Comment supprimer Wlid.exe ? Résolu/Fermé

Question

Bonjour, 
Je viens ici pour recevoir un peu d'aide... 
Récemment mon ordinateur à été infecté par un programme qui visiblement se nomme "Wlid.exe", puisque à chaque démarrage je reçois un message d'erreur qui réapparait de manière intempestive tant que je n'ai pas désactivé le processus Wlid.
J'ai fait quelques recherche et apparemment la manière pour s'en débarrasser définitivement est différente à chaque ordinateur.
Voilà pourquoi je viens vous demander comment je peux me débarrasser de ce virus, merci d'avance !



Configuration: Windows 7 / Firefox 10.0.1

dr.pc1 · Answer

Salut,

On va diagnostiquer ton pc :

* Télécharge ZHPDiag (de Nicolas Coolman) : ici    

*Lance le ( Pour Windows Vista et Windows 7 clic-droit --> Exécuter en temps qu'administrateur)     

* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)     

*Il va se lancer tout seul.    

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)     

*Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.    

*Rends toi sur Pjjoint : ici, clique sur "Choisissez un fichier", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier.     
Puis copie/colle le lien fourni dans ta prochaine réponse.   

PS: Tous les rapports que tu devra me donner après donne les moi par pjjoint.

Tony · Answer

Merci de ta réponse rapide !
Voici le lien par pjjoint:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120217_k12f15u10v15o5

dr.pc1 · Answer

**Télécharge AdwCleaner ( d'Xplode ) : ici  

*installe-le sur ton bureau. 

*Lance le, clique sur [Suppression].  
Une fois le scan fini, un rapport s'ouvrira. Poste moi le contenu du rapport dans ta prochaine réponse.  

PS: Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

dr.pc1 · Answer

Puis :

Donne-moi un nouveau rapport ZHPDiag stp :-)

Tony · Answer

Voili voilou,
voilà le rapport du scan AdwCleaner :
http://pjjoint.malekal.com/files.php?id=20120217_v9f7o13v5z7
et celui de ZHPDiag après la [supression] :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120217_b15l12e7h11v7
:)

dr.pc1 · Answer

Salut,

* Télécharge sur le bureau RogueKiller : ici

- Quitte tous les programmes en cours

- Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

- Sinon lance simplement RogueKiller.exe

- Lorsque demandé, clic sur Scan et valide.

- Puis clic sur Rapport et donne-le moi.

;-)

Tony · Answer

Alors voilà le nouveau rapport:
http://pjjoint.malekal.com/files.php?id=20120218_u5e12m14e13o15

dr.pc1 · Answer

Salut, 

Relance Roguekiller et clic sur Suppression puis sur DNS RAZ =)

Puis donne-moi les rapports  =)

Tony · Answer

Bonjour,
Je sis pas sûr d'avoir compris totalement les rapport qu'il faut que je t'envoie alors je te les envoies tous 8-)
Celui du scan avant la suppression (sinon je peux pas supprimer apparemment):
http://pjjoint.malekal.com/files.php?id=20120219_s11u10o7k5b15
Celui après la suppression:
http://pjjoint.malekal.com/files.php?id=20120219_o6j6k1411o5
Et enfin celui après la DNS RAZ:
http://pjjoint.malekal.com/files.php?id=20120219_j5v13g15v11w14
Merci :)

dr.pc1 · Answer

Ok :-)

On va vérifier quelque chose :

Télécharge Reload_Tdsskiller :ici.   

*Lance le choisis : lancer le nettoyage   

*TDSSKiller va s'ouvrir , clique sur "Start Scan" 

-Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut. 
-Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
-Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée. 
-Si Suspicious file est indiqué, laisse l''option cochée sur SkipSi Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas.   

*une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer   

*sinon , ferme tdssKiller et le rapport s'affichera sur le bureau   
Copie/Colle son contenu sur pjjoint et donne moi le lien dans ta prochaine réponse.

dr.pc1 · Answer

Peux-tu me donner un nouveau rapport ZHPDiag :-)

Tony · Answer

Oui voilà:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120219_s513v14j7b14

Et les deux rapport TDSSKiller si sa peut t'aider ^^:
http://pjjoint.malekal.com/files.php?id=20120219_i6c7g9h6h11
http://pjjoint.malekal.com/files.php?id=20120219_m5i10g12h12r7

Une petite question, j'ai une icone MBRCheck sur mon bureau maintenant avec un rapport Mbr, à quoi sa correspond ?

Et aussi un autre petit soucis depuis aujourd'hui les programme de scan et autres que tu m'a demandé de télécharger se ferme tout seul au bout d'un moment même en cours d'utilisation...

dr.pc1 · Answer

Mbr check fait partie de zhpdiag c'est un autre outil de désinfection il ne faut pas y toucher, redémarre ton pc puis :

*Télécharge et installe Malwarebyte's Anti-Malware : ici

-Met la base de définition à jour

-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )

A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.

Et poste-moi le rapport dans ta prochaine réponse :-)

dr.pc1 · Answer

Met à jour JAVA et fait attention au P2P ;-)

Tony · Answer

Scan terminé et sélection supprimer voici le rapport:
http://pjjoint.malekal.com/files.php?id=20120219_r8z119r6g10
Merci :)

Tony · Answer

Mais le problème n'est toujours pas résolu...

dr.pc1 · Answer

Salut,

Oui je sais il me faut un dernier rapport ZHPDiag pour la fin et il ne sera plus là ;-)

Tony · Answer

Pourquoi est-ce que c'est si compliqué à éradiquer ?
Voilà:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120220_l6g15s7x12s10

dr.pc1 · Answer

Non mais il faut aussi désinfecter le reste du pc ;-)

Tu dois copier ces lignes en gras : 
 
O8 - Extra context menu item: Add to AMV Convert Tool... - (.not file.) - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html 
O8 - Extra context menu item: MediaManager tool grab multimedia file - (.not file.) - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html 
 O4 - HKLM\..\Run: [MacrokeyManager] . (.Pas de propriétaire - Macro Key Manager MFC Application.) -- C:\Windows\System32\WTMKM.exe
 O4 - HKLM\..\Run: [WLID] . (.Pas de propriétaire - WhileIdle.) -- C:\perlb\WLID.exe  
 O4 - HKCU\..\Run: [BitTorrent DNA] . (.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe  
 O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblueegistrybooster\StartRegistryBooster.exe (.not file.)  
 O4 - HKUS\S-1-5-21-2696211818-896180881-1117931700-1000\..\Run: [BitTorrent DNA] . (.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe  
 O4 - HKUS\S-1-5-21-2696211818-896180881-1117931700-1000\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblueegistrybooster\StartRegistryBooster.exe (.not file.)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} Clé orpheline  
 O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.5.5104.1546\swg.dll
 P2 - FPN: [HKLM] [@bitmanagement.com/BS Contact] - (.Bitmanagement Software GmbH - BS Contact VRML/X3D FireFox plug-in.) -- C:\Program Files\Bitmanagement Software\BS Contact
pBSContact.dll 
 P2 - FPN: [HKLM] [@bitmanagement.com/BSVersion,version=1.006] - (.Bitmanagement Software GmbH - BS Version Control.) -- C:\Program Files\Bitmanagement Software\BS Contact
pBSVersion_6.dll 
 P2 - FPN: [HKLM] [@Microsoft.com/NpCtrl,version=1.0] - (. Microsoft Corporation - 4.1.10111.0.) -- C:\Program Files\Microsoft Silverlight\4.1.10111.0
pctrl.dll  
 P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=3] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.3.21.99
pGoogleUpdate3.dll  
 P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=9] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.3.21.99
pGoogleUpdate3.dll  
 P2 - FPN: [HKCU] [@bitmanagement.com/BS Contact] - (.Bitmanagement Software GmbH - BS Contact VRML/X3D FireFox plug-in.) -- C:\Program Files\Bitmanagement Software\BS Contact
pBSContact.dll 
 P2 - FPN: [HKCU] [@bitmanagement.com/BSVersion,version=1.006] - (.Bitmanagement Software GmbH - BS Version Control.) -- C:\Program Files\Bitmanagement Software\BS Contact
pBSVersion_6.dll 
 P2 - FPN: [HKCU] [@bittorrent.com/BitTorrentDNA] - (.BitTorrent, Inc. - Delivery Network Acceleration by BitTorrent(TM).) -- C:\Users\Maio\Program Files\DNA\plugins
pbtdna.dll
 [MD5.D95128EC0E3D1497A50AE94353F5BAB1] - (.Pas de propriétaire - Macro Key Manager MFC Application.) -- C:\Windows\System32\WTMKM.exe [6259432] [PID.3128]  
 [MD5.E54A39CB202ECCE0801045FCF7A4F6BF] - (.Pas de propriétaire - WhileIdle.) -- C:\perlb\WLID.exe [12288] [PID.1344]  
 [MD5.05855E5B9506A86BFC11BBFC665380C8] - (...) -- C:\perlb\wlcom.exe [310359] [PID.5768]
EMPTYTEMP 
EMPTYFLASH 
FirewallRaz


-Puis Lance ZHPFix depuis le raccourci du bureau . 

-Une fois ZHPFix ouvert , clique sur le bouton [ H ] . 

- Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent. 

-Vérifie que c'est les bonne lignes qui sont collés. 

-Clique sur le bouton GO 

-Copie/Colle le rapport à l'écrans sur pjjoint .

dr.pc1 · Answer

Suite :

Tu dois copier ces lignes en gras : 

[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a]   =>Adware.Navipromo
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]   =>Adware.Navipromo
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A]   =>Adware.Navipromo
[HKLM\Software\Classes\escort.escrtBtn.1]   =>Toolbar.Babylon
[HKLM\Software\Classes\CLSID\{58EFBE9C-4621-4d79-90E7-8BEE265CA951}]   =>Adware.ShopperReports
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]   =>Adware.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]   =>PUP.Dealio
[HKCU\Software\LanConfig]   =>Adware.Navipromo
[HKCU\Software\Spointer]   =>Adware.SPointer
[HKLM\Software\Tencent]   =>Adware.TencentAddressBar
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}   =>Toolbar.Agent
C:\Program Files\DAEMON Tools Toolbar   =>Toolbar.Agent
C:\ProgramData\rkfree   =>Keylogger.Logixoft
C:\Users\Maio\AppData\Local\moovida air   =>Adware.SPointer
C:\Users\Maio\AppData\LocalLow\facemoods.com   =>Toolbar.Facemoods
 O87 - FAEL: UDP Query User{45A08271-66BD-4232-AFDA-8440F0F0CB96}C:\users\maio\program files\dna\btdna.exe | In - Private - P17 - TRUE | .(.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe 
 O87 - FAEL: TCP Query User{B488187B-3BB5-4135-A6AC-125019BA1C03}C:\users\maio\program files\dna\btdna.exe | In - Private - P6 - TRUE | .(.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe 
 O87 - FAEL: UDP Query User{603F6977-613D-4135-A9AF-C40028581062}C:\users\maio\program files\dna\btdna.exe | In - Public - P17 - TRUE | .(.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe 
 O87 - FAEL: TCP Query User{35BB24D9-88BB-47DF-88A3-841622CA7BE6}C:\users\maio\program files\dna\btdna.exe | In - Public - P6 - TRUE | .(.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe
 [MD5.AEEC0405A1C587562275AB20CC6E3521] [SPRF][19/02/2012] (.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Maio\AppData\Local\Temp\jusched.exe [1169224]
 [MD5.A583ED85E21D685786E8FE9A62FA9B4A] [SPRF][15/01/2012] (.Trine2y name - Title.) -- C:\Users\Maio\AppData\Roaming\jusched.exe [16867328]
 O53 - SMSR:HKLM\...\startupreg\BitTorrent DNA [Key] . (.BitTorrent, Inc. - DNA.) -- C:\Users\Maio\Program Files\DNA\btdna.exe
O52 - TDSD: \Drivers32\msacm.l3acm=C:\Windows\System32\l3codeca.acm . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm 
O52 - TDSD: \Drivers32\msacm.ac3acm=ac3acm.acm . (.fccHandler - AC-3 ACM Codec.) -- C:\Windows\System32\ac3acm.acm 
O52 - TDSD: \drivers.desc\C:\Windows\System32\l3codeca.acm=Fraunhofer IIS MPEG Layer-3 Codec . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm 
O52 - TDSD: \drivers.desc\wdmaud.drv=Pilote de fonction UAA 1.1 Microsoft pour High Definition Audio . (...) -- (.not file.) 
O52 - TDSD: \drivers.desc\divx.dll=DivX 6.8.4 . (...) -- (.not file.) 
O52 - TDSD: \drivers.desc\xvidvfw.dll=Xvid MPEG-4 Video Codec v1.2-dev . (...) -- (.not file.) 
O52 - TDSD: \drivers.desc\ac3acm.acm=AC-3 ACM Codec . (.fccHandler - AC-3 ACM Codec.) -- C:\Windows\System32\ac3acm.acm 
 O47 - AAKE:Key Export SP - C:\Program Files\BitTorrent\bittorrent.exe [Enabled] .(...) -- C:\Program Files\BitTorrent\bittorrent.exe (.not file.)
EMPTYTEMP 
EMPTYFLASH 
FirewallRaz


-Puis Lance ZHPFix depuis le raccourci du bureau . 

-Une fois ZHPFix ouvert , clique sur le bouton [ H ] . 

- Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent. 

-Vérifie que c'est les bonne lignes qui sont collés. 

-Clique sur le bouton GO 

-Copie/Colle le rapport à l'écrans sur pjjoint .

dr.pc1 · Answer

Et la dernière suite :

Tu dois copier ces lignes dans le document texte : 


http://cjoint.com/12fe/BBuuuax8Uko.htm


-Puis Lance ZHPFix depuis le raccourci du bureau . 

-Une fois ZHPFix ouvert , clique sur le bouton [ H ] . 

- Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent. 

-Vérifie que c'est les bonne lignes qui sont collés. 

-Clique sur le bouton GO 

-Copie/Colle le rapport à l'écrans sur pjjoint .

Tony · Answer

D'accord merci voilà les 3 rapports dans l'ordre.
Le premier:
http://pjjoint.malekal.com/files.php?id=20120220_q7w8k15c10p14
Le second:
http://pjjoint.malekal.com/files.php?id=20120220_c10n13n6u10g9
Et le troisième:
http://pjjoint.malekal.com/files.php?id=20120220_r15r15m13r11f15

Tony · Answer

Merci beaucoup, après avoir redémarré tout a l'air de fonctionner et il à l'air plus réactif a l'ouverture ! :)
Merci encore pour ton aide.

dr.pc1 · Answer

Salut, Et voilà la fin =) Pour Désinstaller les outils de désinfections : ** Télécharge Delfix : ici puis exécute Delfix sur ton bureau. * Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message. * Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. Après : ------------------------------------------------------------------------------------------------------ * Télécharge PureRa (par l''editeur de JavaRa) : ici - Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) - clique sur "Clean" - L''outil va faire son scan puis son nettoyage - à la fin du scan tu auras une ligne comme ca : Total space cleaned: 7657532 bytes - Donne moi juste cette ligne. ---------------------------------------------------------------------------------------------------- Pour optimiser ton pc : * Télécharge Glary Utilities : ici -Installe-le et nettoie et optimise ton pc avec. ---------------------------------------------------------------------------------------------------- Tu peux garder Malwarebyte's et télécharger CCleaner et faire des nettoyages régulièrement et Revo uninstaller pour désinstaller proprement tes logiciels. ;-) ---------------------------------------------------------------------------------------------------- Télécharge aussi WOT et ADBlock pour ton navigateur et pour plus de sécurité pour ton pc. ---------------------------------------------------------------------------------------------------- Un peu de lecture : Sécuriser son ordinateur : ici /!\ à faire /!\ Activer Détection PUP/LPI : ici ---------------------------------------------------------------------------------------------------- Tu dois veillez à vérifier que Adobe Flash Player et JAVA sont à jours. **Il te faut un bon antivirus comme Avast ou Avira etc... et un bon firewall comme Comodo Firewall. N'oublie pas de mettre le sujet en ---> résolu <--- Si tu as encore des problèmes n'hésite pas à revenir sur CCM ou à me contacter :-) @+ -------> dr.pc1 <-------

Tony · Answer

Il m'identifie Delfix comme un trojan c'est normal ? 
le rapport : 
http://pjjoint.malekal.com/files.php?id=20120221_z6j10o10b12n9 
Le clean de PureRa est terminé voilà le résultat 
"Total space cleaned: 1345973271 bytes"

Petite parenthèse sur Ad block plus il ne fonctionne pas sur mon firefox je suis obliger de le réinstaller à chaque démarrage du navigateur...

dr.pc1 · Answer

Hello, 

Qui identifie delfix comme un trojan ? 

Pour firefox, on va faire une désinstallation/réinstallation propre :-) 

*Tu peus sauvegarder tes marques pages comme ça :  
Va dans "marques pages" puis "gérer les marques pages" puis "fichier" et "exporter" et là tu sauvegarde sur le bureau.  
Pour les récupérer, meme procédure sauf qu'il faut faire "importer" .  

*Télécharge Revo uninstaller : ici et désinstalle Mozilla Firefox en mode avancé s'il te propose des fichiers à supprimer, supprime-les.  

*Télécharge CCleaner : ici installe-le (décoche l'installation d'une barre d'outils) puis lance-le et appuie sur analyser puis à la fin du scan sur nettoyer puis va dans Registre appuie sur chercher les erreurs puis à la fin du scan sur corriger les erreurs sélectionnées et redémarre le pc. 

*Télécharge Mozilla firefox : ici et redémmare ton pc puis regarde si Firefox marche bien puis télécharge Adblock : ici qui stoppera les pubs. 

PS: n'oublie pas de faire des nettoyages avec CCleaner une fois par semaine.

Tony · Answer

ça ne marche toujours pas, il me dise que Adblock plus veut être modifié par un fichier mais c'est pas grave ^^. C'est Bit defender qui l'identifie comme un trojan.

Merci déjà pour tout ce que tu as fait !