Fais le manuellement alors, pour chacun des fichiers (copie colle le premier chemin, supprime, puis copie colle le second chemin, et supprime, toujours avec l'option Delete on reboot). Attention le deuxième chemin est foireux, il faut bien mettre :
C:\WINDOWS\system32\wmimgr32.d ll
.grrr ca veut pas dis donc ! enlève l'espace entre le d et le ll pour avoir bien .dll
Cyrrus
Je veux bien mais impossible de mettre les deux.
J'en mets un, je clique sur la croix, je dis non pour le reboot afin de mettre le deuxième et là, je ne vois plus le premier???
En plus wmimgr32.dll et unyrlm.exe ne sont pas dans system32. Quand avast me demande quoi faire à chaque alerte, je réponds "mettre en quarantaine" à priori ça empeche qu'il se mette dans system32 (pour wmimgr32.dll). Je n'ai pas d'alerte concernant unyrlm. Je l'avais "viré" en mode sans echec et je ne le vois plus. Je ne vois que "wmimgr32.dl_ (un seul L et un tirait bas) en fichier caché!!!!
Dis moi, si tu es toujours dispo, je vais pas t'accaparer tout le temps. Donne moi des horaires si tu veux. En plus demain on est dimanche, tu as peut-être autre choose à faire!!!
j'ai donc essayé avec killbox de supprimer au démarrage c:\windows\system32\wmimgr32.d l_ (il l'a bien reconnu car il s'est affiché en bleu dans la fenetre de killbox (et pas avec les deux autres chemins précédents). Il a donc redémarré et toujours pareil. Ce fameux fichier caché .dl_ réapparait dès que j'ouvre une application et après la première alerte me demandant de bloquer wmimgr32.dll.
Bonjour erbbadin,
T'inquiete pas je ne fais pas que çà du week end, je t'aide parce que cela me fait plaisir.....et parce que cette bestiole commence à me chauffer les oreilles !
Bon on va reprendre méthodiquement :
1/ Tu supprime le fichier wmimgr32.dl_ avec Killbox, en utilisant l'option Delete on reboot.
2/ Recherche aussi les fichiers suivants, en affichant les fichiers/dossiers cachés pour être sur de ne rien louper :
Si tu les trouves, tu les supprimes avec Killbox aussi.c:\windows\system32\unyrlm.dat
c:\windows\system32\unyrlm_nav .dat
c:\windows\system32\unyrlm_nav ps.dat
Enfin une fois cela fait tu fais un scan complet avec Ewido et tu joint le rapport à ton prochain message.
Désolé si çà fait un peu "cafouilleux", mais je n'ai pas (encore) bien l'habitude de cette infection et le keylogger en prime seme la pagaille.
Je pense qu'on tient le bon bout néanmoins !
Bonne soirée
Cyrrus
ok. Qu'appelles-tu le keylogger???
Je veux bien faire la manip avec killbox pour le .dl_ mais lors du redémarrage, je vais directement en mode sans echec? De toute façon, il va réapparaître automatiquement dès que je vais ouvrir ewido pour le scan. J'ai bien vérifié, il n'y a rien même en caché en unyrlm...
Par contre j'ai eu 7 avertissement d'ewido concernant wcuauth.dll en rapport direct avec 7 trojans différents(je cois qu'ils portaient tous des noms différents mais sans l'affirmer) (trojan.agent,....).J'ai fais "nettoyer "à chaque fois. Ces 7 alertes concernent toutes wuauth.dll mais avec des noms de trojan différents au moins pour 3 d'entre-eux.
En pièces jointes une image de l'alerte.
J'attends pour faire ce que tu as dis, ces dernières infos vont peut-être changer la donne!.
De toute fàçon, je ne pourrais mettre que wmimgr32.dl_ dans killbox et il réapparaîtra en mode sans echec dès que j'ouvrirai ewido pour le scan.
Re,
Peux tu me mettre le rapport d'Ewido en pj je te prie ?
Vérifie que le fichier C:\WINDOW\system32\wuauth.dll est partit (en affichant les fichiers cachés).
C'est bien ce que je veux que tu fasse : supprimer seulement ce fichier en ne mettant que lui dans la barre de killbox. Normalement en utilisant "Delete on reboot" ce fichier ne devrait plus revenir, ou alors il y a quelque chose derrière qui le régénère !!je ne pourrais mettre que wmimgr32.dl_ dans killbox et il réapparaîtra en mode sans echec dès que j'ouvrirai ewido pour le scan.
Cyrrus
ok, je vais faire le scan (après killbox) ewido en sans echec et te l'envoie.
attention c'est wcuauth.dll et non wuauth.dll
ouf, c'est ok j'ai le rapport d'ewido.
J'ai vérifié, le wmimgr32.dl_ est bien revenu dans system32, et il y en a un (pas caché, celui là) dans le dossier c:\!killbox (mais ça parait normal).
en FJ le rapport ewido. Je te laisse pour ce soir. Je serais là demain. Dis moi si tu peux, sinon je patienterai. En tout cas merci pour tout.
Re,
Il y a quelque chose qui régénère cette dll, il faut le trouver....
1/ Lance regsearch et effectue une recherche avec les mots clés suivants :
wmimgr32.dl_
wmimgr32.dll
Clique sur Ok et poste le rapport qu'il te donnera.
Bonne soirée
Cyrrus
Bonjour et bon dimanche.
J'ai fait regsearch, je te poste le log.
J'ai eu encore les alertes d'ewido et j'ai noté ce qu'il m'a dit.
1/ fichier:wcuauth.dll
chemin:c:\windows\systeme32\
infection:Trojan.AVKill.i
2/ fichier:windcmvà.exe
chemin:c:\windows\temp\
infection: Proxy.Agent.jh
3/ fichier:winsvlyh¥.exe
chemin :c:\windows\temp\
infection: Trojan.Agent.pm
J'ai fait "nettoyer" à chaque fois donc ils ne sont pas dans les chemins spécifiés (ewido a du les bloquer).
Donc je t'envoie 3 fj
1 rapport regsearch avec les wmimgr32...
1 rapport regsearch avec ces 3 fichiers indiqués par ewido
1 image d'une recherche dans windows de tous ces fichiers (les 2 wmimgr32 et les 3 mentionnés ci-dessus)
Les deux rapports supplémentaires ne t'apporteront peut-être rien mais....
A bientôt
Re
Je suis assez inquiet sur deux points:
Après une recherche sur google, je m'apercois qu'un autre gars a le même soucis que moi et on lui réponds après plusieurs scans d'utilitaires différent et plusieurs rapport que son pc a l'air sain (comme le mien). Par contre il a fait un scab en ligne par securiser qui lui a trouvé un millier de fichiers infectés!!!!
Je suis par hasard passé sur un de mes mp3 et même lorsque je mets le pointeur (sans cliquer) sur un mp3, j'ai plein d'alertes (simplement en passant dessus).
Je me demande si cette m.... n'as pas touché tous mes programmes et mes mp3!!!!
SOS: Comment réparer des fichiers corrompus?
Bonjour a tous,
je viens de m inscrire sur ce forum, j ai pas su comment poster un nouveau message c pour ca que j ai profité de lancer mon message sous forme de réponse : Mon probleme c que j ai supprimé mes donées par erreur sous XP la recupération des données etait impossible via Xp puisqu il s agit de presque 4 Go de données a l aide d autre logiciel j ai pu recupérer presk ttes mes données mais malheuruseument certains fichiers ne s ouvrent pas un message m indiquant que c un fichier corrompu, Priere comment reparer ces fichiers? Merci
Youssefmm :
1/ Pour poster un nouveau sujet, cliquer sur l'icone Nouveau en haut à gauche du forum.
2/ Pas de style SMS dans vos messages.
3/ Je ne suis pas calé là dedans...d'ou l'utilité de poster un nouveau sujet.
Cyrrus
Bonjour erbbadin,
Je suis vraiment trop c**, en relisant tout le sujet je viens de m'apercevoir que je ne t'ai pas fait supprimer tes Temp (j'en étais pourtant convaincu), ce qui permet je pense à la bestiole de ce régénéré. Tu as des processus malicieux dans les Temp et le Prefetch. Tu as aussi une valeur de clé malicieuse. On va s'occupper de tout çà pour je l'espère tordre le coup à ces processus :
1/2/ Redémarre en mode sans echec et affiche tout les fichiers/dossiers cachés...Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe
-=Suppression des fichiers temporaires=-
- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
- Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
- Clique sur Analyse
- Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
- Une fois le scan terminé, clique sur Lancer le Nettoyage
3/ Supprime les fichiers suivants si trouvés :
4/ Crée un point de restauration système (une sécurité pour les prochaines manip [aide ici])C:\windows\systeme32\wcuauth.dll (es tu sûr pour le systeme32 ? )
C:\windows\system32\wmimgr32.d l_
C:\windows\system32\wmimgr32.dll
C:\windows\System32\syslib32.dll
C:\windows\System32\oledsp32.dll
C:\windows\System32\olemdb32.dll
C:\windows\System32\wcimgr32.dll
C:\!Killbox\wmimgr32.dll (sans danger mais inutile)
5/ Copie colle le texte ci dessous dans un fichier .txt (bloc notes) : attention pas de ligne d'espace entre REGEDIT4 et la clé
Puis Fichier>Enregistrer sous et nomme le remove.regREGEDIT4
[HKEY_USERS\S-1-5-21-1659004503-1004336348-1417001333-1004\Software\Google\NavClient \1.1\History]
"wmimgr32.dl_"=-
6/ Double clique sur remove.reg et accepte la fusion avec la base de registre.
7/ Redémarre en mode normal
8/ Fais Demarrer>Executer et tape regedit [valide par ok]
9/ Regarde dans les clés suivantes (c'est très simple, juste une arborescence à dérouler) si tu ne trouves rien se rapportant à ce wmimgr32.dll :
10/ Retourne dans CCleaner :HKLM\Software\Microsoft\Window s\CurrentVersion\Run
HKCU\Software\Microsoft\Window s\CurrentVersion\Run
Dis moi ce qu'il en est...?-=Suppression des incohérence du registre=-
- Clique sur l'icône Erreurs situé dans la marge à gauche.
- Puis clique sur Analyser les erreurs
- Patiente pendant que CCleaner scanne ton registre.
- Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
- Tu peux cliquer ensuite sur Corriger les erreurs.
- Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.
Bon dimanche
Cyrrus
ok, j'ai fait tout ça et rien de changé.
Je n'ai rien trouvé à supprimer (wcuauth.dll, syslib32.dll....) à part le wmimgr32.dl_ qui réaparrait tout le temps en fichier caché. Les autres sont toujours bloqués par avast (pour wmimgr32.dll) et ewido (pour wcuauth.dll) donc jamais dans system32. Pour ce qui est des 4 autres (sysl..., oleds...etc), je ne les ai jamais vu!
J'ai bien regardé partout (systeme et registre) et rien sur unyrlm alors qu'il apparait toujours dans "démarrage" de "msconfig", bien qu'il ne soit pas coché.
As tu vu ce que je te dis sur les mp3 et sur le gars qui semble autant dans la mouise que moi?
Pj: une image de "démarrage" de "msconfig".
Re erbbadin,
1/ Refait un scan avec Regsearch pour wmimgr.dl_ et unyrlm.exe
Poste les rapport qu'il te donne
2/ Je croyais que ce unyrlm.exe n'existait plus ????? S'il est encore présent alors egd l'est aussi.
3/ Es tu sur de bien avoir scanné avec Blacklight ? Refais un scan et poste le rapport qu'il te donne à la fin.
Je sèche un peu car je ne sais plus ce qu'il y a et ce qu'il n'y a pas...je pensait ne plus avoir à m'occupper que de sality, et voilà que egdaccess revient.
A mons avis les deux sont liés. Egdaccess ne partira pas que si l'ont ne enlève tout ces fichiers en un coup.
Je te met une procédure de scanne antivirus spécial juste après.
Bonne fin de journée
Cyrrus
Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec et supprimer wmimgr.dl_
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Non, non, il n'y est plus. Il y a simplement que la ligne (non cochée) dans msconfig mais il n'y a trace nulle part. J'ai refait toutes les recherches avec blbeta, regsearch, fonction rechercher de windows, fonction rechercher du registre. Et nulle part, il n'y a de trace de unyrlm.
Ok, dans ce cas fais le scan avec eScan, et poste moi le rapport. Dans ton screenshot de msconfig, il y a un chemin de registre en face de la ligne unyrlm.exe. Peux tu me le donner ?
ok mais est-ce qu'il faut que je desactive avast?
Non pas besoin, il n'y aura pas de conflit...
software\microsoft\windows\cur rentversion\run
Devant il n'y a pas de HKLM ou autre!
J'ai fait une recherche dans le registre en tapant sur f3 après chaque réponse et j'ai enfin trouvé unyrlm avec des sous clés. J'ai tout supprimé. Je redémarre et je te dis ce qui se passe. On aura peut-être pas besoin de faire le scan toolkit!
En fait lorsque je faisais une recherche regedit, je ne savais pas qu'il fallait aller au bout en tapant sur f3 après chaque clé trouvée et mea culpa), j'ai du en oublé.
Donc, là, c'est sur, unyrlm est parti..
Je redémarre et te repost
donc après reboot, il n'y a plus rien dans msconfig, mais toujours ces messages d'avast.
J'attends donc ton feu vert pour toolkit.
Re,
Tu peux y aller !
Bonen soirée
Cyrrus
ouf, ça y est.
Alors je t'explique.
Je l'ai fait et il m'a trouvé 1558 fichiers infectés par le même virus. Regarde à la fin du rapport, j'ai rajouté le résumé.
Le pb est que j'ai une partition D: sur laquelle se trouves mes mp3, avi, jpeg.....
Donc j'ai fait la même chose pour mon disque D: (je n'ai pas sauvegardé le rapport).
J'ai fait un reboot en sans echec pour recommencer une fois sur c: pour voir ce qu'il allait retrouver après un reboot mais impossible.
Quand je fais mwavscan il me repond erreur interne donc impossible de le relancer. J'ai donc rebooter en mode normal et je continue à avoir des alertes d'avast mais sur beaucoup moins de d'action. Ex, quand j'ouvre outlook pour t'ecrire, je n'ai plus d'alerte. Quand je passe mon pointeur sur un mp3 (disque D, plus d'alert non plus. Par contre une alerte au démarrage (en arrivant sur le bureau) comme avant. une alerte en ouvrant word (par exemple). Il y a du mieux mais c'est pas fini. Mais le rapport fait 240 ko donc impossible à envoyer!!!!!
Comment je peux faire (je vais pas le fractionner en 5 parties???
Veux tu que je t'envoie mon mail par mp pour que tu me l'envoie en pièce jointes (par mail cette fois) ?
non, je te remercie, on sait jamais si je t'envoie une m.... cachée!!!!
Je te le le post en quatre fois.
Bon, je te laisse regarder ça et je te souhaite une bonne nuit. J'espère à demain mais si tu bosses, tu ne pourras surement pas alors j'espère demain soir.
Si tu as le temps, peut-être peux tu me dire pourquoi, mwavscan n'a pas voulu se relancer.
Puis-je le desinstaller (en mode normal), supprimer entièrement le dossier kapersky et refaire une installation et une mise à jour?
Bonne nuit
pj: message d'erreur à l'ouverture
J'ai tout enlever, retelechargé toolkit et réinstallé.Envoyé par erbbardin
Mais quand je veux l'ouvrir (en sans echec), il me met le même message que sur l'image que je t'ai envoyée.
Je suppose que la première fois, il a du modifié un fichier système concernant "date setting" mais je ne sais pas lequel!
