Bonjour,
J'ai vu que dans mon msconfig/démarrage, j'avais une ligne cochée intitulée unyrlm.exe.
Je ne vois pas ce que c'est et aucune trace en faisant une recherche sur le web????
Quelqu'un peut-il me dire à quoi ça correspond et faut il le supprimer dans dle registre?
Je précise que je l'ai décoché dans msconfig et à priori, ça n'a pas l'air de poser de problème (mais ça fait qu'1/2 h!)
Merci d'avance
Bonjour,
je ne connais pas du tout cet Exe.
Pourriez-vous trouver le chemin d'acces a ce fichier ? ou savoir de quel processus il dépend ?
Tenez-nous au courant ...
Merci pour votre aide.
c:\windows\system32\unyrlm.exe nyrlm
?????
Bonsoir,
Effectue cette procédure je te prie : http://forums.futura-sciences.com/thread69698.html
Poste les rapport en pièces jointes de ton message.
Bonne soirée
Cyrrus
ok, je m'en occupe mais pourquoi pour ewido :"L'installer (important: pendant l'installation, sur la page "Additional Options" décochez les deux options "Install background guard" et "Install scan via context menu")."?
Merci
Pour info, je me suis trompé et recréer un nouveau sujet!!!!
Merci
J'ai également depuis que j'ai vu ce "unyrlm" regulièrement un message de mon pare feu kerio me demandant si je veux autoriser une connection entrante avec ce message:Voulez vous autoriser "winiebugo¶"Envoyé par erbbardin
[31/03/2006 10:09:54]
Direction: entrant
Point local: 82.239.105.159, port http [80]
Matériel: Connexion au réseau local
Point distant: 66.14.232.72.reverse.layeredte ch.com [72.232.14.66], port 39850
Protocole: TCP
Fichier: c:\Documents and Settings\Eric\Local Settings\Temp\winiebugo¶.exe
Description: winiebugo¶
Version:
Créé le: 2006/3/31, 07:29:17
Modifié le: 2006/3/31, 07:29:18
Accédé le: 2006/3/31, 07:29:18
RuleId = 201326613
Est-ce lié? car je ne vois également rien sur le web!!!!
Merci
Bonjour,
non ce n'est pas la peine.
Pour plusieurs raisons:
la première c'est que éwido est un version d'évaluation et que dans 15 jours, le processus de surveillance (background guard) sera désactivé si tu n'achète ewido.
La seconde:Cela évite de surcharger encore un peu plus ta machine qui est dèja lente à cause de l'infection dont tu es victime.
A noter que dans ces conditions, tu peux conserver ewido et faire tes mises a jours manuellement et t'en servir pour scanner ponctuellement ton PC.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):
voir fichier joint
Mon rapport ewido:
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 12:54:35, 31/03/2006
+ Somme de contrôle: 1A078ECE
+ Résultats du scan:
C:\Documents and Settings\Guillaume\Cookies\gui llaume@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\WINDOWS\system32\wcuauth.dl l ->
Trojan.AVKill.i : Nettoyer et sauvegarder
::Fin du rapport
mon log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:58:50, on 31/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RunDll32.e xe
C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
C:\PROGRA~1\Webshots\webshots. scr
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.ex e
C:\Program Files\Hijackthis\HijackThis.ex e
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.viamichelin.fr/viamicheli...MaHomePage.htm
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.ex e
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142527743625
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap.../mmsPlayer.cab
O16 - DPF: {E49A9FCB-FAA9-4C1F-A1C1-54920DA2CCA4} - http://es6-scripts.dlv4.com/binaries...1052_FR_XP.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.e xe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Rappel :
Ces rapports étant longs, ils doivent être postés en pièces jointes. Merci de lire la procédure jusqu'au bout !
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
ok, autant pour moi.
alors:
ok, j'ai fait ce que tu m'as préconisé mais depuis j'ai des alertes d'avast (que je n'avais pas avant):
Je suis désolé mais achaque fois que je lance hijackthis (télechargé par le forum, ici!), j'ai toujours l'alerte de avast me disant que wmimgr32.dll essaie de s'installer.
Je le supprime et j'ouvre hijackthis et hop, rebelote.
Bonjour à tous,
Tu as une sacré infection, avec edgaccess et un enregistreur de frappe en bundle. Il me faut un peu de temps pour te rédigerla manip de désinfection, je fais au plus préssé....
A+
Cyrrus
Re erbbardin,
2/ Toujours en mode sans echec, supprime le fichier suivant :Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).
Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
3/ Redémarre normalement et passe un coup de CCleaner (comme indiqué dans la manip préliminaire).C:\WINDOWS\system32\wmimgr32.dll
4/ Poste un nouveau log hijackthis.
Bonne soirée
Cyrrus
Bonjour et merci pour ton aide.
J'ai donc fait ce que tu m'as préconisé mais dès que je reviens en mode normal, avast me redemande (en fait à chaque fois que j'ouvre une application, à priori, quelqu'elle soit) de ou "supprimer" ou "mettre en quarantaine" le fameux "wmimgr32.dll. Je l'avais pourtant bien supprimé en mode sans echec (quoique je ne l'ai trouvé qu'avec la fonction recherche car invisible dans le system32, il était en "caché").
Donc ça continue. En plus quand avast me pose la question, si je fais supprimer, le message revient pour la même question 2 secondes après. Il faut que je fasse "mettre en quarantaine" pour "calmer les ardeurs" d'avast!.
Merci d'avance pour ton aide.
mon log en fichier joint.
Pour ma culture perso, peux-tu me dire quelles lignes sur le log te renseignent sur la présence de ces infections?
Merci
Pour info également, je te joins un rapport qui est apparu dans c:\ intitulé egd!
Pour le log de hijackthis, je n'arrive pas à l'uploader tel quel, je suis obligé d'ouvrir le blocnote et de faire un copier/coller du log et l'enregister sinon il n'est pas accepté par l'uploader du forum (c'est pourtant bien un .txt)!!!!!
Simplement pour t'informer (je suppose que les symptomes que je peux rencontrer peuvent t'aider!).
Je voulais simplement renomer un mp3 (legal, c'est morceau d'un de mes cd converti en mp3), donc d'abord un simple clic pour le selectionner et alors là messages sur le wmimgr32 à répétition (que je mets en quarantaine) jusqu"à ce que je le déselectionne!!!!!!
Bonjour erbbadin,
Bon d'après le rapport hijackthis le fix aurait foiré...on va voir de quoi il retourne :
1/ Télécharge Regsearch
Dézippe le sur ton bureau
Dans "Enter search strings" tape : egdaccess et en dessous wmimgr32.dll
Clique sur Ok
Laisse le chercher, et poste en pièce jointe le rapport qu'il t'affichera.
bonjour,
Ok je te joint le rapport de regsearch.
Tu as vu ce que j'ai mis sur le comportement du pc (mp3, messages d'avast...)
J'ai refait la manip que tu m'avais indiqué et ensuite j'ai fixé la ligne 016 (egauth4....)
J'ai voulu supprimé wmimgr32.dll. Impossible à partir du moment ou j'ai lancé une application (n'importe laquelle). Par contre si je change d'utilisateur ou redemarre (toujours en sans echec) et que je COMMENCE par vouloir supprimer wmimgr32.dll, là ç'est bon. Mais il suffit que je relance par exemple hijackthis (ou bfu ou autre chose, il réapparait et plus moyen de le supprimer sinon en redémarrant.
J'ai aussi fait en faisant "recherche" dans regedit des suppressions de tout ce qui pouvait toucher ou ressembler à egauth4 1052.....dll, à wuauclt et à wmimgr32 (toujours sans echec) mais en revenant en mode normal, toujours les messages d'avast pour wmimgr32 concernant un win32SalityD (voir mon image au début du sujet).
Voilà, j'attends de tes nouvelles car je seche.
Merci encore
je viens de refaire un log.
La ligne 016 a bien disparu mais toujours la même chose sur le pc.
Bonjour erbbaddin,
Normal que egdaccess résiste au script bfu, il y a des processus caché qui le protege et font foirer si on ne les a pas supprimer avant (merci Mark). On va scanner avec Blacklight qui normallement les voit :
Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique sur blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique sur Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Penses à renommer le rapport de blacklight de .log à .txt pour que le forum accepte la pièce jointe.
Bonne journée
Cyrrus
je veux bien, mais quand j'ouvre blbeta je n'ai pas "scan through windows....". Et quand je scan, il ne me trouve rien??????
Voici l'image
Re erbbaddin,
Ok il se peut que l'infection soit inactive, ce qui faciliterai les choses. On va s'en occupper, et ensuite on s'occupera des processus qui font hurler avast.
Joint moi le rapport en pièces jointes, et évite de m'envoyer des mp pour la désinfection, je n'y répond pas par principe.Télécharge HijackThis! + Extra de ce lien :
http://metallica.geekstogo.com/setuphjt.exe
Sauvegarde le sur ton Bureau.
Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT
Double-clique sur le raccourci HJT and More, puis double-clique ht.bat
Une fenêtre DOS apparaîtra;
Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.
Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).
Bonne journée
Cyrrus
C'est fait. Je colle le rapport ici (comme tu le demandes) et pas en fichier joint.
Tu dis qu'il est inactif mais depuis que je l'ai, il faut très souvent que je retape mes identifiants et mots de passe (cookies) dans le forum et je vois que dans le dossier cookies de documents and settings\.... ils disparaissent au bout d'un moment alors que tout était bon avant.
Logfile of HijackThis v1.99.1
Scan saved at 18:21:38, on 01/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\WINDOWS\system32\RunDll32.e xe
C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
C:\PROGRA~1\Webshots\webshots. scr
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MICROS~2\Office\OU TLOOK.EXE
C:\WINDOWS\System32\lxcfcoms.e xe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Hijackthis\HijackThis.ex e
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.viamichelin.fr/viamicheli...MaHomePage.htm
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.ex e
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1142527743625
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap.../mmsPlayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\System32\lxcfcoms.e xe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe
doesn't exist HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ RunOnceEx
doesn't exist HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
-----------------------
-----------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \RunOnceEx]
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers]
@=""
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\CopyToCD]
@="{2AA59FC0-31E8-42DA-9D3C-E9A52953853B}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\ewido]
@="{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\WinRAR]
@="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\WinZip]
@="{E0D79304-84BE-11CE-9641-444553540000}"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Épingle du menu Démarrer"
[HKEY_CLASSES_ROOT\*\shellex\Co ntextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run]
"avast!"="C:\\PROGRA~1\\ALWILS ~1\\Avast4\\ashDisp.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"PMXInit"="C:\\WINDOWS\\system 32\\pmxinit.exe"
"DXM6Patch_981116"="C:\\WINDOW S\\p_981116.exe /Q:A"
"SunJavaUpdateSched"="C:\\Prog ram Files\\Java\\jre1.5.0_06\\bin\ \jusched.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Runonce]
[HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Runonce]
Scheduled Tasks Folder Contents
*
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
oups j'avais pas vu la phrase fichier joint. Excuse moi
voici le rapport
et le booth
Re,
Bon apparemment Edgaccess n'a pas l'air là non plus. On va donc s'occupper des fichiers récalcitrants :
1/ Télécharge Killbox sur ton Bureau :
http://www.downloads.subratam.org/KillBox.exe
Double-clique killbox.exe.
Choisis l'option "Delete on reboot".
Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :
C:\WINDOWS\system32\unyrlm.exe nyrlm
C:\WINDOWS\system32\wmimgr32.d ll
Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard
Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !
Clique sur le bouton : All Files (!important!)
Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".
2/ Une fois fait cela, fais un scan complet avec Ewido en mode sans echec et poste le rapport en pièces jointes.
Coriace la bête !
Bonne fin de journée
Cyrrus
ok je fais ça mais tu dis qu'il n'apparait pas? Que penses tu de la ligne 016 que j'ai cru voir sur le booth concernant egauth4....?
Re,
Arff je postai quand tu mettai les deux rapports en pièces jointes. Je viens juste de les voir !
...une chose me tracasse : le rapport que tu m'a mis en pièces jointes date de 10:31 ce matin. Celui que tu as affiché par erreur date de 18:21 cette après midi. Est tu sur que tu m'as joint le bon rapport ? J'aurai plutot tendance à croire celui de 18:21 que celui de 10:31....
(Bonjour,
je laisse faire les spécialiste comme cyrrus, mais effectivement, vous devriez réessayer de supprimer cette ligne en mode sans echec depuis hijackthis, mais comme dit cyrrus, "Coriace la bête !"
Bon courage)
Mais faudrait vous détendre tous les 2, on a meme plus le temps de rédiger un post
tu as raison de croire celui de 18h21, j'ai mélangé les deux. Je viens de faire le ménage et ça n'arriverra plus, promis.
Par contre problème. Quand je fais paste from clipboard dans killbox en ayant pris soin de copier les deux lignes integralement (en enlevant le blanc avant ll) etde cocher delete on reboot, il n'y a rien dans la boite full path...Je l'ai fait plusieurs fois et rien n'apparait même en cliquant sur la petite flèche. Pourtant c'est bien dans le presse papier car si je fais coller dans le bloc note par exemple, ils sont bien là!
