virus rundll32 wefihipe.dll

Question

Bonjour,
jai une nouvelle entré ki sest rajouté toute seule dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lentrée sapelle : nogimutuya <<<  Rundll32.exe "C:\WINDOWS\system32\wefihipe.dll",s
 et des ke jessai de la supprimer elle reapparait tout de suite


comment supprimer ceci svp ?

Lyonnais92 · Answer

Bonjour,

j'ai besoin d'en savoir plus.

Télécharge OTList2 de OLDTimer ici :

http://oldtimer.geekstogo.com/OTListIt2.exe

et enregistre le sur ton Bureau.

Double clic sur OTListIt2.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTListIt.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTListIt.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

delroy · Answer

voila 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijvri5tQ1.txt

delroy · Answer

une ptite aide svp ?

Lyonnais92 · Answer

Re,

 Double clic sur OTListIt2.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:process
explorer.exe

:OTLI
O2 - BHO: (CPV) - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\WWShow\WWShow.dll ()
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {874126c9-61f8-4821-af18-e5103759ae93} - C:\WINDOWS\system32\jetasozo.dll ()
O4 - HKLM\..\Run: [nogimutuya] Rundll32.exe "C:\WINDOWS\system32\wefihipe.dll",s File not found
O4 - HKU\.DEFAULT..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( )
O4 - HKU\S-1-5-18..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( )
O7 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{2AC291D4-1E15-4137-A1E9-E445B59B4DDC}\NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Interfaces\{76B40CF3-08F9-40A7-97D0-C5ECEB6CE69C}\NameServer = 85.255.112.153,85.255.112.92
O20 - AppInit_DLLs: (C:\WINDOWS\system32\wiyeziwu.dll) - C:\WINDOWS\system32\wiyeziwu.dll ()
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - CLSID or File not found.
O22 - SharedTaskScheduler: {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - STS - Reg Error: Key error. File not found

[2009/05/18 16:10:31 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dll
[2009/05/18 15:52:33 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dlll
[2009/05/18 14:57:29 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dllh
[2009/05/18 14:47:42 | 01,641,102 | -HS- | C] () -- C:\WINDOWS\System32\iritinar.ini
[2009/05/10 09:07:58 | 00,000,790 | ---- | C] () -- C:\WINDOWS\System32\drivers\etc\hosts.msn
[2009/04/23 16:42:52 | 00,099,840 | RHS- | C] () -- C:\WINDOWS\System32
mdfgds0.dll
[2009/04/23 16:42:12 | 00,084,992 | RHS- | C] () -- C:\WINDOWS\System32\gasretyw0.dll
[2009/04/19 12:26:52 | 00,000,268 | -H-- | C] () -- C:\sqmdata00.sqm
[2009/04/19 12:26:52 | 00,000,244 | -H-- | C] () -- C:\sqmnoopt00.sqm
[2009/02/18 14:47:30 | 00,081,920 | -H-- | C] () -- C:\WINDOWS\System32\juzusiwe.dlll
[2009/02/18 14:42:19 | 00,048,640 | -HS- | C] () -- C:\WINDOWS\System32\wiyeziwu.dll
[2009/02/18 14:42:19 | 00,048,640 | -HS- | C] () -- C:\WINDOWS\System32\jetasozo.dll
[2009/05/18 17:00:19 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dll
[2009/05/18 16:26:37 | 00,023,552 | -HS- | M] ( ) -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
[2009/05/18 16:26:37 | 00,000,657 | -HS- | M] () -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
[2009/05/18 15:54:35 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dlll
[2009/05/18 15:50:13 | 00,023,552 | -HS- | M] ( ) -- C:\WINDOWS\System32\autochk.dllh
[2009/05/18 15:09:13 | 01,641,102 | -HS- | M] () -- C:\WINDOWS\System32\iritinar.ini
[2009/05/18 14:47:31 | 00,081,920 | -H-- | M] () -- C:\WINDOWS\System32\juzusiwe.dlll
[2009/05/18 14:47:31 | 00,078,848 | -HS- | M] () -- C:\WINDOWS\System32anitiri.dlgl
 [2009/04/23 16:42:52 | 00,099,840 | RHS- | M] () -- C:\WINDOWS\System32
mdfgds0.dll 
[2009/04/23 16:42:12 | 00,084,992 | RHS- | M] () -- C:\WINDOWS\System32\gasretyw0.dll 
[2009/04/19 12:26:52 | 00,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
[2009/04/19 12:26:52 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2009/04/19 01:43:14 | 00,468,728 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat
[2009/04/19 01:43:14 | 00,401,398 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009/04/19 01:43:14 | 00,075,704 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat
[2009/04/19 01:43:14 | 00,062,678 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
:commands
[emptytemp]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

Lyonnais92 · Answer

Re,

1) je suis bénévole donc pas toujours derrière mon micro

2) l'analyse d'un rapport et l'élaboration du fix ne se font pas en 30 sec.

3) ça doit faire un bon mois que tu es infecté.

delroy · Answer

voila lautre rapport 

http://www.cijoint.fr/cjlink.php?file=cj200905/cij0Au8QHK.txt

Lyonnais92 · Answer

Re,

l'outil semble avoir bien travaillé.

Relance le et poste le nouveau rapport.

delroy · Answer

oui il me semble ke tout va mieux , jai plus dentréé suspect . et mes page google ne souvre plus dans un autre onglet a chak fois

voivi le nouveau rapport :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijYwiv9LO.txt

cetai koi le probleme , un cheval de troie ?

Lyonnais92 · Answer

RE,

tu avais plusieurs infectés :

toolbar infecté
détournement de DNS
Vundo
Infection MSN
Infection par les supports amovibles

et quelques autres bricoles (sic).

Il faudra d'ailleurs que tu changes tes mots de passe et tes questions secrètes.

Si tu avais des informations bancaires, surveille tes comptes.

==============
En urgence, l'outil ne décèle pas d'antivrus.

Sauf si tu en as un non décelé je te conseille Antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

De même, un parefeu contrôlant les connexions sortantes est vital pour la sécurité. Mon conseil est Online Armor :

https://www.malekal.com/tutorial-online-armor-free/

==============

Je regarde le rapport et je te donne la suite.

delroy · Answer

je te remercie , tres efficace !!

Lyonnais92 · Answer

Re,

tout n'était pas parti.

 Double clic sur OTListIt2.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTLI
O2 - BHO: (no name) - {874126c9-61f8-4821-af18-e5103759ae93} - C:\WINDOWS\system32\jetasozo.dll File not found
O2 - BHO: (Jcore class) - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Jcore\Jcore2.dll ()
[2009/05/18 16:26:36 | 00,028,672 | ---- | C] ( ) -- C:\WINDOWS\System32\lmn_setup.exe
[2009/05/18 16:10:31 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dll
[2009/05/18 14:47:47 | 00,000,000 | ---D | C] -- C:\Program Files\WWShow
[2009/05/18 14:42:46 | 00,000,000 | ---D | C] -- C:\Program Files\Jcore


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==============

Est ce que tu connais :

C:\WINDOWS\System32\mupayeme 

================

Cherche :

C:\autorun.inf 

clic droit et "Modifier" (surtout pas Exécuter) ou Ouvrir avec et tu choisis Bloc-Notes.

Poste le contenu du Bloc-notes dans ta réponse.

:p · Answer

Je voudrais savoir si Kaspersky Internet Security était assé puissant pour évité ce genre de virus? :s.

delroy · Answer

voila le log

http://www.cijoint.fr/cjlink.php?file=cj200905/cijTxZvTtp.txt

et le contenu de autorun.inf :
[autorun]   <<< juste ca

et voici le log dun nouveau run scan :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijguLzLL3.txt

Lyonnais92 · Answer

Double clic sur OTListIt2.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTLI
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 File not found
O4 - Startup: C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll ( ) 
[2009/05/18 19:38:35 | 00,023,552 | -HS- | C] ( ) -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

=====================
Telecharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

======================
Pour l'antivirus et le parefeu ?

delroy · Answer

nouveau rapport runfix :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijBCNjqsl.txt

et le rapport usbfix :

http://www.cijoint.fr/cjlink.php?file=cj200905/cij3z62gJx.txt

et pour lantivirus , ten aurai pas un ki soi portable ?et un par feu tres tres tres leger (mais tres tres tres efficace) car jai vraiment besoin du max de ma memoire et de 100% de mon processeur

Lyonnais92 · Answer

Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

delroy · Answer

voila pour loption 2 :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijLuOYQEZ.txt

option 3 ??

Lyonnais92 · Answer

Re,

vérification :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

delroy · Answer

revoila pour loption 1:

# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 111,79 Go (72,13 Go free) [HDD 2,5"] # NTFS
# F:\ # Disque fixe local # 189,92 Go (98,02 Go free) [Crips Unnu !] # NTFS
# R:\ # Disque fixe local # 189,92 Go (24,64 Go free) [Riddims] # NTFS
# Z:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
HKCU_Main:  "Window Title"="" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="" 
HKLM_logon: "AltDefaultUserName"="daddy screw" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 
HKLM_Run:    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe 
HKLM_Run:    MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto 

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\Temp\msb.dll  

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ ! Fin du rapport # UsbFix V3.021 ! ]

delroy · Answer

ps; cijoint.fr naccepte plus de prendre les fichier txt

jacques.gache · Answer

bonjour, pourquoi ne les postes tu pas directement ici  par un copier/coller  ???

delroy · Answer

parcekil ma demander de les posté sur ce site , mais voila , je copie directement ici now , vu ke le site ne marche plus..

Lyonnais92 · Answer

Bonjour,

je ne t'ai pas oublié.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Quand l'outil te le demandera, choisis de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

A l'ouverture de la page "Scanner Options", cliquer sur [click here] de "To change this and other settings, click here" puis cliquer sur le + devant "Second option" et cocher "Report only" puis cliquer sur [OK]. 


Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

delroy · Answer

jai installer Malwarebytes mais kan je clik sur le programme pour le lancer , rien ne se passe

Lyonnais92 · Answer

Re,

essaye ceci :

Télécharge Superantispyware (SAS) en cliquant sur ce lien :

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche   C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

delroy · Answer

pareil , je lai installer , mais impossible de lancer le programme !!

cest peu etre du au faite ke jai plus le fichier rundll32.exe qui etait infecté et ki a ete supprimer ??

delroy · Answer

kelkun ?

delroy · Answer

jai fais lanalise avec bitdefender en ligne comme tu me la demander et voici le rapport :

BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Tue, May 19, 2009 - 12:57:43
Info d'analyse
Fichiers scannés
41560
Infectés Fichiers
0
Virus Détectés
Aucun virus trouvé.
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

delroy · Answer

mais jai toujours des probleme kan je click sur un lien google je suis autotikement redirigé vers : counter.fastclick.net  et la page souhaité prend plus dune minute pour se charger , ca devient tres enervant, et jai toujour pas mon rundll32.exe qui menpeche de demarrer certain element du panneau de configuration.

delroy · Answer

jsuis sur le point de formater , svp aidez moi

Lyonnais92 · Answer

Bonjour,

fais une recherche sur rundll32.exe pour vois si il existe une autre version et poste moi tour ce que tu trouves (répertoire et date de modification).

Ne fais pas redémarrer l'ordi.

delroy · Answer

jai aucun fichier rundll32 sur mon pc , la recherche est nul

delroy · Answer

jai pri le fichier rundll32 sur un auutre pc , maintenat jarrive a aller dans le panneau de configuration , mais impossible de demarrer Malwarebytes AntiMalware et Superantispyware

svp  ya til kelkun pour maidez

:p · Answer

Voici un lien où tu peux trouvé tout les fichiers dll, du moins la grande moitié!

https://www.dll-files.com/

Lyonnais92 · Answer

Re,

svp ya til kelkun pour maidez

arrête ce genre de remarques, ça me mets en rogne.

Tu as installé antivirus et parefeu ?

delroy · Answer

jai telecharger antivir sur le lien ke tu ma donner mais dans larchive je ne vois pas le fichier a executer

:p · Answer

INFORMATIONS: 

http://translate.google.dz/...

http://pxnow.prevx.com/zeroL/PREVXCSIFREE.EXE pour le télécharger !

Lyonnais92 · Answer

Re,

pour antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

Remets un rapport OTListIt.

delroy · Answer

voila le repport :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijBoTEjHV.txt

delroy · Answer

et jai fai une annalize antivir , voici le rapport , plein de cheval de troie !!

Recherche débutant dans 'C:\' <HDD>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\daddy screw\protect.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
C:\WINDOWS\system32\autochk.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
C:\WINDOWS\system32\lmn_setup.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XDR.Gen
C:\WINDOWS\system32\config\systemprofile\protect.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\vaxscsi.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\Temp\msb.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt

Début de la désinfection :
C:\Documents and Settings\daddy screw\protect.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a81c7be.qua' !
C:\WINDOWS\system32\autochk.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a86c7c1.qua' !
C:\WINDOWS\system32\lmn_setup.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XDR.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80c7b9.qua' !
C:\WINDOWS\system32\config\systemprofile\protect.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b3d247.qua' !
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a7dc7b4.qua' !
C:\WINDOWS\Temp\msb.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Agent.argt
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier !
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a74c7c0.qua' !

delroy · Answer

alors , jai supprimer tout les virus avec antivir , aji redemarrer 3 fois , et depuis tout est normal ...enfin tant que je nutilise pas firefox , car avec internet explorer , je nai pas de redirection de mes page cliké dans google, vers ce fameux "counter.fastclick.net"  et cest a chak fois ke jutilisai firefox ke les virus revenait , donc est ce ke ca peut taider a eradiquer cette cochonerie de mon pc ? 

peut etre que je peu mettre fin a tout ca en desinstallant firefox ? ou bien le virus est declenché par firefox mais est caché ailleurs ?

Lyonnais92 · Answer

Re,

relance MBAM ou Superantispyware.

Tu te réinfectes plus vite que je ne te désinfecte.

delroy · Answer

impossible de les lancer !! rien ne se passe

Lyonnais92 · Answer

Re,

on essaye ça :

Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
 L'outil sera extrait à la racine du lecteur système (généralement le C:\)..

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

__________________

Si SDfix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDfix.

delroy · Answer

voila le rapport de sdfix :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijANmtA5K.txt 

il na rien trouvé alors ke jai refai un scann avec antivir et lui a encore trouver des virus :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijG1jJJsR.txt

delroy · Answer

voila le rapport de sdfix :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijANmtA5K.txt 

il na rien trouvé alors ke jai refai un scann avec antivir et lui a encore trouver des virus :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijG1jJJsR.txt

Lyonnais92 · Answer

Re,

bon, ça commence à bien faire, on va utiliser les grands moyens.

Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

Si tu as un message d'erreur, tu continues quand même.

============

Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

en particulier, tu installes la console de récupération.


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

delroy · Answer

jai eu un message derreur ki me di ke cette version de combofix est contaminé par un virus , et kil faut prendre la version original sur le site https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

alors ke cest ce ke jai fait !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! jai essayer 2 fois sur le meme site et 2 erreur attention virus et combofix sarrete !

il a fallu ke ce virus tombe sur moi ! koi faire ?

Utilisateur anonyme · Answer

Salut , je m incruste deux seconde .

Delroy essai ceci stp

désinstal usbfix si encore present , retelecharge le ( version a jours V3.022) puis lance l option 1 et post le rapport stp .

• Télécharge et install UsbFix

Lyonnais92 · Answer

R4e,

prends une image écran des messages et poste les moi.

Désactive Antivr le temps du téléchargement et effectue la manip.

delroy · Answer

impossible de prendre une capture , car le message de combofix reste bloquer et pour debloquer le pc il faut cliker sur ok , et kan on clik sur ok ca redemarre le pc .

et @Chiquitine29  
jai deja essayer au moins 10 fois usbfix et rien a changer , je veu pa etre desagreable mais une 11eme fois ny changera rien je pense , ca fai 1 journee et demi ke jessai de virer cette merde et jen ai marre dinstaller , desinstaller redemarrer again again ...

je peut pas etre le seul a avoir ca sur son pc , ya bien une solution ... une autre idee svp ?

Lyonnais92 · Answer

Re,

fais ce que te demande Chiquitine et poste le rapport.

Accessoirement, je ne répondrai à aucun de tes posts écrit en langage SMS.

delroy · Answer

voila pour loption 1

http://www.cijoint.fr/cjlink.php?file=cj200905/cijPcpV7j5.txt 

et loption 2

http://www.cijoint.fr/cjlink.php?file=cj200905/cijTE2Gm5U.txt

delroy · Answer

ps: malgres laction de loption 2 , les fichier infectieux present dans le rapport 1 sont toujours present

Utilisateur anonyme · Answer

re ; il sagit de rételecharger usbfix , de le réinstaller et de faire l option 2 directement car il a été mis a jours .

delroy · Answer

voila le rapport option 2 avec la nouvelle version de usbfix :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijgFdJEj1.txt

Lyonnais92 · Answer

Re,

essaye de relancer l'exécution de MBAM ou de SuperAntispyware et poste le rapport.

Si les 2 échouent, remets un rapport OTListIt.

delroy · Answer

voila :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijHRKGfEm.txt

Lyonnais92 · Answer

Re,

Double clic sur OTListIt2.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTLI
[2009/04/22 09:12:28 | 00,090,624 | ---- | M] () -- C:\Program Files\mozilla firefox\components\WWShow.dll
O3 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - Reg Error: Key error. File not found  
O3 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - Reg Error: Key error. File not found  
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 ( )       => Infection Rootkit (Cloaked Malware)  

O4 - HKU\.DEFAULT\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( ) 
O4 - HKU\S-1-5-18\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 ( )
O4 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\..\Run: [autochk] rundll32.exe C:\DOCUME~1\DADDYS~1\protect.dll,_IWMPEvents@16 ( )
O4 - Startup: C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll ( )
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\S-1-5-21-2202739851-3065379749-1604033926-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (/r) -  File not found
O34 - HKLM BootExecute: (\??\E:) -  File not found
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (*) - * [2009/05/19 20:10:48 | 00,000,000 | ---D | M]
[2009/05/19 23:54:10 | 00,023,552 | -HS- | C] ( ) -- C:\WINDOWS\System32\autochk.dll 
[2009/05/19 23:39:07 | 00,028,672 | ---- | C] ( ) -- C:\WINDOWS\System32\lmn_setup.exe
[2009/05/19 21:55:44 | 00,023,552 | -HS- | C] ( ) -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
[2009/05/19 21:55:44 | 00,000,657 | -HS- | C] () -- C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
[2009/05/19 15:52:13 | 00,000,001 | ---- | C] () -- C:\WINDOWS\System32\uniq.tll


:files
C:\Documents and Settings\daddy screw\protect.dll
C:\RECYCLER\S-1-5-21-2202739851-3065379749-1604033926-1005\Dc6.dll
C:\WINDOWS\SoftwareDistribution\Download\1d502d785af08faeec25c9a802b3f870\BIT3A.tmp
C:\WINDOWS\system32\config\systemprofile\protect.dll
C:\Documents and Settings\daddy screw\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\download\BIT5C.tmp
C:\WINDOWS\SoftwareDistribution\Download\669d0b1faeda9d349046c1685c871e7d\download\BIT5B.tmp
C:\WINDOWS\SoftwareDistribution\Download\c7335f2b91892ece82339556ae30331d\download\BIT16.tmp
C:\WINDOWS\SoftwareDistribution\Download\c754b0ae7006467484ddc341ab515bda\download\BIT59.tmp
C:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\download\BIT5D.tmp
C:\WINDOWS\SoftwareDistribution\Download\d4d9eeb6e20dc10efc511218ecc2ad85\download\BIT5A.tmp
C:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\download\BIT5E.tmp
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

delroy · Answer

voila :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijP6XmLhg.txt 


ps: fichier toujours present

Lyonnais92 · Answer

Re,

Télécharge GMER :

ouvre ce lien http://www.gmer.net#files

clique sur download EXE et enregistre le fichier sur ton Bureau.

exécute le en faisant un double clic sur le fichier créé

choisis l'Onglet "Rootkit" , vérifie que tous les items à droite sont cochés.

clique sur "SCAN" puis patiente...

En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "200509.txt"

Double clique sur "200509.txt" ; le fichier s'ouvre dans le bloc-notes
.
Copie le contenu et colle le dans ta réponse.

delroy · Answer

voila :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijKsWkXU9.txt

delroy · Answer

jai vraiment besoin de mon pc , ca devient urgent , me conseillez vous de formater si ya pa dautre solution ?

Lyonnais92 · Answer

Bonjour,

je ne peux pas te donner un délai pour trouver la solution.

Si tu as une sauvegarde de tes données personnelles et les installateurs de tes programmes (ou la possibilité de les avoir facilement) le formatage peut être plus rapide.

N'oublie pas dans tes données persos les courriels, contacts, ... qui peuvent se trouver dans un sous-répertoire de Documents and settings.

Par contre, il faut impérativement que tu installes un antivirus et un parefeu le plus vite possible après la réinstallation de Windows (je te conseille de télécharger les installateurs sur une clé USB ou un DD externe pour ne pas avoir à te connecter au Net pour les obtenir).

Il faut aussi que tu mettes à jour Windows immédiatement ainsi que Internet Explorer. Tes versions actuelles constituent des failles de sécurité importantes. Il en est de même pour Firefox, la console java, Adobe Reader, il faut impérativement qu'ils soient à jour.

Scanne l'ordi avec Antivir et MBAM avant la réinstallation des autres programmes et données persos. Rescanne après cette opération.

Si tu as besoin d'autres informations, j'essayerai d'y répondre.

delroy · Answer

bon ben voila jai formater , je cherche un bon antivurs capable de detecter le virus que jai attraper mais sachant le neutraliser avant quil fasse quoique ce soi , je veux un antivirus "actif" , le "antivir" que tu ma conseiller etait pas tres actif car il trouvait les virus seulement si on faisait un scan , or je sais quil existe des antivirus qui le detecte sans aucune action de lutilisateur et qui le neutralise seul

en connais tu quelque uns ? gratuit si possible ?

Lyonnais92 · Answer

Re,

Antivir a une "garde active" qui lui permet de déceler les virus (et quelques autres malwares) avant qu'ils ne soient introduits sur l'ordi.

La protection efficace contre les malwares passe par :

- l'utilisation exclusive de logiciels légitimes téléchargés sur le site de l'éditeur 

- la mise à jour de l'OS, des navigateurs, de la console java, d'Adobe Reader et de tous les logiciels en général

- un antivirus et un parefeu contrôlant les connexions sortantes

- un antispyxware. Si tu veux une garde active, Windows Defender (gratuit) est un bon choix. Sans garde active MBAM est mon conseil.

- un logiciel protégeant des Active X malicieux : - SpywareBlaster

 http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/

- - MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

https://winhelp2002.mvps.org/hosts.htm

- et, bien entendu, une raisonnable prudence sur là où on clique. Les propositions les plus alléchantes sont les plus risquées (même venant d'un contact).

delroy · Answer

et comment activer la garde active de antivir ? car quand jeffacais les virus et qu'ils se remettaient sur mon pc , je nai jamais eu dalertes de la part d'antivir pour me dire ke des virus me contamine.

Lyonnais92 · Answer

Re,

double clique sur le parapluie rouge dans la barre des tâches.

Si  Antivir guard n'est pas activé, clique pour l'activer.

delroy · Answer

ouai mais quand la premiere fois jai fais un scan et effacer les virus , quand ils se sonr reeinstaller , pourquoi jai pas eu dalerte de la part de antivir ? cest pas vraiment "actif en temp reel" !

Virus rundll32 wefihipe.dll

69 réponses

Discussions similaires

Newsletters