Virus wdmplaye.exe

BlackSeb -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai été atteint d'un gros virus depuis quelque jours. En effet, il s'agirait apparement de "wdmplaye.exe" (RogueKiller le signale mais n'arrive apparement pas à le supprimer..)

Le virus se met en marche en général au démarrage de Windows. La "roulette" (le rond) à coté du curseur de la souris n'arrête pas d'apparaître/disparaître, et dans le gestionnaire des tâches, dans l'onglet "processus", tout bouge! Ca ouvre des tonnes et des tonnes de "cmd.exe".

Au final, quand ca a duré un bon moment, ceci fait beuger tout le PC et je n'ai comme solution que de redémarrer le pc. (Par le bouton de la tour).

Je ferait une vidéo rapidement, afin de vous montrer plus précisément de quoi il s'agit!

Merci d'avance pour ceux qui m'aideront. :)

Bonne soirée à vous.

25 réponses

  • 1
  • 2
  1. BlackSeb
     
    Voici la vidéo du virus:

    http://www.youtube.com/watch?v=3CDM5ttLaRE&feature=youtu.be

    Merci beaucoup de l'aide que vous m'apporterez, j'en ai vraiment besoin.
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  3. BlackSeb
     
    Bonjour Malekal_morte-, tout d'abord merci de l'aide que tu m'apporte,

    Voici les deux rapports "OTL", "Extras".

    OTL: http://pjjoint.malekal.com/files.php?id=20130504_k15h6n9s7k11
    Extras: http://pjjoint.malekal.com/files.php?id=20130504_j15h13b10n7o12

    Bonne journée à toi.
    0
  4. BlackSeb
     
    Bonjour,

    Voici un nouveau screen sur ce virus:

    http://image.noelshack.com/fichiers/2013/18/1367750402-virus.png

    A savoir que le virus ne démarre pas à chaque fois qu'on démarre l'ordinateur, il faut donc fermer la session et la ré-ouvrir 1-2 fois pour pouvoir utiliser le PC sans être encombré par le virus.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu as mis deux fois le rapport Extra apparemment.
    Manque donc OTL.txt
    0
  7. BlackSeb
     
    http://pjjoint.malekal.com/files.php?id=20130505_w15f13v10z12i5

    Le voici.
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?id=a08c03a5000000000000f80f413eedd7
    IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes,DefaultScope = {7C95A1CF-69AF-4A84-9BB8-075C7AE761F0}
    IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://www.holasearch.com/?q={searchTerms}&affID=121962&babsrc=SP_ss&mntrId=A08CF80F413EEDD7/b>
    IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes\{7C95A1CF-69AF-4A84-9BB8-075C7AE761F0}: URL = http://searchou.com/?q={searchTerms}&id=a08c03a5000000000000f80f413eedd7&r=455
    O2 - BHO: (MoagniPici) - {BD4BA966-D3D9-4DB3-572A-1A63893AC747} - C:\ProgramData\MoagniPici\5178fbcf63121.dll ()
    O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
    O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
    O3:[b]64bit:/b - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    O20 - AppInit_DLLs: (c:\progra~2\magnipic\sprote~1.dll) - c:\Program Files (x86)\MagniPic\sprotector.dll ()
    O20 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000 Winlogon: Shell - (%APPDATA%\Microsoft\wdmplaye.exe) - C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    [2013/04/18 17:57:05 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\File Scout
    [2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\WinApps
    [2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\dclogs
    [2013/05/04 12:38:08 | 000,002,538 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk
    [2013/02/12 02:59:28 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Babylon
    [2013/05/03 14:17:52 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\dclogs
    [2013/02/12 03:17:15 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Delta
    [2013/04/18 17:57:05 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\File Scout
    [2013/05/02 21:40:38 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\IMVU
    [2013/04/18 17:57:39 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\PerformerSoft

    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    0
  9. BlackSeb
     
    Ca ne marche pas...

    Une fois que je clique sur Correction, le rond se met en marche, sa charge, et ca s'arrête pas... et le programme ne répond plus. :/
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    mets que cette partie alors :

    :OTL
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    O20 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000 Winlogon: Shell - (%APPDATA%\Microsoft\wdmplaye.exe) - C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    [2013/04/18 17:57:05 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\File Scout
    [2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\WinApps
    [2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\dclogs
    [2013/05/04 12:38:08 | 000,002,538 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk
    [2013/02/12 02:59:28 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Babylon
    [2013/05/03 14:17:52 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\dclogs
    [2013/02/12 03:17:15 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Delta
    [2013/04/18 17:57:05 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\File Scout
    [2013/05/02 21:40:38 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\IMVU
    [2013/04/18 17:57:39 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\PerformerSoft

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  11. BlackSeb
     
    Impossible de zipper C:\_OTL.

    Voici le message d'erreur: http://image.noelshack.com/fichiers/2013/18/1367757227-impossibledezipper.png

    Par ailleurs, voici le rapport:

    http://pjjoint.malekal.com/files.php?id=20130505_i8o8o5x9y6
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Peut-être l'antivirus.
    A défaut tu peux envoyer sur http://upload.malekal.com
    C:\_OTL\MoveIT\C\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ?
    0
  13. BlackSeb
     
    Le chemin pour arriver à wdmplaye.exe n'est pas celui-la.

    Il s'agit de ce chemin-ci (je sais pas si c'est important), en tout cas, voici un screen:

    http://image.noelshack.com/fichiers/2013/18/1367757901-cheminwdmplaye.png

    Je viens de l'envoyer, l'as-tu reçu?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui envoie le fichier.
      Si y a d'autres .exe envoie aussi :)
      0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon pour virer Delta :

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    0
  15. BlackSeb
     
    J'ai aussi trouvé un filescout.exe, ainsi qu'un uninst.exe

    Je les ai envoyé :)

    Il y a aussi un autre chemin pour wdmplaye.exe, il s'agit de ceci:

    http://image.noelshack.com/fichiers/2013/18/1367758885-autrecheminwdmplaye.png

    J'ai cliqué dessus sans faire exprès. Heureusement, rien s'est passé. Le rond du curseur a un peu tourné durant quelques secondes, mais rien d'apparent par après.
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    La détection est relativement obnne : https://www.virustotal.com/gui/file/15b163f128a948c6374be153be086a312300bf084f7e90186079fcca0ed512d4

    SHA256: 15b163f128a948c6374be153be086a312300bf084f7e90186079fcca0ed512d4
    Nom du fichier : wdmplaye.exe
    Ratio de détection : 8 / 46
    Date d'analyse : 2013-05-05 13:02:41 UTC (il y a 0 minute)

    Ca va sur une ipette FR : boniitonoip24.no-ip.org

    Fais AdwCleaner.
    0
  17. BlackSeb
     
    J'ai pas compris le "Ca va sur une ipette FR : boniitonoip24.no-ip.org"

    Que cela veut-il dire?
    0
  18. BlackSeb
     
    ADWCleaner n'a apparement rien trouvé.

    Voici le rapport: http://pjjoint.malekal.com/files.php?id=20130505_w7i11d10w14p13

    PS: Je n'ai pas appuyé sur l'option supprimer, dois-je le faire? :)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui fais supprimer.
      0
  19. BlackSeb
     
    Voici le rapport de suppression:

    http://pjjoint.malekal.com/files.php?id=20130505_j13j7w9u12x6

    Néanmoins j'ai toujours le virus, j'ai du redémarrer une fois la session après le redémarrage pour que le PC fonctionne correctement.
    0
  20. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found
    O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    O4 - Startup: C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk = C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

    * redemarre le pc sous windows et poste le rapport ici

    Redémarre l'ordinateur voir si tu as encore le message d'erreur.
    Refais un scan OTL comme là https://forums.commentcamarche.net/forum/affich-27733803-virus-wdmplaye-exe#2 et file les rapports
    0
  21. BlackSeb
     
    J'ai redémarré, et la, miracle, plus de virus apparement. En tout cas, quand je vais dans le gestionnaire des tâches, plus rien ne bouge! Avant, ca bougeait sans arrêt.

    Voici le premier rapport demandé: http://pjjoint.malekal.com/files.php?id=20130505_s7n15v10r7o7

    Puis voila l'autre rapport (comme le tout premier): http://pjjoint.malekal.com/files.php?id=20130505_q13z7r12b6m11
    0
  • 1
  • 2