PUM.UserWLoad impossible à supprimer Résolu/Fermé

Question

Bonsoir,

Je viens m'inscrire sur ce forum car je me bats depuis hier soir avec cette charmante bestiole qu'est PUM.UserWLoad. 
J'ai tenté plusieurs fois de l'enlever avec malewarebytes, mais cela n'a pas marché, comme le confirment la plupart des commentaires que j'ai pu trouver sur le net. Je suis à court d'idées.

Comment puis-je m'en sortir ? :(

g3n-h@ckm@n · Answer

salut fais voir ton rapport dde malwarebyets ?

Madln · Answer

Voilà le rapport le plus récent, il a été effectué en mode sans échec, car mon ordi bugge et le scan malewarebytes se bloque à partir d'un certain temps (et ne s'effectue donc pas). 





Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.20.03

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 10.0.9200.16635
Madeleine :: MADELEINE-VAIO [administrateur]

21/07/2013 01:09:24
MBAM-log-2013-07-21 (01-15-09).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 220257
Temps écoulé: 5 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\MADELE~1\LOCALS~1\Temp\mshynxryc.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)





Merci de ta réponse.

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Madln · Answer

Je n'arrive pas à télécharger ce programme, peu importe quel lien j'utilise. L'ordinateur le bloque car le détecte comme fichier hautement malveillant (l'antivirus ici est Avast). :s

Je suis sur un autre ordinateur, non infecté, donc je ne sais pas pourquoi cela fait ça.

Madln · Answer

Désolée, je n'avais pas fait attention à cela. >_< 

Voilà, Winlogon téléchargé. Je l'active et je poste le résultat.

Je fais ça en mode sans échec avec prise en charge du réseau, je n'ai pas le choix car mon ordi se bloque après quelques minutes en mode normal. Est-ce que ça change qqch ?

Madln · Answer

Voilà, Pre_Scan fait !

Voici le rapport : https://www.cjoint.com/c/CGvuZlTeSgJ

g3n-h@ckm@n · Answer

t'es sur d'avoir desactivé McAfee ?

Madln · Answer

Oui pourquoi ?

g3n-h@ckm@n · Answer

ouvre le fichier c:\windows\win.ini avec le bloc notes

supprime la ligne :

Load=C:\Users\MADELE~1\LOCALS~1\Temp\mshynxryc.exe

referme le fichier

Madln · Answer

Cette ligne n'est pas du tout dans le fichier win.ini.  :/

Est-ce que je dois relancer Pre_Scan ?

g3n-h@ckm@n · Answer

en mode sans echec option scan|kill

Madln · Answer

Mode sans échec normal ou avec prise en charge du réseau, wifi activé ou non ?

g3n-h@ckm@n · Answer

mode sans echec tout court

Madln · Answer

Lorsque je démarre Pre_Scan, une fenêtre "AutoIt Error" s'ouvre, avec comme commentaire : unable to open the script file. 
Cependant, le scan se poursuit normalement.

g3n-h@ckm@n · Answer

bizarre ce que tu me dis là.....

Madln · Answer

Voilà le scan avec Pre_Scan est effectué, et ça a redémarré automatiquement contrairement à la première fois où j'avais du confirmer que je voulais redémarrer.
Au rallumage, ça me dit que la corbeille sur C:\ est endommagée et ça me demande si je veux la vider. J'ai cliqué sur oui.

Quand j'ai voulu copier le rapport sur clé pour le mettre sur un autre ordi, ça n'a pas détecté la clé usb, mon ordi a buggé et maintenant il se rallume en faisant une vérification du système de fichiers sur C... 

Je sais pas trop ce qu'il se passe là, parce que je suis pas une grosse quiche en informatique non plus et que je suis les consignes correctement. :/

Madln · Answer

Voilà enfin le rapport de Pre_Scan : https://www.cjoint.com/c/CGwaNLWqQgq

g3n-h@ckm@n · Answer

ok relance l 'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

Madln · Answer

Fait ! 

Voici le lien du rapport pre_diag : https://www.cjoint.com/c/CGwlhjR7fOt

g3n-h@ckm@n · Answer

desinstalle tout Java

==

sélectionne tout ce texte , pui CTRL + C 

Kill::

Key::
[HKU\S-1-5-21-3304241901-1445314219-2496366977-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[Load]
[HKU\S-1-5-21-3304241901-1445314219-2496366977-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1DAAA2F9-C4AD-40E2-A7C4-003DC464F420}]
[HKU\S-1-5-21-3304241901-1445314219-2496366977-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{91D6FCF8-519B-4BAF-A79C-800239B27889}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]   
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]  
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-3304241901-1445314219-2496366977-1000\Software\?? ?? ???? ????? ??? ?? ????] 

File|Fold::
C:\Users\Madeleine\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib     
C:\E3CF868CA252 
C:\ED6EB259E295 
C:\8788c94858abf45ae5c9be626b02d80c 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         

MBR::

Clean::

Reboot:: 

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Madln · Answer

Voilà, fait !

Le rapport Pre_Script : https://www.cjoint.com/c/CGwmgPgIysk

g3n-h@ckm@n · Answer

refais un scan complet avec Malwarebytes après l'avoir mis à jour ?

Madln · Answer

Malewarebytes mis à jour et scan complet effectué. Il me détecte toujours PUM.UserWLoad et aussi winlogon comme éléments infectés. >_<

Je supprime juste le virus et je t'envoie le rapport ?

g3n-h@ckm@n · Answer

supprime tout

Madln · Answer

Petit souci, j'ai du refaire un scan malewarebytes...
Donc, j'ai tout supprimé et voici le rapport après redémarrage de l'ordinateur : https://www.cjoint.com/c/CGwpBtkWdBx

Madln · Answer

J'ai refait un scan rapide en mode sans échec avec malewarebytes et le virus est toujours là.

g3n-h@ckm@n · Answer

alors tu as forcement la ligne en question dans le fichier win.ini

colle son contenu ici voir ?

Madln · Answer

Voici le contenu de win.ini : 

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
3g2=MPEGVideo
3gp=MPEGVideo
3gp2=MPEGVideo
3gpp=MPEGVideo
aac=MPEGVideo
adt=MPEGVideo
adts=MPEGVideo
m2t=MPEGVideo
m2ts=MPEGVideo
m2v=MPEGVideo
m4a=MPEGVideo
m4v=MPEGVideo
mod=MPEGVideo
mov=MPEGVideo
mp4=MPEGVideo
mp4v=MPEGVideo
mts=MPEGVideo
ts=MPEGVideo
tts=MPEGVideo

g3n-h@ckm@n · Answer

ok le contenu de system.ini aussi stp

Madln · Answer

Voilà : 


; for 16-bit app support
[386Enh]
woafont=dosapp.fon
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]

g3n-h@ckm@n · Answer

je comprends pas pourquoi elle saute pas cette clé alors.....

on va essayer differemment

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT  

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

Madln · Answer

Voilà le rapport OTL : http://cjoint.com/13ju/CGwvlLBu93k.htm

Et le fichier Extras.txt : https://www.cjoint.com/c/CGwvmQ30hCf

g3n-h@ckm@n · Answer

tu fais des restauration système ou quoi ????????

Madln · Answer

Non, pourquoi ? C'est quoi le problème ?

g3n-h@ckm@n · Answer

je comprends pas la moitié des choses qu'on a viré est revenue....

=======

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
F3 - HKU\S-1-5-21-3304241901-1445314219-2496366977-1000 WinNT: Load - (C:\Users\MADELE~1\LOCALS~1\Temp\mshynxryc.exe) -  File not found

:commands
[emptytemp]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Madln · Answer

Voilà le rapport de correction : https://www.cjoint.com/c/CGwvWJ9EZiy

g3n-h@ckm@n · Answer

voilà malwarebytes devrait plus le trouver maintenant

Madln · Answer

Ok. Je fais un scan complet ou un rapide c'est suffisant ?

g3n-h@ckm@n · Answer

rapide devrait suffire

Madln · Answer

J'ai fait un scan complet par sécurité, Malewarebytes ne détecte rien ! :)

g3n-h@ckm@n · Answer

ok tu peux faire le ménage

 https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Madln · Answer

Ok, je fais ça.

Merci beaucoup pour ton aide précieuse ! :)

g3n-h@ckm@n · Answer

:)

PUM.UserWLoad impossible à supprimer

43 réponses

Discussions similaires

Newsletters