unyrlm.exe

[igor51]

Si tu suis les instructions c'est juste un scan, l'option 2 est l'étape de désinfection mais ne l'utilise pas tant que Cyrrus ou moi même t'avons donné le feu vert.

Ce scan va nous dire si c'est un smitfraud ou un faux positif .

Bonne soirée,

Igor

[erbbardin]

Merci Igor.

Tu vas dire que je suis ch.... mais autant faire les choses dans l'ordre et comme il faut.
Simplement pour smitfraud.cmd, c'est à faire en sans echec et y'at'il une mise à jour à faire?
Merci d'avance.

[igor51]

Mais non ne t'inquiète pas sa me fais plaisir de t'aider.

Pour smitfraudfix je viens de lire qu'il a été mis à jours aujourd'hui donc si tu viens de le télécharger pas de problème.
Sinon le scan est à faire en mode normal.

Si tu as d'autre question n'hésite pas.

Bonne soirée,

Igor

[erbbardin]

Ok, merci.

Donc c'est fait (c'est très rapide comme scan!).

Je te joint le rapport smitraudfix.

[igor51]

Bon le scan ne donne rien, peux-tu reposter un log hijackthis?

Je pense à un faux positif, de toute façon si ce n'est pas le cas, hijackthis nous le dira tout de suite.

Bonne soirée,

Igor

Ps; as tu toujours des disfonctionnents ou autre chose???

[erbbardin]

Voici mon log hijackthis.

Non, a priori tout à l'air très sympathique.

Je n'ai plus du tout de wmimgr32 qui s'inséraient dans system32.

Plus de d'alertes d'ewido et d'avast
Au fait j'ai toujours antivir en marche ce qui fait que avast a annulé de lui même 3 protections résidentes sur 7. Je pense qu'antivir doit prendre le relais sur ces protections manquantes. Mais est-ce une bonne chose d'en avoir deux ou alors dois-je remettre avast tout seul (je le connais mieux qu'antivir).

Je vais laisser tourner un peu et m'en servir normalement quelques heures (pas trop ce soir car je regarde le foot, désolé, j'aime ça!), si je vois des choses bizarres, je vous en ferais part.

Ensuite, je voudrais faire quelques manips pour nettoyer un peu tout ce qu'on a mis ensemble pour travailler mais je demanderais en temps voulu.

Dis moi ce que tu penses du log.

Je n'ai plus de nouvelles de Cyrrus, j'espère que tout va bien et qu'il va revenir me voir. Car il m'a donné quand même un sacré coup de main et c'est peut-être pas fini. Je ne le lacherai que quand je serais clean à 100% LOL

[Cyrrus]

Bonsoir tout le monde,

ah Igor a pris le relais c'est une excellente chose ! J'espère que le wmimgr32 ne reviendra pas, sinon je sèche...
Ne t'inquite pas je ne te lacherai pas, ce n'est pas dans mes principes.

Juste un truc à Igor :
Hijackthis ne montre pas tout malheuresement. C'est donc une bonne indication, mais pas/plus l'outil miracle (ça l'était il y a 1 an).

On a quand même scanner avec une tonne de chose, je ne sais même plus quoi te donner...^^
J'attend que la pièce jointe soit validé par un modérateur, et je (ou Igor) te dit quoi faire...

Bonne soirée
Cyrrus

[erbbardin]

Mon pc vient de rebooter tout seul, ce qui ne m'était pas arrivé pendant tout le temps ou on a travaillé avec Cyrrus. Je pense que ça vient d'une de mes barettes memoire qui m... un peu et qui provoque une instablité quelquefois, mais je vais surveiller. Avant quand ça m'arrivait j'avais un ecran bleu avec un decompte et ensuite je me retrouvait avec un fichier tmp enooorme! Donc j'avais desactivé cet ecran bleu. Il faut que je retrouve comment le réactiver. ça doit être je crois dans l'ecran que je te joins en fichier image mais je ne sais plus le configurer pour retrouver cet ecran bleu. Car si j'ai l'ecran bleu, je pense que je serais rassuré sur le fait que ça vient d'une instabilité system du à ma barette (je l'avais testée avec memtest et .......!!!!) et non pas d'un virus.

[Cyrrus]

Re erbbadin,

Le rapport hijackthis ne montre rien de méchant (j'ai analysé vite aussi). Pour le redémarrage automatique, je crois que c'est cette procédure pour l'écran bleu : http://www.teamatic.net/win/xp/reboot_auto.php

Bonne soirée
Cyrrus

[erbbardin]

Ok merci Cyrrus.

Bon je vais aller me détendre avec un bon (j'espère) match de foot et j'attends de tes nouvelles pour voir si on continue.

Merci et bonne soirée.

[igor51]

Bonsoir à tous, Cyrrus,

ce n'était pas ce que je voulais dire (je sais, je m'exprime très mal) je sais très bien que hijackthis n'est plus l'outils miracle car les créateurs de spywares connaissent très très bien cet outils....

Tiens nous au courant de ce qui se passe.

Bonne soirée,

Igor

[erbbardin]

Bon, je crois que ça commence à être pas mal.
J'ai fait un scan on line de Kapersky et im trouve simplement 3 fichiers avec Win32.PsKill.n (qui à priori n'est pas un virus.

En plus c'est sur l'exe de ccleaner donc je pense pas important.

Je te post le log et vais refaire un escan en sans echec?

ça sent bon!!!!

Au fait puis-je supprimer sans risque le restore.reg que tu m'a fait créer concernant wmimgr32?:

"REGEDIT4
[HKEY_USERS\S-1-5-21-1659004503-1004336348-1417001333-1004\Software\Google\NavClient \1.1\History]
"wmimgr32.dl_"=-"

à bientôt

[Cyrrus]

Bonjour erbbadin,

Oui tu peux le supprimer. Fais aussi un scan avec escan, cela finira la recherche coté virus/trojan.

J'attends que ta pièce jointe soit validé et je te dit quoi faire.

Bonne soirée
Cyrrus

[_MAD_]

Apparement personne n'a relevé cette bestiolle.

Code:

http://es6-scripts.dlv4.com/binaries...1052_FR_XP.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

Il s'agit de dialers & hijackers non reférencés du groupe "e-group.com" - désormais ajoutés et envoyés aux éditeurs antivirus.

Selon la charte du forum :

Citation:

Les coordonnées (professionnelles ou personnelles) doivent s'échanger en privé

JPL, modérateur

* update.dlv4.com
* scripts.dlv4.com
* es6-scripts.dlv4.com


Fichier: egauth4_1052.dll
Taille: 146 432
Compression: Inconnue
MD5: 9265cc5aaaac71cb72a96b9ebae23c 16
SHA-1: 0fc1b945702b47049fcc99fc5fe9f5 fb9aab571a
AV >> SIGNATURE INCONNUE
Unité MAD - db.add (05/04/2006)

Fichier: sysia32svc.dll
Taille: 28 672
Compression: Aucune
MD5: 2439a76c870d53321fbe73692c49d2 42
SHA-1: 6322a356ab0b9eca271325ecbc95e7 f05e9a803a
AV >> SIGNATURE INCONNUE
Unité MAD - db.add (05/04/2006)

Fichier: egaccess4_1060.dll
Taille: 66 048
Compression: UPX
MD5: 66097c16c9939366e27b8e2f3b959f 22
SHA-1: 06514578d0503db3eda86e493ba09d 4aeb894ca6
AV >> SIGNATURE INCONNUE
Unité MAD - db.add (05/04/2006)

Voilà pour la bonne nouvelle.

[Cyrrus]

Bonsoir MAD,

Dans quel rapport l'as tu vu ?? Elle n'est pas présente dans le dernier rapport en date d'hijackthis (4 avril) ??? Egdaccess ne part pas avec un antivirus (malheuresement), mais le fix a été passé, la ligne n'apparait plus, et erbbadin m'a affirmé ne plus avoir de fichier unyrlm.exe que ce soit ????

edit : de plus ton message sans bonsoir ni quoi que ce soit est un peu....un peu....impoli
Malcolm : crée ton propre sujet je te prie, et effectue la manip préliminaire en épinglé sur le forum

[yoda1234]

Citation:

Posté par Cyrrus

edit : de plus ton message sans bonsoir ni quoi que ce soit est un peu....un peu....impoli

Cyrrus a raison de rappeler que sur ce forum un "bonjour" ou tout autre forme de politesse est apprécié.
Voir la charte.

Citation:

Posté par Cyrrus

Malcolm : crée ton propre sujet je te prie, et effectue la manip préliminaire en épinglé sur le forum

J'ai scindé les deux sujets.

[erbbardin]

Bonsoir Cyrrus,

Je t'ai devancé (pour une fois) et j'ai refait tous les scans qu'on a déjà fait ensemble et plus rien sauf sur escan justement qui me trouve simplement :

Objet "smitfraud variant Browser Hijacker" trouvé dans fichier système! Action faite: Pas d'action prise.

Pas d'action car il faut payer!.

Est-ce un faux positif? On dirait car aucun autre ne detecte quoique ce soit (tous les scans fait et en mode sans echec).

Je te post mon dernier hijackthis pour voir!

Bonne soirée

Ps: On a déjà passé smitfraudfix avec Igor mais ça n'a rien donné (mais je pense que tu l'avais vu)

[_MAD_]

Bonjour, bonsoir ...

Excusez-moi pour mon manque de politesse, j'étais fort pressé à cet instant précis et assez confût, pour ne pas dire énnervé de voir que ce forum vBulletin refusait mon identification malgrès ma gentille inscription pourtant bien remplie. Mon mot de passe composé de caractères non imprimables à eu l'air de l'ennuyer dans la base de données, chose qu'il aurait pû me spécifier bien avant de m'envoyer ce superbe email de confirmation. Voilà pour la petite histoire nullement répertoriée, aussi bien dans les posts que dans la faq. J'espère ne pas t'avoir vexé, Cyrrus et que nous allons partir sur de bonnes bases.

Vu sur le rapport du 31/03/2006, 13h17 - Rep:#8