unyrlm.exe

[Cyrrus]

Bonjour erbbadin,

Dingue....il y avait du Sality de partout selon eScan...

On va continuer dans cette voie de scan antivirus. Je vais tefaire scanner avec Kaspersky (en ligne) et avec Antivir (ne t'inquite pas je te le ferai paramétré pour qu'il n'y ait aucun conflit avec Avast).

Je te donne la marche à suivre pour Kasperky Online Scan :

Va sur : http://www.kaspersky.com/virusscanner (avec Internet Explorer uniquement).

Clique sur Kaspersky Online Scanner et accepte le controle Active X. Une fois le scan terminé joint le rapport qu'il te donnera.

Je te donnerai la procédure pour Antivir ce soir.

Courage, on progresse !

Bonne journée
Cyrrus
PS : Je vais me renseigner pour eScan. Tente de désinstaller puis netoyer avec CCleaner le registre. Résinstalle eScan ensuite. Si vraiment cela plante, laisse tomber.
-----

[erbbardin]

Hello.

J'espère que Kapersky en ligne ne va pas tout me "virer" car j'ai l'exemple d'un collegue qui a scanné en ligne avec bitdefender et au lieu de désinfecté, ça a viré les 3/4 des .exe.

[Cyrrus]

......ah ??? Ce n'est pas la première fois que je fais utiliser Kaspersky online....jamais eu de problème...

[erbbardin]

ok, je te fais confiance et puis même si il y a des pbs, t'essaies de m'aider alors il serai mal venu de ma part de te reprocher quoique ce soit, au contraire.

[Cyrrus]

Merci de ta confiance, enfin pour autant je dois normalement être capable de te donner des solutions sans te faire prendre de risque. Vraiment je ne suis pas le seule à le faire utiliser, et je n'ai jamais vu ou entendu parler de problème de quelque nature que ce soit (s'il y en avait, ce serai des faux positif, et Kaspersky n'en a apparemment pas).

Autre chose, eScan a trouvé des bestioles dans ta restauration(sans risque tant que tu ne restaure pas).
Si tu souhaite faire un point de restauration propre, tu peux faire ceci :

Démarrer> Clique droit sur le poste de travail et "Propriétés"
Dans l'onglet "Restauration système", coche "Désactiver la restauration". Accepte la confirmation. Cela va supprimer les points infectés.

Il ne te reste plus qu'à decocher cette même case pour la réactiver, recréant ainsi un point saint.

[erbbardin]

pour le scan en ligne, je fais "standard" ou "extended"?

[Cyrrus]

Re,

Commence par standart, Extended doit utiliser l'heuristique et je ne pense pas en avoir besoin.

[erbbardin]

Désolé, après je te laisse mais il me demande également:
critical area, my computer,folders.....?
Je prends quoi (my computer, I suppose?)

[Cyrrus]

Je viens de retrouver le discours lui étant associé, je te le met (mille excuses) :

Clique sur Kaspersky Online Scanner

On va te demander d'installer un contrôle ActiveX ,clique sur Yes.

* Le programme va démarrer et télécharger les dernières mises à jour:
* une fois la mise à jour terminée,clique sur NEXT
* clique sur Scan Settings
* Dans le menu du scan assure toi que les éléments suivants sont sélectionnés:
o Scan using the following Anti-Virus database:
Extended (si possible,sinon:Standard)
o Scan Options:
Scan Archives
Scan Mail Bases
* Clique sur OK
* A présent sous "select a target to scan":
choisis My Computer
* Le programme va se lancer et scanner ton systeme.
* Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté.
o A présent clique sur le bouton "Save":
* Sauvegarde le fichier sur ton bureau.
* Copie/colle le contenu dans ton prochain message

C'est quand même mieux expliquer !

Bonne journée
Cyrrus

[erbbardin]

ok, c'est fait.
Je te joint le rapport.

J'ai toujours la fenetre de kaperky ouverte.
Je fais quoi? send? expand report?
Est-ce simplement un scan qui m'averti ou a-t'il désinfecté en même temps?

@ bientôt.
Je viens d'avoir à l'instant les 7 alertes de suite concernant les trojans bloqués par ewido (voir un post précédent).

Pour info, en ouvrant word, j'ai eu l'alerte habituelle de avast mais cette fois concernant un trojan:Win32:Zapchast-O [Trj]

Toujours par wmimgr32.dll mais le trojan est différent!!!!!!

[invite275db609]

Bonjour a tous les 2,

Je ne sais pas si le scan online vous a désinfecté votre Pc, par contre, je peux vous dire que Kaspersky normalement doit etre capable de vous le faire (parlent-ils du scan online ou du produit acheter ?...?) :

Nettoyage du virus :

Detecté et/ou nettoyé/mis en quarantaine par KAV Scanner depuis le 18/06/2004 21:07:05 (heure française)

Source : http://www.idepro.fr/kaspersky/infov...d_virus=832748

Mais a mon avis, quand il vous as dit : 'Skipped' pour chacun des vers découverts, c'est a mon avis (suis pas tres bon en anglais) qu'il l'a sauté, donc pas désinfecté ...

En espérant que ma pierre renforce un peu plus votre batisse, ...

[invite275db609]

Re,

sur cette page http://www.01net.com/recherche/01net...system=windows vous trouverez apparemment un lien que je ne connais pas, qui apparemment propose un scan online pour éradiquer Sality, le lien qu'il donne est : www.ScanForFree.com

Je ne connais pas, si cyrrus veut bien nous dire ce qu'il en pense

@ bientot

[Cyrrus]

Bonjour synthexe,

Ceci est un lien commerciaux, qui à tout les coup va infecter par un adware lorsqu'il va scanner, ou va demanderde payer pour la désinfection...

Tu aurais mis tralalatsointsoin il t'aurait affichier "Can't Remove tralalatsointsoin for Free".

Je ne peux pas analyser compltement le rapport, mais j'en viens à me demander si il n'y a pas du faux positif là dessous. Le rapport detecte des logiciels anodins comme infectés..(Guitar Pro...)

Bonne journée
Cyrrus
PS : Je vais te faire enlever/désctiver avast pour antivir, on verra une fois paramétré ce qu'il trouve.

[erbbardin]

Pour info, j'ai fait un deuxième scan kaperky on line pour voir si ça évoluait.
Voici le résultat.

Si tu me fait desactiver avast, dis moi la marche à suivre et j'espère que ça va pas permettre à d'autres saloper....... d'entrer dans mon pc.

@ plus

[invite275db609]

Merci Cyrrus de la prévention, j'osais espérer que la petite version free n'aurait aucun défaut ...

Connais-tu ce site en particulier? cela vaudrait-il le coup de le tester, peut etre n'est-il pas si mauvais que ca ...

Est-ce que lien commercial, veut-il forcement dire spyware (ou Ad) ??

@ bientot les combattants de malwares

[Cyrrus]

Bonjour synthexe, bonjour erbbadin,

Je ne connais pas specialement ce site mais je sais par expérience qu'il n'est en rien honnete, ni sur..

Erbbadin :

Je commence à penser à un faux positif, car même s'il trouve des fichiers malicieux, il en trouve d'autre apparemment bon qui n'ont rien de malicieux à mon sens. Je vais en parler à des amis conseillers pour avoir leurs avis.

En attendant je vais te faire supprimer quelques contenu de dossier/fichier, et scanner avec Antivir :



1/ Désactiver Avast. Pour cela, clique droit sur la petite icone dans le systray (en bas à droite de l'écran) et cliquer sur "Arreter la protection résidente).

2/ télécharger Antivir (http://www.free-av.com. Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la si nécéssaire) : http://speedweb1.free.fr/frames2.php?page=tuto5

3/ Supprime les fichiers suivants en mode sans echec (utiliser Killbox si nécessaire) :

C:\WINDOWS\system32\wmimgr32.dl_
C:\WINDOWS\system32\__delete_on_reboot__wcuauth.dl l
C:\WINDOWS\Temp<-- tout le contenu du dossier
C:\TEMP<<-- tout le contenu du dossier

4/ Redémarrer en mode normal

5/ Poster le rapport d'Antivir en pièces jointes.

Bonne soirée
Cyrrus

PS : le tutoriel de tesgaz est vraiment très bien fait, il t'explique vrailment tout de A à Z. Antivir est efficace que s'il est paramétré à la façon tesgaz.

[erbbardin]

bonsoir Cyrrus,

Désolé, j'attendais avec impatience ton message et je viens de m'apercevoir que tu m'en avais envoyé un à 18h22. Je sais pas comment je ne l'ai pas vu????
Enfin. Je m'occupe de ça dès demain matin de bonne heure car ce soir je suis occupé.
Une question. Il faut bien que j'installe, configure et scan en mode sans echec? (même l'installation?)

Tu penses à de faux positifs mais j'ai quand même ces inombrales messages d'ewido (voir le post correspondant) concernant des trojans avec wcuauth (que je ne vois jamais nulle part, d'ailleurs) et ceux d'avast avec maintenant un nouveau nom de trojan (voir posts de ce jour)????

[erbbardin]

C'est bien celui-ci?
antivir_workstation_win7u_en_h

Bonne soirée

[Cyrrus]

Bonsoir erbbadin,

Oui en effet, Ewido ne souffre pas de faux positif. Peut être est ce juste une éxagération...
En tout cas ce wmimgr32 n'a rien à faire dans windows, et le fait qu'il résiste m'énerve énormément...

J'espère qu'antivir apportera au moins des noms et des emplacements.

Au sujet de l'installation/paramétrage tu peux le faire en mode normal, tant que tu désactives la protection résidente d'avast, il n'y a aucun risque (j'ai dejà 3 antivirus tourné en même temps, sans planter...).

Bonne soirée
Cyrrus

edit : oui en effet, c'est bien celui là

[erbbardin]

Une dernière question et je te laisse dormir (il est ch..... celui-là!!!).

A le fin du scan (je ne le connais pas celui-ci), si il me pose une question du type, supprimer, réparer, désinfecter....?
Je fais quoi?

Good night

[invite275db609]

Bonsoir,

j'imagine de toutes facons que si c'est possible, désinfecter parait la solution ... peut-etre pas supprimé, quoi que cela dépende du fichier infecté ...

Je sais, c'est tres maigre par rappport aux compétences de Cyrrus, mais j'essaie ...

[erbbardin]

Bonsoir Synthexe,
Effectivement, j'aurais tendance à vouloir désinfecter mais je laisse Cyrrus me guider, il connait ces logiciels mieux que moi.
Good night

[Cyrrus]

Bonsoir erbbardin,

Tout est expliqué dans le tutorial de tesgaz (quand je dis qu'il est bien fait ! ).

Choisis Delete à chaque fois.

Bonne nuit
Cyrrus
PS : Belle initiative que de vouloir aider les gens. Si tu veux de la doc pour l'analyse hijackthis ou l'éradication de malwares envoie moi un mp

[invite275db609]

Aucun probleme, je pense cela dit que cela ne peut pas faire de mal, et ne vous empechera pas de recommencer avec les détails plus ... profonds ... de Cyrrus

Bonne nuitée, et bon courage ... (bravo Cyrrus pour ce que tu fais)

[erbbardin]

Bonjour à vous deux.

Et merci Synthexe pour ton aide, mais surtout ne t'offusque pas du fait que je suive les conseils de Cyrrus mais je sais qu'il a déjà aidé d'autres personnes mais ton geste est sympa. Par contre il est sur qu'on va tous les deux apprendre des choses après un "truc" comme ça.

Donc voici le rapport d'antivir.

J'ai tout mis en quarantaine car il m'a supprimé des exe type EXEL, WORD, MSN ou d'autres donc je sens la réinstallation de plein d'applications arriver.

Je désactive antivir et réactive avast?

A bientôt.

[erbbardin]

J'ai, en attendant, repassé un scan de eScan kapersky.
(J'avais envoyé un mail pour savoir pourquoi je ne pouvais pas le réinstaller et il m'ont dit de le supprimer et m'ont conseiller de télecharger la dernière version.)

Donc, j'ai rescanné en sans echec (j'ai oublié de désactiver la restauration), et il ne m'a plus trouvé que 97 problèmes que dans des "restore". Sauf (voir la première ligne du rapport) un "soi-disant" smitfraud (non détecté par spybot et adaware).
Le pb est que pour effectuer la désinfection, ils demandent maintenant de payer, donc (et c'est ecrit en bout de chaque ligne du rapport) il n'y a aucune action effectuée.

Je te post le rapport escan karesky.
@ bientôt.

[erbbardin]

Our info, j'ai réinstallé word, exel et msn.Impec.
Et pour l'instant, il n'y a plus de wmimgr32 dans system32

[invite275db609]

Bonjour erbbardin,

a priori, tous les fichiers infectés dans ton rapport eScan sont dans un de tes points de restauration (permet qu'on se tutoie ?), il faudrait dégager celui-ci (étant sur 2000, pas de systeme de restauration, donc j'peux pas te donner la démarche ... mais tu dois surement la connaitre déja).

J'attends la suite avec impatience ...

[igor51]

Bonjour,

ce qui es dans la resturation système n'est pas méchant et on s'en occupera quand tout sera propre.

Pour le smitfrauf fais ceci (tu as du déja le faire je pense avec Cyrrus)

(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Utilisation ----- option 1 - Recherche :
Dézipper la totalité de l'archive smitfraudfix.zip
3 options à lancer séparément :
----- option 1
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Bonne soirée,

Igor

[erbbardin]

Salut Igor et merci également pour ton aide.

Pour la manip que tu m'indique, est-ce simplement un scan ou en même temps, il effectue des opérations de désinfection ou de suppression?

Je veux dire, laisse-t'il le choix avant de faire quoique ce soit? Je m'explique: avec tout ce qu'on vient de faire, on arrive doucement au bout et je voudrais être sur que ce smitfraud (c'est bien l'orthographe?) n'est pas un faux positif car après avoir refait tous mes scans avec tous les utilitaires que Cyrrus m'a préconisé, je ne trouve plus rien que les sality dans les points de restauration et ce fameux "smitfraud" (mais uniquement par eScan toolkit et pas par les autres, en particulier spybot à jour qui, ai-je lu, était réputé pour détecter ce spyware. Comprends-tu mon inquiétude?
Mais si tu m'assures que je ne risque rien à essayer cette méthode, je fonce les yeux fermés.
Merci encore