Salut à tous!
J'ai également des alertes de avast concernant wmimgr32.dll à chaque fois que je lance une application!
J'ai effectué un scan avec kapersky online sur C:\WINDOWS\
C:\WUTemp\
592 fichiers infectés quasiment que des .exe .RB0 et .scr
Le scan étant trop volumineux je peux pas vous l'envoyer
J'espère que vous allez pouvoir m'aider!
J'ai séparé ton message du reste pour créer ton propre fil.
Applique cette procédure et poste tes différents rapports en pièces jointes.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonjour.
désolé j'étais assez pris ces derniers et je n'ai pa pu répondre tout de suite.
J'ai essayé différent scan avec différents logiciels mais aucun n'a réussi à me virer ce truc
Je joins avec ce post le log hijackthis et le rapport d'ewido.
a+
Log hijackthis.txt
Rapport de scan_20060408.txt.txt.txt
Bonsoir,
tu as deux antivirus, il faut en choisir soit Avast, soit Antivir.
Ensuite on va s'occuperde ton problème:
1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm
2/ redémarre en mode sans échec((au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)
3/ ouvre hijackthis, choisis "Do a scan only"
coche les lignes suivantes:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadCont rol Class) - http://messenger.msn.com/download/Ms...Downloader.cab
ferme toutes les fenetres et clique sur "Fix cheked"
4/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".
5/ redémarre en mode normal, et refais un log hijackthis que tu reposteras ici en pièce jointe.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir Igor.
J'ai effectué ce que tu ma demandé.Le problème c'est que j'ai laissé mon pc tourné quelque temps et l'infection a évolué.De nombreux spy et autre trojans sont apparus.
Les alertes d'antivir arrivent en continu ça ne s'arrête jamais.
J'en ai marrrrrrrre!!
Je passe un petit coup de spybot et je t'envois le log de hijackthis.
Bonne soirée
Bonsoir malcomx91,
petite question: as-tu un firewall?(je n'en vois pas sur ton log, mais peut être es-tu derrière un routeur)
Si non je te conseille d'en installer un tout de suite
Il y en a des gratuits comme zone alarm et kerio.
Peux-tu passer ewido car il génère un log que je pourrais analyser et pense bien à faire l'analyse hijakcthis en mode normale.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour.
Ne pouvant plus accéder à aucun programme sur le pc que nous tentions de désinfecter j'ai décidé de formater et de réinstallé windows.Je n'avais quasiment aucune donné dessus j'ai donc pensé que c'était la meilleur chose à faire.
Par contre un autre pc de mon réseau a été infecté par ce même wmimgr32.dll.Celui la ça m'embetterai beaucoup plus si je devais le formater c'est pourquoi je vous envois le log d'hijackthis et le rapport d'ewido le concernant.
Voilà bonne journée!
a+
Bonjour,
vous etes apparemment infecté, l'executable secure.exe est a priori un spyware/adware (info ici), ainsi que hK23msp.dll (reconnu par ewido)
Ceci étant dit et n'étant qu'un novice, je laisse le soin aux experts de vous indiquer la procédure ... (qui me permettra d'apprendre encore un peu), ne faites donc rien sans l'aval d'Igor ou de Cyrrus ... (les experts, n'hésitez pas a me reprendre si je fais fausse route, c'est en faisant des erreurs qu'on apprend)
Bon courage, et @ bientot ...
Bonjour synthexe, bonjour à tou(te)s,
Le wmimgr32.dll a dejà été vu récemment dans un autre topic. Cette bestiole est assez bizarre et très coriace, aussi j'aimerais que seul certaines manip soit demandées, afin de ne pas embrouiller Malcolm. Neanmoins je serai très heureux de pouvoir répondre à tes remarques sur ce sujet par mp.
Bonne fin d'aprem
Cyrrus
Bonjour Cyrrus,
je n'ai demandé aucune manip
@u plaisir, bonne fin de journée aussi ...
Bonjour à tous,
c'est dommage pour l'autre pc enfin bon on va désinfecter celui-la.
Je te rédige une procédure.(je dis surtout çà pour Cyrruspour pas avoir deux procédures.....)
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir à tous,
Télécharge [blue]L2mfix[/blue] (de Shadowwar) de l'un de ces liens :
http://www.atribune.org/downloads/l2mfix.exe
http://www.downloads.subratam.org/l2mfix.exe
Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse.
[red]IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ![/red]
[blue]Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe
C:\windows\system32\autoexec.n t the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.[/blue]
Pense à poster le rapoort en pièce jointe,
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir à tous!
Voila igor j'ai effectué ce que tu m'as demandé.
Je poste le rapport en pièce jointe.
rebonsoir,
on va y aller autrement
1/ Lance regsearch et effectue une recherche avec les mots clés suivants :
wmimgr32.dll
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse en pièce jointe.
Si le rapport est trop lourp pour être mis sur le forum envoie le moi par MP ou envoie moi un MP pour que je te donne mon mail.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour igor
J'ai effectué la recherche avec regsearch et le scan avec eScan comme tu me l'avais demandé.
Voici les différents rapports.
Bonne journée
Bonsoir,
Comme je m'en doutais tu es bien infecté(par look2me et sality) le premier n'est qu'une formalité mais le second demande un traitement spécial, mais ne t'inquiète pas on va s'en occuper.
Je vais essayer de te rédiger une procédure ce soir, sinon je la ferais demain.
Bonne soirée et reste patient,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
rebonsoir,
fais ceci:
Ferme toutes les applications en cours, car cette étape nécessite un redémarrage.
Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également.
IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !!
**Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir Igor.
Voici les différents log
a+
A oui autre chose.
Antivir m'envoie des alertes comme il le faiait sur mon autre pc à chaque que j'execute un nouvel .exe
Il me dit que ce fichier contient une siganture du vers WORM/Bagle.gen après quoi il m'envoie aussi la plus part du temps une autre alerte du même type concernant le fichier wmimgr32.dll.
Voilà
Bonne soirée
Bonsoir malcomx91,
eu pour l'instant évite d'éxécuter un nouvelle .exe.
As-tu bien configuré antivir? car il va nous etre très important durant cette désinfection.(configure le comme indiqué ici>> http://speedweb1.free.fr/frames2.php?page=tuto5 )
Ensuite passe un coup d'ewido en mode sans échec et poste le rapport ici.
Comme<look2me est enlevé on va pouvoir s'occuper de l'autre problème.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour Igor.
Je joins à ce post le log d'ewido.
J'ai également configuré antivir comme tu me l'as demandé.
Autre chose: j'ai une nouvelle alerte d'antivir concernant secure.exe(trojan Tr/proxy.ranky.Gen.17).
Depuis que j'ai cette alerte au bout de quelques minutes les applications ne répondent plus, il est souvent impossible d'effectuer un clique droit, le pointeur reste souvent accompagné du sablier, impossible d'arreter le pc(bien que j'arrive à lancer la commande il ne s'éteint pas) je suis obligé de l'éteindre manuellement.
Zone alarm est pourtant actif je ne comprends pas d'où vient ce nouveau trojan.
Bonne soirée.
Bonsoir,
Bon je sens qu'on va en découvrir de plus en plus. Il a pu apparaitre alors car si tu as plusieurs infections sur ton pc c'est les plus fortes qui s'imposent et lorsqu'on les enlève ba les autres apparraissent mais ne t'inquiète pas.
Bon on va voir les processus cachés qui tourne:
Télécharge HijackThis! + Extra de ce lien :
http://metallica.geekstogo.com/setuphjt.exe
Sauvegarde le sur ton Bureau.
Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT
Double-clique sur le raccourci HJT and More, puis double-clique ht.bat
Une fenêtre DOS apparaîtra;
Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.
Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).
Poste le log en pièce jointe.
Et refait un scan avec eScan Antivirus Toolkit et reposte le log en pièce (il a été plutot efficace tout à l'heure)
Pour secure.exe, redémarre en mode sans échec
assure toi d'avoir accès à tous les fichiers et supprime:
C\windows\secure.exe << l'application
bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Re.
Ci-joint les differents que tu m'as demandé.
a+
REbonsoir,
les pièces jointes ne sont pas encore validées, mais as-tu toujours des alertes après avoir enlevé le fichier en mode sans échec?
Je te dirai la suite quand j'aurai analysé les deux log.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonsoir messieurs
Apparemment, secure.exe est encore présent dans le 1er hjt, eScan a apparemment été aussi efficace que précedemment ...
J'adore ces topics, ca permet vraiment d'apprendre des choses ...
Bonne soirée messieurs ...
REbonsoir.
Nan j'ai plus d'alertes concernant secure.exe
Mais celles qui concernent wmimgr32.dll sont toujours présentes.
D'ailleurs je sais pas pourquoi mais c'est wmimgr32.dll ou WMIMGR32.dll mais bon je pense que ça a pas vraiment d'importance.
Bonne soirée Igor!
Bonjour à tous,
j'analyserai les log ce soir tranquilement, mais pour ce qui est de secure.exe , comme tu n'avait pas d'alerte je pensais l'enlever plus tard mais comme il s'est réveillé il a fallut agir avant.
Pour la reprise des alertes wmimgr32.dll c'est normal, quelque chose regénère la dll, le problème est de trouver quoi. Il faudra trouver tous ce qui est en rapoort avec cette dll mais sa va se faire.
A ce soir pour un nouvelle procédure pour enlever tout,
Bonne journée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Rebonjour,
Bon bon bon...escan a pas trop trop mal travaillé, mais on ne vois toujours pas qu'estce qui génère ce processus
1/Supprime tous les fichiers temporaires:
Exécute Ccleaner comme fais dans la procédure de pré-nettoyage
2/affiche tous les dossiers:
Menu "Outils", "Option des dossiers", onglet "Affichage" :
Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
3/Fais démarrer-> exécuter-> tape "services.msc"
la cherche Windows security (WindowsSecurity) clique droit dessus, proprièté :
Type de démarrage: " désactiver"
Statut du service:"Arrèté"
Ensuite supprime C:\windows\secure.exe(Si tu n'y arrive pas c'est pas grave on le fera plus tard en mode sans échec
4/ Télécharge Killbox sur ton Bureau :
http://www.downloads.subratam.org/KillBox.exe
Double-clique killbox.exe.
Choisis l'option "Delete on reboot".
Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :
C:\WINDOWS\system32\lrlerjy.dl l
C:\WINDOWS\system32\wmimgr32.d ll
C:\WINDOWS\twunk_32.exe
C:`WINDOWS\hh.exe
C:\WINDOWS\winhlp32.exe
Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard
Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !
Clique sur le bouton : All Files (!important!)
Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".
5/ Au redémarrage, fais un scan Antivir (en ayant pris soin de le mettre à jours avant de faire toutes ses opérations)
et poste moi le rapport en pièce jointe
6/Ensuite fais un scan avec kasperky
Je te donne la marche à suivre pour Kasperky Online Scan :
Va sur : http://www.kaspersky.com/virusscanner (avec Internet Explorer uniquement).
Clique sur Kaspersky Online Scanner et accepte le controle Active X. Une fois le scan terminé joint le rapport qu'il te donnera.
poste aussi le rapport en pièce jointeClique sur Kaspersky Online Scanner
On va te demander d'installer un contrôle ActiveX ,clique sur Yes.
* Le programme va démarrer et télécharger les dernières mises à jour:
* une fois la mise à jour terminée,clique sur NEXT
* clique sur Scan Settings
* Dans le menu du scan assure toi que les éléments suivants sont sélectionnés:
o Scan using the following Anti-Virus database:
Extended (si possible,sinon:Standard)
o Scan Options:
Scan Archives
Scan Mail Bases
* Clique sur OK
* A présent sous "select a target to scan":
choisis My Computer
* Le programme va se lancer et scanner ton systeme.
* Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté.
o A présent clique sur le bouton "Save":
* Sauvegarde le fichier sur ton bureau.
* Copie/colle le contenu dans ton prochain message
Voilà si tu n'a pas compris quelque chose dis le moi
Bon courage et bonne soirée,
Igor
PS: il y a un espace avec les dll qui n'apparaissent pas quand j'édite mon post donc quand tu copie dans killbox , fais attention que l'espace n'apparait pas.
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Rebonsoir,
lorsque tu redémarre créer un nouveau point de restauration car ta restauration système est infectée aussi (si tu as des alerte encore, passe eScan avant) puis fais comme ceci:
Clique droit sur poste de travai-> proprièté-> restauration système:
la tu décoche la case (sa peut prednre quelques instants)
tu redémarre puis tu recommence l'opération en recochant la case.
Bonne soirée,
Igor
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour.
Voici les 2 scans que tu m'as demandé igor.
A plus tard
