Bizarre

Le
Jean_
Bonjour,

Sur 2 PC (WIn XP SP3) j'ai le même phénomène :

Un fichier .dll se retrouve dans la racine de
C:Documents and SettingsJeanApplication Data
Le même fichier existe dans Windowssystem32.

Sur l'un des PC, Malware Byte trouve que le fichier de documents and
settings est suspect.

Les noms sont différents sur les 2 PC
axsmvuwd.dll pour l'un et
wapisu.dll pour l'autre

Normal, parano ou problème réel ?

Merci pour vos réponses.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bernard42
Le #21583561
Bonjour,

DLL inconnu,dans 2 de mes config.

Suspect,supprime les et ne vide pas la corbeille,
en cas de problème,dans les prochains jours,
retaure,mais à mon avis,à supprimer.


--
Bernard42

Jean_ nous a déclaré sur Win xp FR :

Bonjour,

Sur 2 PC (WIn XP SP3) j'ai le même phénomène :

Un fichier .dll se retrouve dans la racine de
C:Documents and SettingsJeanApplication Data
Le même fichier existe dans Windowssystem32.

Sur l'un des PC, Malware Byte trouve que le fichier de documents and
settings... est suspect.

Les noms sont différents sur les 2 PC
axsmvuwd.dll pour l'un et
wapisu.dll pour l'autre

Normal, parano ou problème réel ?

Merci pour vos réponses.
Herser
Le #21583821
Jean_ wrote:
Bonjour,

Sur 2 PC (WIn XP SP3) j'ai le même phénomène :

Un fichier .dll se retrouve dans la racine de
C:Documents and SettingsJeanApplication Data
Le même fichier existe dans Windowssystem32.

Sur l'un des PC, Malware Byte trouve que le fichier de documents and
settings... est suspect.

Les noms sont différents sur les 2 PC
axsmvuwd.dll pour l'un et
wapisu.dll pour l'autre

Normal, parano ou problème réel ?

Merci pour vos réponses.



Bonjour

1- Réponse générale
En cas de doute sur un fichier, l'envoyer sur VirusTotal :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
Une trentaine d'antivirus vont l'analyser
Si seulement 2 ou 3 réagissent, ce peut être un faux positif ou un malware
très récent.
Refaire alors le test dans quelques jours, et mettre le fichier en
quarantaine en attendant

2- Réponse pour wasipu.dll : signature de l'adware PurityScan
Adware = malware renvoyant des pub.
http://www.commentcamarche.net/faq/26043-supprimer-l-adware-purityscan
Cet article, récent signale que MBAM le repère et le détruit.
Tu sais ce qu'il te reste à faire.

Rem : évite combofix sans parachute, c'est un outils très puissant.
MBAM devrait suffire.

axsmvuwd.dll, si c'est la bonne orthographe n'est pas une dll connue
Donc sans doute un nom aléatoire de malware, peut-être PurityScan

Vérifie si MBAM le nettoie aussi.

Si tu le souhaites, tu peux faire un diagnostic avec ZPHDiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ZPHDiag te donne un rapport (log) à envoyer sur Cijoint avec le lien ici
pour le récupérer :
http://www.cijoint.fr/index.php
Donc, nettoie d'abord avec MBAM (tu peux aussi envoyer le log de MBAM)
Puis fais le scan ZHPDiag, si tu veux savoir si le PC est propre.

Herser
Jean_
Le #21584061
Herser a utilisé son clavier pour écrire :
1- Réponse générale



Re-bonjour,

Merci pour ton aide.

MBAM (à jour) ne donne rien, VirusTotal non plus.

Les noms des fichiers n'apparaissent pas dans la BDR.

J'ai fait un scan ZHPdaig résultat ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt

A+
Herser
Le #21584501
Jean_ wrote:
Herser a utilisé son clavier pour écrire :
1- Réponse générale



Re-bonjour,

Merci pour ton aide.

MBAM (à jour) ne donne rien, VirusTotal non plus.

Les noms des fichiers n'apparaissent pas dans la BDR.

J'ai fait un scan ZHPdaig résultat ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUUWI2EE.txt

A+




Euh ! Tu as dit que MBAM avait trouvé un fichier suspect !
Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet
"Rapports/Logs"

Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :

- VMNToolbar : scanne avec ToolBar SD :
http://www.malekal.com/tutorial_ToolBar_SD.php
http://forums.cnetfrance.fr/topic/107828-toolbar-sd-telecharger-et-utiliser/
Envoie le rapport sur Cijoint

- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD
...) est infecté
Scanne tes supports avec USBFix :
http://www.malekal.com/tutorial_USBFix.php
Envoie le rapport d'analyse sur Cijoint

Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.

- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de
notification.
Ni pour les mise à jour Windows Update, ni pour ton Pare-feu
Est-ce volontaire ? Si oui, pourquoi (pas conseillé)

Je m'absente cet après midi

A+

Herser
Jean_
Le #21585251
Il se trouve que Herser a formulé :
Euh ! Tu as dit que MBAM avait trouvé un fichier suspect !
Tu avais donc nettoyé ? MBAM a fait alors un rapport : onglet "Rapports/Logs"



Rapport détruit trop tôt. Il rapportait un trojan dans un seul des deux
fichiers identiques présents (celui de documents and settings...)

Le diag de ZHPDiag signale des traces d'infections, peut-être anciennes :

- VMNToolbar : scanne avec ToolBar SD :
Envoie le rapport sur Cijoint

- Trojan USB : au moins un support USB (clé, disque dur externe, carte SD
...) est infecté
Envoie le rapport d'analyse sur Cijoint



Rapports ici :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijH2DoW4L.zip

Il ne faudra pas oublier de */supprimer* ces outils en fin de désinfection.

- Enfin le Centre de sécurité est désactivé, tu ne reçois plus de
notification.
Ni pour les mise à jour Windows Update,


elles m'énervaient à chaquez démarrage et je les trouve un peu trop
intrusives.... !

ni pour ton Pare-feu


Kerio Personal Firewall n'est pas reconnu par XP, mais il fonctionne
très bien.

Je m'absente cet après midi


A plus tard, merci.
Herser
Le #21586541
Jean_ wrote:

Re !
De retour par cette bonne journée dominicale.

1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ?
Ces logs ne pèsent rien, il est intéressant de les garder, au moins les
derniers.

2- log de Toolbar S&D : il repère bien VMNToolBar
Donc option 2 Nettoyage comme sur le tuto

3- log de USBFix : infection sur H disque amovible "TRANSCEND"
et un autorun.inf sur M disque fixe Maxtor

Donc connecter les supports USB et surtout "Transcend" sans les démarrer
(touche shift appuyée)
et option 2 Nettoyage.
Si USBFix propose de vacciner, fais le, il réduit les risques d'infection.
Sinon vois VaccinUSB :
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
Paragraphe : "Comment se prémunir...."

4- Centre de Sécurité : Je ne comprends pas tout :
- tu as désactivé les notifications ou tu as désactivé les màj critiques ?
C'est quoi qui est intrusif ?

Il est fortement conseillé d'activer les mises à jour critiques.
C'est plus efficace que l'antivirus, car tu laisses ainsi des failles
ouvertes.
Le mieux est de paramétrer sur "Avertir sans télécharger"
Les màj critiques ne se présentent que le 2° mardi de chaque mois plus
quelques exceptions.
Ce n'est pas très intrusif

Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours
Ce qui semble être ton cas
Rem : j'ai Kerio 4 sur un de mes XP, le centre de sécurité le reconnait

Donc 2 nettoyages à faire
Puis un diag de vérif avec ZHPDiag

Il faudra au bout du bout supprimer les 3 outils installés

Herser
Jean_
Le #21587201
Herser a couché sur son écran :

De retour par cette bonne journée dominicale.



Ca change du PC et ça fait du bien !

1- log MBAM : tu n'as plus rien dans l'onglet Rapports/Logs ?
Ces logs ne pèsent rien, il est intéressant de les garder, au moins les
derniers.



OK pour une prochaine fois.

2- log de Toolbar S&D : il repère bien VMNToolBar
Donc option 2 Nettoyage comme sur le tuto



Fait.

3- log de USBFix : infection sur H disque amovible "TRANSCEND"
et un autorun.inf sur M disque fixe Maxtor



Nettoyés à la main et vacciné de même.


4- Centre de Sécurité : Je ne comprends pas tout :
- tu as désactivé les notifications ou tu as désactivé les màj critiques ?
C'est quoi qui est intrusif ?



Tout désactivé. Je vais ré-étudier la question en fonction de tes
remarques.


Sauf quand le pare-feu n'est pas reconnu et que XP le signale tous les jours
Ce qui semble être ton cas



Oui, KPF (prédécessaur de Kerio 4) n'est pas reconnu par XP, il me
semble qu'il fonctionnait déjà sous W98.

Il faudra au bout du bout supprimer les 3 outils installés



Fait.

Merci encore.
Jean_
Le #21588891
Re-bobjour,

J'ai maintenant ue foule d'erreurs identiques dans l'observateur
d'évènements / applications :

WMIAdapter erreur 4099 (15 fois au démarage de XP)

C'est quoi ce truc ?

Nota : le service "carte de performance WMI" est désactivé.

Merci d'aavnce.
J.L.
Herser
Le #21590111
Jean_ wrote:
Re-bobjour,

J'ai maintenant ue foule d'erreurs identiques dans l'observateur
d'évènements / applications :

WMIAdapter erreur 4099 (15 fois au démarage de XP)

C'est quoi ce truc ?

Nota : le service "carte de performance WMI" est désactivé.

Merci d'aavnce.
J.L.



Re !

- Les 1° erreurs 4099 datent de quand ?

- Copie colle le contenu du message ainsi :
http://fspsa.free.fr/eventid.htm
Voir "Copier la Description........"

Herser
Jean_
Le #21595321
Re...

Herser a couché sur son écran :
- Copie colle le contenu du message ainsi :
http://fspsa.free.fr/eventid.htm
Voir "Copier la Description........"



Les premières erreurs 4099 datent du 28 mars.

Description de l'erreur :
-------- Citation
Type de l'événement : Erreur
Source de l'événement : WmiAdapter
Catégorie de l'événement : Aucun
ID de l'événement : 4099
Date : 28/03/2010
Heure : 09:49:24
Utilisateur : BUILTINAdministrateurs
Ordinateur : PCBUREAU
Description :
Échec de l'ouverture de services.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.
-------- / Citation

A bientôt.
Publicité
Poster une réponse
Anonyme