque 4 Go de données a l aide d autre logiciel j ai pu recupérer presk ttes mes données mais malheuruseument certains fichiers ne s ouvrent pas un message m indiquant que c un fichier corrompu, Priere comment reparer ces fichiers? Merci

[Cyrrus]

Youssefmm :
1/ Pour poster un nouveau sujet, cliquer sur l'icone Nouveau en haut à gauche du forum.
2/ Pas de style SMS dans vos messages.
3/ Je ne suis pas calé là dedans...d'ou l'utilité de poster un nouveau sujet.

Cyrrus

[Cyrrus]

Bonjour erbbadin,

Je suis vraiment trop c**, en relisant tout le sujet je viens de m'apercevoir que je ne t'ai pas fait supprimer tes Temp (j'en étais pourtant convaincu ), ce qui permet je pense à la bestiole de ce régénéré. Tu as des processus malicieux dans les Temp et le Prefetch. Tu as aussi une valeur de clé malicieuse. On va s'occupper de tout çà pour je l'espère tordre le coup à ces processus :

1/

Citation:

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

2/ Redémarre en mode sans echec et affiche tout les fichiers/dossiers cachés...

3/ Supprime les fichiers suivants si trouvés :

Citation:

C:\windows\systeme32\wcuauth.dll (es tu sûr pour le systeme32 ? )
C:\windows\system32\wmimgr32.d l_
C:\windows\system32\wmimgr32.dll
C:\windows\System32\syslib32.dll
C:\windows\System32\oledsp32.dll
C:\windows\System32\olemdb32.dll
C:\windows\System32\wcimgr32.dll
C:\!Killbox\wmimgr32.dll (sans danger mais inutile)

4/ Crée un point de restauration système (une sécurité pour les prochaines manip [aide ici])


5/ Copie colle le texte ci dessous dans un fichier .txt (bloc notes) : attention pas de ligne d'espace entre REGEDIT4 et la clé

Citation:

REGEDIT4

[HKEY_USERS\S-1-5-21-1659004503-1004336348-1417001333-1004\Software\Google\NavClient \1.1\History]
"wmimgr32.dl_"=-

Puis Fichier>Enregistrer sous et nomme le remove.reg

6/ Double clique sur remove.reg et accepte la fusion avec la base de registre.

7/ Redémarre en mode normal

8/ Fais Demarrer>Executer et tape regedit [valide par ok]

9/ Regarde dans les clés suivantes (c'est très simple, juste une arborescence à dérouler) si tu ne trouves rien se rapportant à ce wmimgr32.dll :

Citation:

HKLM\Software\Microsoft\Window s\CurrentVersion\Run

HKCU\Software\Microsoft\Window s\CurrentVersion\Run

10/ Retourne dans CCleaner :

Citation:

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Dis moi ce qu'il en est...?
Bon dimanche
Cyrrus

[erbbardin]

ok, j'ai fait tout ça et rien de changé.

Je n'ai rien trouvé à supprimer (wcuauth.dll, syslib32.dll....) à part le wmimgr32.dl_ qui réaparrait tout le temps en fichier caché. Les autres sont toujours bloqués par avast (pour wmimgr32.dll) et ewido (pour wcuauth.dll) donc jamais dans system32. Pour ce qui est des 4 autres (sysl..., oleds...etc), je ne les ai jamais vu!

J'ai bien regardé partout (systeme et registre) et rien sur unyrlm alors qu'il apparait toujours dans "démarrage" de "msconfig", bien qu'il ne soit pas coché.

As tu vu ce que je te dis sur les mp3 et sur le gars qui semble autant dans la mouise que moi?

Pj: une image de "démarrage" de "msconfig".

[Cyrrus]

Re erbbadin,

1/ Refait un scan avec Regsearch pour wmimgr.dl_ et unyrlm.exe

Poste les rapport qu'il te donne

2/ Je croyais que ce unyrlm.exe n'existait plus ????? S'il est encore présent alors egd l'est aussi.

3/ Es tu sur de bien avoir scanné avec Blacklight ? Refais un scan et poste le rapport qu'il te donne à la fin.

Je sèche un peu car je ne sais plus ce qu'il y a et ce qu'il n'y a pas...je pensait ne plus avoir à m'occupper que de sality, et voilà que egdaccess revient.

A mons avis les deux sont liés. Egdaccess ne partira pas que si l'ont ne enlève tout ces fichiers en un coup.

Je te met une procédure de scanne antivirus spécial juste après.

Bonne fin de journée
Cyrrus

[Cyrrus]

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec et supprimer wmimgr.dl_

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

[erbbardin]

Non, non, il n'y est plus. Il y a simplement que la ligne (non cochée) dans msconfig mais il n'y a trace nulle part. J'ai refait toutes les recherches avec blbeta, regsearch, fonction rechercher de windows, fonction rechercher du registre. Et nulle part, il n'y a de trace de unyrlm.

[Cyrrus]

Ok, dans ce cas fais le scan avec eScan, et poste moi le rapport. Dans ton screenshot de msconfig, il y a un chemin de registre en face de la ligne unyrlm.exe. Peux tu me le donner ?

[erbbardin]

ok mais est-ce qu'il faut que je desactive avast?

[Cyrrus]

Non pas besoin, il n'y aura pas de conflit...

[erbbardin]

software\microsoft\windows\cur rentversion\run

Devant il n'y a pas de HKLM ou autre!

J'ai fait une recherche dans le registre en tapant sur f3 après chaque réponse et j'ai enfin trouvé unyrlm avec des sous clés. J'ai tout supprimé. Je redémarre et je te dis ce qui se passe. On aura peut-être pas besoin de faire le scan toolkit!

En fait lorsque je faisais une recherche regedit, je ne savais pas qu'il fallait aller au bout en tapant sur f3 après chaque clé trouvée et mea culpa), j'ai du en oublé.

Donc, là, c'est sur, unyrlm est parti..

Je redémarre et te repost

[erbbardin]

donc après reboot, il n'y a plus rien dans msconfig, mais toujours ces messages d'avast.

J'attends donc ton feu vert pour toolkit.

[Cyrrus]

Re,

Tu peux y aller !

Bonen soirée
Cyrrus