virus : wmimgr32.dll

[invitebb6c7fdc]

Salut !

J'ai été infecté par un virus "system32/sality.D", j'ai pas mal de messages d'erreurs avec avast et j'arrive pas à virer ce fichier "wmimgr32.dll" même en mode sans échec : ( Sinon je tourne sur winxp sp1 et j'ai un firewall : look'n'stop.
Qq1 saurait comment virer cette saloperie ? J'ai épuisé mes maigres munitions °°;
-----

[invitebc2a2e58]

Bonsoir grougna

Essaie de faire un scan online :

http://www.kaspersky.com/scanforvirus.html

http://www.bitdefender.com/scan8/ie.html

[invitebb6c7fdc]

Bonsoir sanet : )
Oki merci pour le conseil, je vais faire ces 2 scans !
Sinon j'ai suivi la procédure anti spyware, et je mets 2 logs pour les scans d'ewido et hijackthis si ça peut aider : )

Autre chose qui m'inquiète : au démarrage j'ai un pop up m'indiquant qu'il est impossible d'exécuter le fichier c:/windows/winsock/csrss.exe en mode win32 °°y En fait, le premier message d'erreur que j'ai eu m'indiquait qu'il avait été supprimé (ptet à cause du virus), donc j'ai copié ce fichier qui est dans sys32 vers winsock mais j'ai tjrs la même erreur : (

[invitebb6c7fdc]

Erf en fait je vais faire ces scans demain car ils ont l'air bien longs, mais sinon j'ai scané un fichier .dl_ (bizarre) "wmimgr32" dans system32 et le scan kasperspy m'indique qu'il est infecté avec le virus "Win32.Sality.k" :/ omg

[A voir en vidéo sur Futura]

[invitebb6c7fdc]

olalala le scan bitdefender m'a trouvé la bagatelle de 180 fichiers infectés par sality et il les a supprimé omg
Enfin je vais en refaire un demain car il est pas allé au bout, internet explorer a buggé (je surfais en même temps).. hum j'espère que windows a été relativement épargné, parce que j'ai formaté mon pc récemment :/

[invitebb6c7fdc]

Bon je vais me coucher, j'espère que qq1 pourra m'aider demain parce que là je viens déjà de désinstaller une bonne dizaine de programmes (tous mes antispywares étaient infectés : xoftspy, add aware, etc.. :/) à cause de cette saloperie OMFG >.<
Moi qui pensait être relativement bien protégé avec avast... pfff

[invitebc2a2e58]

internet explorer a buggé

Il ne faut pas utiliser internet explorer, c'est mal. C'est une vraie PASSOIRE.

Utilise Mozilla Firefox. C'est gratuit et tu auras beaucoup moins de problèmes fais-moi confiance...

Moi qui pensait être relativement bien protégé avec avast...

Je te conseillerai plutôt Kaspersky comme anti-virus

[yoda1234]

Bonjour
voici un dossier très simple qui traite de la protection des ordinateurs que j'espère, tu appliqueras après les conseils avisés de nos spécialistes en malwares en tout genres.

[invite275db609]

Bonjour grougna et bienvenue sur Futura ...

On a plusieurs cas sur cette dll et ce virus (et oui, un vrai virus, qui infecte les exe ...)
Attention si tu as des données sensibles sur ton Pc, ce virus semble lié a un Keylogger qui enregistre toutes les frappes sur ton clavier ...
Pas le temps d'analyser plus profondément tes rapports, va falloir aller taffer, mais tu peux commencer par ca :

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée".

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse

Voila, bon début de journée, je repasserai plus tard voir ou ca en est.

Ps : Salut yoda et sanet

[inviteb9d5bc78]

Bonjour,

Je me suis aussi retrouvé infecté par ce virus.
Après lecture j'ai fait un test online kapersky puis un test escan, un hijack et ewido dont voici les rapports.
(j'espère que l'ordre n'avait pas d'importance.)

merci d'avance pour votre aide

[invite275db609]

Bonjour caoutchouc,

Pourrais-tu créer ton propre sujet stp, et refaire un scan online chez Kaspersky, stp ...

Bonne journée

[invitebb6c7fdc]

Ok merci pour toutes ces indications synthexe ! Je viens de commencer les mises à jour de ton programme sur mon pc en ruine

Oui sanet le bruit court que firefox est plus stable et qu'il y a moins de malwares qui circulent dessus, mais je pensais que c'était du pareil au même.. grave erreur.. dès que mon pc sera débarassé de ce virus >.<, je mets firefox !

[invitebc2a2e58]

dès que mon pc sera débarassé de ce virus >.<, je mets firefox !

[invitebb6c7fdc]

) omfg je peux bruler mon pc ? : D

[invitebb6c7fdc]

Kasperky.txt

Bon j'ai suivi tes indications synthexe et je t'envoie le rapport du scan kasperky

Sinon, en mode sans échec j'ai trouvé un fichier "wmimgr32.dll.mvt" mais impossible de le supprimer O_O;

Hum lol j'avais au moins 300 fichiers infectés

Bon ben il me reste plus qu'à supplier les hôtes de ce forum de venir en aide à un pauvre étudiant °°y, qui doit rendre un écrit sur ordinateur prochainement, mais pour cela encore faudrait-il que word fonctionne

Enfin merci déjà pour cette première étape, je pense que ça a déjà fait du bien à la bête

[invitebb6c7fdc]

J'ai refait un scan en ligne avec Kaspersky, j'ai déjà moins de fichiers infectés (46), je poste le rapport.

Puis j'ai reboot en mode sans échec et après avoir lancé cc cleaner, bizarrement, le fichier "wmimgr32.dll.mvt" a bien voulu se laisser supprimer

J'ai alors reboot en mode normal, puis j'ai refait un scan Hijackthis.

[invitebb6c7fdc]

Sinon j'ai aussi supprimé des entrées qui me paraissaient douteuses sur cccleaner dans la rubrique démarrage, mais, à mon avis le virus reste actif en mémoire, et comme j'y connais pas grand chose, je m'arrête là avant d'aggraver la situation

[invitebb6c7fdc]

Hum bon apparemment j'ai pas mal de fichiers importants qui ont été infectés du style regedit.exe ou msimn.exe (outloock) donc bon je me demande si ça serait pas plus simple de tout formater ://..
A moins qu'il soit possible de les réparer ?

[yoda1234]

Hum bon apparemment j'ai pas mal de fichiers importants qui ont été infectés du style regedit.exe ou msimn.exe (outloock) donc bon je me demande si ça serait pas plus simple de tout formater ://..
A moins qu'il soit possible de les réparer ?

Bonsoir,
non ne formate pas!
Attend les réponses de nos spécialistes.

[invite9bff601c]

Bonsoir à tous,

non ne formate surtout pas, on va pouvoir réparer ne t'inquiète pas, il faut savoir etre patient car il faut trouver ce qui créer cette dll et détruire toute trace en une fois sinon elle revient.

Je laisse synthexe s'occuper de toi,

Bon courage

Bonn soirée,
Igor

[invite275db609]

Bonsoir a tous,

tout d'abord, ne pas se faire de soucis pour les fichiers de nouveau infectés, il s'agit d'un vrai virus qui infecte tous les executables que tu lance, il est donc normal qu'un scan online te donne a nouveau des exe infectés.

Merci a Yoda et Igor pour leur intervention : le formatage n'est qu'un dernier recours, lorsque l'on aura épuisé toutes nos ressources, et on est loin d'y etre encore ...

allez, on reprend :

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

• Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
• Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
• Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:
(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)
* Redémarre le PC, impérativement en mode sans échec, (au démarrage, tapote immédiatement la touche F8, puis apparaîtra un écran avec choix de démarrages : choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée".
Choisis le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support...20905112131924

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

• Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
• Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
• Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
• Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
• Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
• Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
• Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
• Ferme le programme.

Étape 5:
Assures-toi d'avoir acces a tous les fichiers et dossiers :

• Ouvrez votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Activez la case : "Afficher les fichiers et dossiers cachés"
• Désactivez la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactivez la case : "Masquer les fichiers protégés du système d'exploitation"
• Cliquez sur "Appliquer".
  [
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Étape 6:
Enlever les fichiers malicieux :
Trouves et effaces les fichiers ou dossiers suivant (en gras) (si présent, car certains fichiers ne devraient plus apparaitre):
C:\WINDOWS\System32\wmimgr32.dll <-- le fichier ainsi que tout les autres fichiers que tu trouves dans ce meme dossier et qui commence par wmimgr32.dl

Redémarre ton PC en mode Normal.

Étape 7:

• Lances Hijackthis.
• Cliques sur Open the misc tools section
• Assures toi que les cases List also minor sections (full) et List empty sections (complete) soit bien cochés et cliques sur Generate StartupList Log
• Colles moi le rapport dans ta prochaine réponse, colles le rapport eScan, un scan en ligne chez Kaspersky, ainsi qu'un rapport hijackthis en mode normal.

Pour l'instant, on reste dans le sobre, si cela ne marche pas pour dégager la DLL, alors on tentera avec un autre petit soft, mais ne te décourage pas grougna, on est la pour t'aider et désinfecter ta machine ...

Voila, bon courage pour la procédure ... et bonne soirée ...

Synthexe

[invitebf5cd8b2]

Bonsoir Igor, synthexe, yoda, grougna, tout le monde,

si cela ne marche pas pour dégager la DLL, alors on tentera avec un autre petit soft

Hmmm si tu veux parler du petit soft qui se lance en mode kernel et qui défonce tout je te le déconseille pour l'instant

Je suis impatient de voir ce que eScan va trouver, et il reste aussi Antivir a faire passer...

Bonne soirée :up
Cyrrus
edit : ah mais oui je vois de quelle petit soft tu veux parler ! Quelle neuneu je fais !!

[invite275db609]

Je suis impatient de voir ce que eScan va trouver, et il reste aussi Antivir a faire passer...

Bonsoir Cyrrus

A priori, eScan travaille super bien sur Sality, c'est le seul antivirus que j'ai trouvé qui le nettoie vraiment, mais dans la toute premiere procédure rédigé en urgence avant de retourner au taf, je n'avais pas fait dégagé la dll incriminée ...

J'espere que cela suffira, auquel cas il faudra poster la marche a suivre sur quelques autres forums, si ca peut aider ...

Bonne nuitée mon grand, te couche pas trop tard, sinon, tu vas te mettre a l'envers pour tes révisions (Smell the roses )

[invitebf5cd8b2]

Re,

Oui eScan fait du bon boulot. Antivir aussi si bien paramétré. Je suis aussi tenté par une recherche via Regsearch de clé/valeur associé à wmimgr32.dll. Il ne faudrait pas passer à coté d'une clé régénérante...

Bonne chance pour la suite
Cyrrus
PS :

Bonne nuitée mon grand, te couche pas trop tard, sinon, tu vas te mettre a l'envers pour tes révisions (Smell the roses )

LOL....j'ai gobé plus de cours de physio que mes neurones ne peuvent supporter...j'aurais bientot la tronche d'un phoque de Wedell...

[invite275db609]

Je suis aussi tenté par une recherche via Regsearch de clé/valeur associé à wmimgr32.dll. Il ne faudrait pas passer à coté d'une clé régénérante...

Oki, pas bete, c'est parti :

Pour grougna :
En plus de la procédure précédente, fais aussi ceci :

Nous allons rechercher ce fichier dans la base de registres grâce à Registry Search de Bobbi Flekman ( http://www.bleepingcomputer.com/file.../RegSearch.zip ) :

• télécharge et dézippe dans un répertoire dédié tel que C:\Program Files
• double clique sur RegSearch.exe
• copie colle : wmimgr32.dll dans la zone de recherche (entre un élément par case)
• ne met rien dans la zone "Enter string to exclude from results"
• clique sur OK
• après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
• copie-colle le contenu de la fenêtre dans un post, ici
• ferme le Bloc-notes
• ferme RegSearch par Cancel

LOL....j'ai gobé plus de cours de physio que mes neurones ne peuvent supporter...j'aurais bientot la tronche d'un phoque de Wedell...

Mdr ...

[invitebb6c7fdc]

Bonsoir à tous !

Malheureusement, je pensais pas que ce virus était aussi coriace et je manque vraiment de temps pour m'en occuper en ce moment, car je suis en pleines révisions de partiels en urgence ( ) !!

Donc je vais laisser de côté mon pc pendant une petite semaine, le temps de réviser et passer mes partiels, et je reprendrai la procédure vendredi prochain en espérant que mon pc n'ait pas rendu l'âme !

Je mets ce topic dans mes favoris, et si ma connection internet tient bon d'ici là, je vous donne rendez-vous vendredi prochain pour poursuivre l'éradication de cette lèpre cybernétique °_°y

Encore merci pour tous vos éclairages !

Edit : Et désolé de laisser la situation en suspens, mais je peux vraiment pas faire autrement : ( les scans sont relativements longs sur mon pc et chaque heure de révision compte pour les tarés comme moi qui s'y prennent au dernier moment xDDD

[invite275db609]

Bonjour,

Aucun probleme grougna ... tu suivras la procédure quand tu auras le temps, et surtout, les exams sont toujours plus important qu'une désinfection, il faut avoir des priorités dans la vie, et toi, tu as les bonnes ...

Tous mes voeux pour tes partiels ... et @ tout bientot

[invitebb6c7fdc]

Merci pour ton soutien synthexe

En ce moment, j'essaye de rédiger un truc sous word mais y'a une bonne masse de programmes qui se chargent en mémoire au démarrage (avec pas mal de pops ups), j'ai beau essayer de les interdire via look and stop ou de les supprimer avec control alt suppr, ils reviennent omg.. J'espère que mon imprimante va pas imprimer des têtes de mort ou des images pornos

[mode parano on]
Comme j'ai certainement un keylogger sur mon pc, j'ai un message à transmettre à la charogne qui a mis cette merde sur mon pc : ########## censuré (JPL, modérateur) !!
[mode parano off]

[invitebb6c7fdc]

loul owned by the modérateur

[invitebb6c7fdc]

Hey !

Ouf, j'ai fini mes partiels : ) Je vais enfin pouvoir m'occuper de ce bouffeur d'octets ! >

Synthexe, je te mets en pièce jointe les rapports, en espérant que tu puisses encore sauver le naufragé du web que je suis °°Y
Je les ai sauvés dans cet ordre : eScan, Hijackthis(startup), Kasperky, Hijackthis(normal), comme tu l'as indiqué.

Voilà, j'attends avec impatience ta réponse, et je te remercie infiniment pour ton aide précieuse !

A bientôt