Virus rundll32 wefihipe.dll

delroy Messages postés 122 Statut Membre -  
delroy Messages postés 122 Statut Membre -
Bonjour,
jai une nouvelle entré ki sest rajouté toute seule dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lentrée sapelle : nogimutuya <<< Rundll32.exe "C:\WINDOWS\system32\wefihipe.dll",s
et des ke jessai de la supprimer elle reapparait tout de suite

comment supprimer ceci svp ?
Configuration: Windows XP
Firefox 3.0.8

69 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une nouvelle entrée malveillante s'ajoute dans la clé de démarrage du système et réapparaît après suppression, nommée nogimutuya avec Rundll32 exécutant une DLL située dans le dossier system32.
Plusieurs mesures recommandées incluent l'activation d'une garde active avec antivirus et antispyware, mises à jour du système et des navigateurs, et l'utilisation d'outils comme MBAM, Windows Defender et SpywareBlaster.
D'autres propositions visent des outils de suppression spécifiques et des méthodes pas à pas, tels que SAS, SDFix ou OTListIt2, et l'intervention en mode sans échec pour neutraliser les composants.
En cas d'infection confirmée, il est recommandé de sauvegarder les données et d'envisager des outils complémentaires adaptés au niveau d'infection, sans nécessairement recourir immédiatement au formatage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Antivir a une "garde active" qui lui permet de déceler les virus (et quelques autres malwares) avant qu'ils ne soient introduits sur l'ordi.

    La protection efficace contre les malwares passe par :

    - l'utilisation exclusive de logiciels légitimes téléchargés sur le site de l'éditeur

    - la mise à jour de l'OS, des navigateurs, de la console java, d'Adobe Reader et de tous les logiciels en général

    - un antivirus et un parefeu contrôlant les connexions sortantes

    - un antispyxware. Si tu veux une garde active, Windows Defender (gratuit) est un bon choix. Sans garde active MBAM est mon conseil.

    - un logiciel protégeant des Active X malicieux : - SpywareBlaster

    http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

    un tutoriel :
    https://www.malekal.com/tutorial-spywareblaster/

    - - MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

    https://winhelp2002.mvps.org/hosts.htm

    - et, bien entendu, une raisonnable prudence sur là où on clique. Les propositions les plus alléchantes sont les plus risquées (même venant d'un contact).
    1
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    double clique sur le parapluie rouge dans la barre des tâches.

    Si Antivir guard n'est pas activé, clique pour l'activer.

    1
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    j'ai besoin d'en savoir plus.

    Télécharge OTList2 de OLDTimer ici :

    http://oldtimer.geekstogo.com/OTListIt2.exe

    et enregistre le sur ton Bureau.

    Double clic sur OTListIt2.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTListIt.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTListIt.txt)

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  4. delroy Messages postés 122 Statut Membre 4
     
    voila

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijvri5tQ1.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. delroy Messages postés 122 Statut Membre 4
     
    une ptite aide svp ?
    0
    1. gaetgaet
       
      je voudrai savoir e quoi est capable se virus car j'ai peur que il infekte mon pc
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Double clic sur OTListIt2.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans la zone sous Customs Scans/Fixes


    :process
    explorer.exe

    :OTLI
    O2 - BHO: (CPV) - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\WWShow\WWShow.dll ()
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - Reg Error: Key error. File not found
    O2 - BHO: (no name) - {874126c9-61f8-4821-af18-e5103759ae93} - C:\WINDOWS\system32\jetasozo.dll ()
    O4 - HKLM\..\Run: [nogimutuya] Rundll32.exe "C:\WINDOWS\system32\wefihipe.dll",s File not found
    O4 - HKU\.DEFAULT..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( )
    O4 - HKU\S-1-5-18..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( )
    O7 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{2AC291D4-1E15-4137-A1E9-E445B59B4DDC}\\NameServer = 85.255.112.153,85.255.112.92
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{76B40CF3-08F9-40A7-97D0-C5ECEB6CE69C}\\NameServer = 85.255.112.153,85.255.112.92
    O20 - AppInit_DLLs: (C:\WINDOWS\system32\wiyeziwu.dll) - C:\WINDOWS\system32\wiyeziwu.dll ()
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - CLSID or File not found.
    O22 - SharedTaskScheduler: {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - STS - Reg Error: Key error. File not found

    [2009/05/18 16:10:31 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dll
    [2009/05/18 15:52:33 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dlll
    [2009/05/18 14:57:29 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dllh
    [2009/05/18 14:47:42 | 01,641,102 | -HS- | C] () -- C:\WINDOWS\System32\iritinar.ini
    [2009/05/10 09:07:58 | 00,000,790 | ---- | C] () -- C:\WINDOWS\System32\drivers\etc\hosts.msn
    [2009/04/23 16:42:52 | 00,099,840 | RHS- | C] () -- C:\WINDOWS\System32\nmdfgds0.dll
    [2009/04/23 16:42:12 | 00,084,992 | RHS- | C] () -- C:\WINDOWS\System32\gasretyw0.dll
    [2009/04/19 12:26:52 | 00,000,268 | -H-- | C] () -- C:\sqmdata00.sqm
    [2009/04/19 12:26:52 | 00,000,244 | -H-- | C] () -- C:\sqmnoopt00.sqm
    [2009/02/18 14:47:30 | 00,081,920 | -H-- | C] () -- C:\WINDOWS\System32\juzusiwe.dlll
    [2009/02/18 14:42:19 | 00,048,640 | -HS- | C] () -- C:\WINDOWS\System32\wiyeziwu.dll
    [2009/02/18 14:42:19 | 00,048,640 | -HS- | C] () -- C:\WINDOWS\System32\jetasozo.dll
    [2009/05/18 17:00:19 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dll
    [2009/05/18 16:26:37 | 00,023,552 | -HS- | M] ( ) -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
    [2009/05/18 16:26:37 | 00,000,657 | -HS- | M] () -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
    [2009/05/18 15:54:35 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dlll
    [2009/05/18 15:50:13 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dllh
    [2009/05/18 15:09:13 | 01,641,102 | -HS- | M] () -- C:\WINDOWS\System32\iritinar.ini
    [2009/05/18 14:47:31 | 00,081,920 | -H-- | M] () -- C:\WINDOWS\System32\juzusiwe.dlll
    [2009/05/18 14:47:31 | 00,078,848 | -HS- | M] () -- C:\WINDOWS\System32\ranitiri.dlgl
    [2009/04/23 16:42:52 | 00,099,840 | RHS- | M] () -- C:\WINDOWS\System32\nmdfgds0.dll
    [2009/04/23 16:42:12 | 00,084,992 | RHS- | M] () -- C:\WINDOWS\System32\gasretyw0.dll
    [2009/04/19 12:26:52 | 00,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
    [2009/04/19 12:26:52 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
    [2009/04/19 01:43:14 | 00,468,728 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat
    [2009/04/19 01:43:14 | 00,401,398 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
    [2009/04/19 01:43:14 | 00,075,704 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat
    [2009/04/19 01:43:14 | 00,062,678 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
    :commands
    [emptytemp]


    Clique sur RunFix pour lancer la suppression.

    Poste le rapport.

    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    1) je suis bénévole donc pas toujours derrière mon micro

    2) l'analyse d'un rapport et l'élaboration du fix ne se font pas en 30 sec.

    3) ça doit faire un bon mois que tu es infecté.
    0
  9. delroy Messages postés 122 Statut Membre 4
     
    voila lautre rapport

    http://www.cijoint.fr/cjlink.php?file=cj200905/cij0Au8QHK.txt
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    l'outil semble avoir bien travaillé.

    Relance le et poste le nouveau rapport.
    0
  11. delroy Messages postés 122 Statut Membre 4
     
    oui il me semble ke tout va mieux , jai plus dentréé suspect . et mes page google ne souvre plus dans un autre onglet a chak fois

    voivi le nouveau rapport :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijYwiv9LO.txt

    cetai koi le probleme , un cheval de troie ?
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    RE,

    tu avais plusieurs infectés :

    toolbar infecté
    détournement de DNS
    Vundo
    Infection MSN
    Infection par les supports amovibles

    et quelques autres bricoles (sic).

    Il faudra d'ailleurs que tu changes tes mots de passe et tes questions secrètes.

    Si tu avais des informations bancaires, surveille tes comptes.

    ==============
    En urgence, l'outil ne décèle pas d'antivrus.

    Sauf si tu en as un non décelé je te conseille Antivir :

    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    De même, un parefeu contrôlant les connexions sortantes est vital pour la sécurité. Mon conseil est Online Armor :

    https://www.malekal.com/tutorial-online-armor-free/

    ==============

    Je regarde le rapport et je te donne la suite.

    0
  13. delroy Messages postés 122 Statut Membre 4
     
    je te remercie , tres efficace !!
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tout n'était pas parti.

    Double clic sur OTListIt2.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans la zone sous Customs Scans/Fixes


    :OTLI
    O2 - BHO: (no name) - {874126c9-61f8-4821-af18-e5103759ae93} - C:\WINDOWS\system32\jetasozo.dll File not found
    O2 - BHO: (Jcore class) - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Jcore\Jcore2.dll ()
    [2009/05/18 16:26:36 | 00,028,672 | ---- | C] ( ) -- C:\WINDOWS\System32\lmn_setup.exe
    [2009/05/18 16:10:31 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dll
    [2009/05/18 14:47:47 | 00,000,000 | ---D | C] -- C:\Program Files\WWShow
    [2009/05/18 14:42:46 | 00,000,000 | ---D | C] -- C:\Program Files\Jcore


    Clique sur RunFix pour lancer la suppression.

    Poste le rapport.

    ==============

    Est ce que tu connais :

    C:\WINDOWS\System32\mupayeme

    ================

    Cherche :

    C:\autorun.inf

    clic droit et "Modifier" (surtout pas Exécuter) ou Ouvrir avec et tu choisis Bloc-Notes.

    Poste le contenu du Bloc-notes dans ta réponse.
    0
  15. :p Messages postés 146 Date d'inscription   Statut Membre 44
     
    Je voudrais savoir si Kaspersky Internet Security était assé puissant pour évité ce genre de virus? :s.
    0
  16. delroy Messages postés 122 Statut Membre 4
     
    voila le log

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijTxZvTtp.txt

    et le contenu de autorun.inf :
    [autorun] <<< juste ca

    et voici le log dun nouveau run scan :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijguLzLL3.txt
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Double clic sur OTListIt2.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans la zone sous Customs Scans/Fixes

    :OTLI
    O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 File not found
    O4 - Startup: C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll ( )
    [2009/05/18 19:38:35 | 00,023,552 | -HS- | C] ( ) -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll


    Clique sur RunFix pour lancer la suppression.

    Poste le rapport.

    =====================
    Telecharge et installe UsbFix de C_XX & Chiquitine29

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisie l' option 1 ( Recherche )

    # Laisse travailler l'outil.

    # Ensuite poste le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    ======================
    Pour l'antivirus et le parefeu ?
    0
  18. delroy Messages postés 122 Statut Membre 4
     
    nouveau rapport runfix :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijBCNjqsl.txt

    et le rapport usbfix :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cij3z62gJx.txt

    et pour lantivirus , ten aurai pas un ki soi portable ?et un par feu tres tres tres leger (mais tres tres tres efficace) car jai vraiment besoin du max de ma memoire et de 100% de mon processeur
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # choisis l'option 2 ( Suppression )

    # Ton bureau disparaitra et le pc redémarrera .

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

    # Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  20. delroy Messages postés 122 Statut Membre 4
     
    voila pour loption 2 :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijLuOYQEZ.txt

    option 3 ??
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    vérification :

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisie l' option 1 ( Recherche )

    # Laisse travailler l'outil.

    # Ensuite poste le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  • 1
  • 2
  • 3
  • 4