Virus wdmplaye.exe Fermé

Question

Bonjour, 

J'ai été atteint d'un gros virus depuis quelque jours. En effet, il s'agirait apparement de "wdmplaye.exe" (RogueKiller le signale mais n'arrive apparement pas à le supprimer..)

Le virus se met en marche en général au démarrage de Windows. La "roulette" (le rond) à coté du curseur de la souris n'arrête pas d'apparaître/disparaître, et dans le gestionnaire des tâches, dans l'onglet "processus", tout bouge! Ca ouvre des tonnes et des tonnes de "cmd.exe".

Au final, quand ca a duré un bon moment, ceci fait beuger tout le PC et je n'ai comme solution que de redémarrer le pc. (Par le bouton de la tour).

Je ferait une vidéo rapidement, afin de vous montrer plus précisément de quoi il s'agit!

Merci d'avance pour ceux qui m'aideront. :)

Bonne soirée à vous.

Configuration: Windows 7 / Chrome 26.0.1410.64

BlackSeb · Answer

Voici la vidéo du virus:

http://www.youtube.com/watch?v=3CDM5ttLaRE&feature=youtu.be

Merci beaucoup de l'aide que vous m'apporterez, j'en ai vraiment besoin.

Malekal_morte- · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

BlackSeb · Answer

Bonjour Malekal_morte-, tout d'abord merci de l'aide que tu m'apporte,

Voici les deux rapports "OTL", "Extras".

OTL: http://pjjoint.malekal.com/files.php?id=20130504_k15h6n9s7k11
Extras: http://pjjoint.malekal.com/files.php?id=20130504_j15h13b10n7o12

Bonne journée à toi.

BlackSeb · Answer

Bonjour,

Voici un nouveau screen sur ce virus:

http://image.noelshack.com/fichiers/2013/18/1367750402-virus.png

A savoir que le virus ne démarre pas à chaque fois qu'on démarre l'ordinateur, il faut donc fermer la session et la ré-ouvrir 1-2 fois pour pouvoir utiliser le PC sans être encombré par le virus.

Malekal_morte- · Answer

Tu as mis deux fois le rapport Extra apparemment.
Manque donc OTL.txt

BlackSeb · Answer

http://pjjoint.malekal.com/files.php?id=20130505_w15f13v10z12i5

Le voici.

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?id=a08c03a5000000000000f80f413eedd7
IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes,DefaultScope = {7C95A1CF-69AF-4A84-9BB8-075C7AE761F0} 
IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://www.holasearch.com/?q={searchTerms}&affID=121962&babsrc=SP_ss&mntrId=A08CF80F413EEDD7/b> 
IE - HKU\S-1-5-21-405134150-1849446188-1582116290-1000\..\SearchScopes\{7C95A1CF-69AF-4A84-9BB8-075C7AE761F0}: URL = http://searchou.com/?q={searchTerms}&id=a08c03a5000000000000f80f413eedd7&r=455
O2 - BHO: (MoagniPici) - {BD4BA966-D3D9-4DB3-572A-1A63893AC747} - C:\ProgramData\MoagniPici\5178fbcf63121.dll () 
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)  
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)  
O3:[b]64bit:/b - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) 
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found 
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
O20 - AppInit_DLLs: (c:\progra~2\magnipic\sprote~1.dll) - c:\Program Files (x86)\MagniPic\sprotector.dll ()
O20 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000 Winlogon: Shell - (%APPDATA%\Microsoft\wdmplaye.exe) - C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
[2013/04/18 17:57:05 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\File Scout 
[2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\WinApps 
[2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\dclogs 
[2013/05/04 12:38:08 | 000,002,538 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk
[2013/02/12 02:59:28 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Babylon  
[2013/05/03 14:17:52 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\dclogs  
[2013/02/12 03:17:15 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Delta  
[2013/04/18 17:57:05 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\File Scout  
[2013/05/02 21:40:38 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\IMVU 
[2013/04/18 17:57:39 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\PerformerSoft 


* redemarre le pc sous windows et poste le rapport ici 

~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier C:\_OTL.zip 
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

BlackSeb · Answer

Ca ne marche pas...

Une fois que je clique sur Correction, le rond se met en marche, sa charge, et ca s'arrête pas... et le programme ne répond plus. :/

Malekal_morte- · Answer

mets que cette partie alors : 

:OTL 
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found  
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()  
O20 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000 Winlogon: Shell - (%APPDATA%\Microsoft\wdmplaye.exe) - C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()  
[2013/04/18 17:57:05 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\File Scout  
[2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\WinApps  
[2013/04/12 19:52:01 | 000,000,000 | ---D | C] -- C:\Users\Sébastien\AppData\Roaming\dclogs  
[2013/05/04 12:38:08 | 000,002,538 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk  
[2013/02/12 02:59:28 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Babylon  
[2013/05/03 14:17:52 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\dclogs  
[2013/02/12 03:17:15 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Delta  
[2013/04/18 17:57:05 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\File Scout  
[2013/05/02 21:40:38 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\IMVU  
[2013/04/18 17:57:39 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\PerformerSoft  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

BlackSeb · Answer

Impossible de zipper C:\_OTL.

Voici le message d'erreur: http://image.noelshack.com/fichiers/2013/18/1367757227-impossibledezipper.png

Par ailleurs, voici le rapport:

http://pjjoint.malekal.com/files.php?id=20130505_i8o8o5x9y6

Malekal_morte- · Answer

Peut-être l'antivirus.
A défaut tu peux envoyer sur http://upload.malekal.com
C:\_OTL\MoveIT\C\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe  ?

BlackSeb · Answer

Le chemin pour arriver à wdmplaye.exe n'est pas celui-la.

Il s'agit de ce chemin-ci (je sais pas si c'est important), en tout cas, voici un screen:

http://image.noelshack.com/fichiers/2013/18/1367757901-cheminwdmplaye.png

Je viens de l'envoyer, l'as-tu reçu?

Malekal_morte- · Answer

Bon pour virer Delta :


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

BlackSeb · Answer

J'ai aussi trouvé un filescout.exe, ainsi qu'un uninst.exe

Je les ai envoyé :)

Il y a aussi un autre chemin pour wdmplaye.exe, il s'agit de ceci:

http://image.noelshack.com/fichiers/2013/18/1367758885-autrecheminwdmplaye.png

J'ai cliqué dessus sans faire exprès. Heureusement, rien s'est passé. Le rond du curseur a un peu tourné durant quelques secondes, mais rien d'apparent par après.

Malekal_morte- · Answer

La détection est relativement obnne : https://www.virustotal.com/gui/file/15b163f128a948c6374be153be086a312300bf084f7e90186079fcca0ed512d4

SHA256:	15b163f128a948c6374be153be086a312300bf084f7e90186079fcca0ed512d4
Nom du fichier :	wdmplaye.exe
Ratio de détection :	 8 / 46 
Date d'analyse :	 2013-05-05 13:02:41 UTC (il y a 0 minute) 
 

Ca va sur une ipette FR : boniitonoip24.no-ip.org


Fais AdwCleaner.

BlackSeb · Answer

J'ai pas compris le "Ca va sur une ipette FR : boniitonoip24.no-ip.org"

Que cela veut-il dire?

BlackSeb · Answer

ADWCleaner n'a apparement rien trouvé.

Voici le rapport: http://pjjoint.malekal.com/files.php?id=20130505_w7i11d10w14p13

PS: Je n'ai pas appuyé sur l'option supprimer, dois-je le faire? :)

BlackSeb · Answer

Voici le rapport de suppression:

http://pjjoint.malekal.com/files.php?id=20130505_j13j7w9u12x6

Néanmoins j'ai toujours le virus, j'ai du redémarrer une fois la session après le redémarrage pour que le PC fonctionne correctement.

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [WinApps] C:\Users\Sébastien\AppData\Roaming\WinApps\WinApps.exe File not found
O4 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000..\Run: [Windows Media Player] C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
O4 - Startup: C:\Users\Sébastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk = C:\Users\Sébastien\AppData\Roaming\Microsoft\wdmplaye.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1


* redemarre le pc sous windows et poste le rapport ici 


Redémarre l'ordinateur voir si tu as encore le message d'erreur.
Refais un scan OTL  comme là https://forums.commentcamarche.net/forum/affich-27733803-virus-wdmplaye-exe#2 et file les rapports

BlackSeb · Answer

J'ai redémarré, et la, miracle, plus de virus apparement. En tout cas, quand je vais dans le gestionnaire des tâches, plus rien ne bouge! Avant, ca bougeait sans arrêt.

Voici le premier rapport demandé:  http://pjjoint.malekal.com/files.php?id=20130505_s7n15v10r7o7

Puis voila l'autre rapport (comme le tout premier):  http://pjjoint.malekal.com/files.php?id=20130505_q13z7r12b6m11

Malekal_morte- · Answer

Relance OTL.  
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début). 
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:   

:OTL 
O20 - HKU\S-1-5-21-405134150-1849446188-1582116290-1000 Winlogon: Shell - (%APPDATA%\Microsoft\wdmplaye.exe) - File not found 

* redemarre le pc sous windows et poste le rapport ici  


~~ 

Ca doit être bon après cela. 


Tu as été infecté par un RAT. 


Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc). 
Vous cliquez, téléchargez et executer. 
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc. 

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection. 

Faire attention à ce que vous téléchargez 


~~

Juste pour vérif, fais ça :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
Poste le rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!! 
  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

BlackSeb · Answer

Le rapport OTL: http://pjjoint.malekal.com/files.php?id=20130505_t6r5m12q15e14

J'ai eu deux rapports de RogueKiller:

http://pjjoint.malekal.com/files.php?id=20130505_k5t5c13k6v7
http://pjjoint.malekal.com/files.php?id=20130505_i15j5w7i13c10

J'ai également changé les mot de passe.

Malekal_morte- · Answer

plus de message au démarrage?

BlackSeb · Answer

Au démarrage j'ai souvent une fenêtre avec un message, mais elle apparaît pendant une demi seconde. J'ai rien le temps de voir.

BlackSeb · Answer

Je reviens de ma formation, j'allume le PC : plus de message.

Mais cette histoire du message est extrêmement louche. S'il y a du nouveau, je reposterais sur le topic.

En tout cas, merci beaucoup de ton aide, et j'insiste beaucoup sur le fait de te remercier. Ca fait plaisir de tomber sur des gens qui ont la patience, qui écoutent, et qui apportent de l'aide qui marche. Chapeau bas l'artiste.

Je te souhaîte une bonne journée. :)

Virus wdmplaye.exe

25 réponses

Discussions similaires