unyrlm.exe - Forum Internet - Réseau

erbbardin · 29/03/2006, 18h15

Bonjour,
J'ai vu que dans mon msconfig/démarrage, j'avais une ligne cochée intitulée unyrlm.exe.
Je ne vois pas ce que c'est et aucune trace en faisant une recherche sur le web????
Quelqu'un peut-il me dire à quoi ça correspond et faut il le supprimer dans dle registre?

Je précise que je l'ai décoché dans msconfig et à priori, ça n'a pas l'air de poser de problème (mais ça fait qu'1/2 h!)

Merci d'avance

**synthexe** · 29/03/2006, 19h41

Bonjour,

je ne connais pas du tout cet Exe.

Pourriez-vous trouver le chemin d'acces a ce fichier ? ou savoir de quel processus il dépend ?

Tenez-nous au courant ...

erbbardin · 29/03/2006, 20h11

Merci pour votre aide.
c:\windows\system32\unyrlm.exe nyrlm

?????

**Cyrrus** · 29/03/2006, 22h40

Bonsoir,

Effectue cette procédure je te prie : http://forums.futura-sciences.com/thread69698.html

Poste les rapport en pièces jointes de ton message.

Bonne soirée
Cyrrus

erbbardin · 31/03/2006, 10h02

ok, je m'en occupe mais pourquoi pour ewido :"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
Merci

Pour info, je me suis trompé et recréer un nouveau sujet!!!!

Merci

erbbardin · 31/03/2006, 10h18

Citation:

Posté par erbbardin

ok, je m'en occupe mais pourquoi pour ewido :"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
Merci

Pour info, je me suis trompé et recréer un nouveau sujet!!!!

Merci

J'ai également depuis que j'ai vu ce "unyrlm" regulièrement un message de mon pare feu kerio me demandant si je veux autoriser une connection entrante avec ce message:Voulez vous autoriser "winiebugo¶"

[31/03/2006 10:09:54]

Direction: entrant
Point local: 82.239.105.159, port http [80]
Matériel: Connexion au réseau local
Point distant: 66.14.232.72.reverse.layeredte ch.com [72.232.14.66], port 39850
Protocole: TCP

Fichier: c:\Documents and Settings\Eric\Local Settings\Temp\winiebugo¶.exe
Description: winiebugo¶
Version:
Créé le: 2006/3/31, 07:29:17
Modifié le: 2006/3/31, 07:29:18
Accédé le: 2006/3/31, 07:29:18

RuleId = 201326613

Est-ce lié? car je ne vois également rien sur le web!!!!
Merci

**yoda1234** · 31/03/2006, 10h29

Citation:

Posté par erbbardin

Pour info, je me suis trompé et recréer un nouveau sujet!!!!

Bonjour,
non ce n'est pas la peine.

Citation:

Posté par erbbardin

"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?

Pour plusieurs raisons:
la première c'est que éwido est un version d'évaluation et que dans 15 jours, le processus de surveillance (background guard) sera désactivé si tu n'achète ewido.
La seconde:Cela évite de surcharger encore un peu plus ta machine qui est dèja lente à cause de l'infection dont tu es victime.
A noter que dans ces conditions, tu peux conserver ewido et faire tes mises a jours manuellement et t'en servir pour scanner ponctuellement ton PC.

erbbardin · 31/03/2006, 13h17

ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):
voir fichier joint

Mon rapport ewido:
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 12:54:35, 31/03/2006
+ Somme de contrôle: 1A078ECE

+ Résultats du scan:

C:\Documents and Settings\Guillaume\Cookies\gui llaume@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\WINDOWS\system32\wcuauth.dl l ->
Trojan.AVKill.i : Nettoyer et sauvegarder

::Fin du rapport

mon log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:58:50, on 31/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.e xe
C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
C:\PROGRA~1\Webshots\webshots. scr
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.ex e
C:\Program Files\Hijackthis\HijackThis.ex e

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.viamichelin.fr/viamicheli...MaHomePage.htm
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.ex e
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142527743625
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap.../mmsPlayer.cab
O16 - DPF: {E49A9FCB-FAA9-4C1F-A1C1-54920DA2CCA4} - http://es6-scripts.dlv4.com/binaries...1052_FR_XP.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.e xe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

**JPL** · 31/03/2006, 13h39

Rappel :

Ces rapports étant longs, ils doivent être postés en pièces jointes. Merci de lire la procédure jusqu'au bout !

erbbardin · 31/03/2006, 13h47

ok, autant pour moi.

alors:

ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):

erbbardin · 31/03/2006, 14h14

Je suis désolé mais achaque fois que je lance hijackthis (télechargé par le forum, ici!), j'ai toujours l'alerte de avast me disant que wmimgr32.dll essaie de s'installer.

Je le supprime et j'ouvre hijackthis et hop, rebelote.

**Cyrrus** · 31/03/2006, 18h59

Bonjour à tous,

Tu as une sacré infection, avec edgaccess et un enregistreur de frappe en bundle. Il me faut un peu de temps pour te rédigerla manip de désinfection, je fais au plus préssé....

A+
Cyrrus

**Cyrrus** · 31/03/2006, 19h10

Re erbbardin,

Citation:

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

2/ Toujours en mode sans echec, supprime le fichier suivant :

Citation:

C:\WINDOWS\system32\wmimgr32.dll

3/ Redémarre normalement et passe un coup de CCleaner (comme indiqué dans la manip préliminaire).

4/ Poste un nouveau log hijackthis.

Bonne soirée
Cyrrus

erbbardin · 01/04/2006, 10h45

Bonjour et merci pour ton aide.

J'ai donc fait ce que tu m'as préconisé mais dès que je reviens en mode normal, avast me redemande (en fait à chaque fois que j'ouvre une application, à priori, quelqu'elle soit) de ou "supprimer" ou "mettre en quarantaine" le fameux "wmimgr32.dll. Je l'avais pourtant bien supprimé en mode sans echec (quoique je ne l'ai trouvé qu'avec la fonction recherche car invisible dans le system32, il était en "caché").

Donc ça continue. En plus quand avast me pose la question, si je fais supprimer, le message revient pour la même question 2 secondes après. Il faut que je fasse "mettre en quarantaine" pour "calmer les ardeurs" d'avast!.

Merci d'avance pour ton aide.

mon log en fichier joint.

Pour ma culture perso, peux-tu me dire quelles lignes sur le log te renseignent sur la présence de ces infections?
Merci

Pour info également, je te joins un rapport qui est apparu dans c:\ intitulé egd!
Pour le log de hijackthis, je n'arrive pas à l'uploader tel quel, je suis obligé d'ouvrir le blocnote et de faire un copier/coller du log et l'enregister sinon il n'est pas accepté par l'uploader du forum (c'est pourtant bien un .txt)!!!!!

erbbardin · 01/04/2006, 11h20

Citation:

Posté par erbbardin

Bonjour et merci pour ton aide.

J'ai donc fait ce que tu m'as préconisé mais dès que je reviens en mode normal, avast me redemande (en fait à chaque fois que j'ouvre une application, à priori, quelqu'elle soit) de ou "supprimer" ou "mettre en quarantaine" le fameux "wmimgr32.dll. Je l'avais pourtant bien supprimé en mode sans echec (quoique je ne l'ai trouvé qu'avec la fonction recherche car invisible dans le system32, il était en "caché").

Donc ça continue. En plus quand avast me pose la question, si je fais supprimer, le message revient pour la même question 2 secondes après. Il faut que je fasse "mettre en quarantaine" pour "calmer les ardeurs" d'avast!.

Merci d'avance pour ton aide.

mon log en fichier joint.

Pour ma culture perso, peux-tu me dire quelles lignes sur le log te renseignent sur la présence de ces infections?
Merci

Pour info également, je te joins un rapport qui est apparu dans c:\ intitulé egd!
Pour le log de hijackthis, je n'arrive pas à l'uploader tel quel, je suis obligé d'ouvrir le blocnote et de faire un copier/coller du log et l'enregister sinon il n'est pas accepté par l'uploader du forum (c'est pourtant bien un .txt)!!!!!

Simplement pour t'informer (je suppose que les symptomes que je peux rencontrer peuvent t'aider!).
Je voulais simplement renomer un mp3 (legal, c'est morceau d'un de mes cd converti en mp3), donc d'abord un simple clic pour le selectionner et alors là messages sur le wmimgr32 à répétition (que je mets en quarantaine) jusqu"à ce que je le déselectionne!!!!!!

**Cyrrus** · 01/04/2006, 15h14

Bonjour erbbadin,

Bon d'après le rapport hijackthis le fix aurait foiré...on va voir de quoi il retourne :

1/ Télécharge Regsearch
Dézippe le sur ton bureau
Dans "Enter search strings" tape : egdaccess et en dessous wmimgr32.dll
Clique sur Ok
Laisse le chercher, et poste en pièce jointe le rapport qu'il t'affichera.

erbbardin · 01/04/2006, 16h27

bonjour,
Ok je te joint le rapport de regsearch.

Tu as vu ce que j'ai mis sur le comportement du pc (mp3, messages d'avast...)
J'ai refait la manip que tu m'avais indiqué et ensuite j'ai fixé la ligne 016 (egauth4....)
J'ai voulu supprimé wmimgr32.dll. Impossible à partir du moment ou j'ai lancé une application (n'importe laquelle). Par contre si je change d'utilisateur ou redemarre (toujours en sans echec) et que je COMMENCE par vouloir supprimer wmimgr32.dll, là ç'est bon. Mais il suffit que je relance par exemple hijackthis (ou bfu ou autre chose, il réapparait et plus moyen de le supprimer sinon en redémarrant.
J'ai aussi fait en faisant "recherche" dans regedit des suppressions de tout ce qui pouvait toucher ou ressembler à egauth4 1052.....dll, à wuauclt et à wmimgr32 (toujours sans echec) mais en revenant en mode normal, toujours les messages d'avast pour wmimgr32 concernant un win32SalityD (voir mon image au début du sujet).

Voilà, j'attends de tes nouvelles car je seche.
Merci encore

erbbardin · 01/04/2006, 16h39

je viens de refaire un log.
La ligne 016 a bien disparu mais toujours la même chose sur le pc.