Probleme trojans

Résolu
siloo Messages postés 31 Statut Membre -  
siloo Messages postés 31 Statut Membre -
bonjour a tous
j' ai recupere smitfraud il y a une semaine
et depuis j'ai pleins de trojans sur mon poste (Windows 2000)
j'ai reussi a enlever le fond bleu sur le bureau et les favoris surprise mais mon nouvel antivirus F Secure (a jour) detecte de nbx trojan sans pouvoir les detruire. avant j'avais antivir mais il pouvait pas detruire les trojans.
j'ai deja utilise plusieurs av en ligne (bit defender, panda, rav),
j'ai lance des scans avec spybot mais rien.. ad aware je l'ai plus, il etait pas compatible avec fSecure.
apparemment, il faut que je poste mon HJT log pour que qq'un puisse me dire s'il pt m'aider !
alors voilà mon log, si qq'un a une idee, je sais plus moi..
merci!
voila ce que F-Secure a détecté :
C:\WINNT\System32\HHK.dll
C:\WINNT\System32\wininet.dll
C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmon.exe
C:\WINNT\System32\msmsgs.exe

Logfile of HijackThis v1.99.1
Scan saved at 19:20:29, on 22/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.254 130.244.127.161
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

26 réponses

  • 1
  • 2
Résumé de la discussion

Problème de sécurité complexe suite à une infection SmitFraud sur Windows 2000, avec détections répétées de trojans et des composants système modifiés tels que wininet.dll et d'autres éléments par HijackThis. Des pistes d'action prioritaires incluent l'utilisation d'un regfix SmitFraud, la réparation de wininet.dll via des sauvegardes et la suppression d'oleadm.dll avec Killbox, puis un nouveau scan antivirus et en ligne. Pour solidifier la protection, plusieurs répondants recommandent de vérifier les programmes au démarrage et les services actifs, et de ne pas modifier des fichiers critiques sans sauvegarde, en privilégiant des outils compatibles et à jour.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    pas de trace de ce que F secure t'a indiqué..?? supprimer??

    dans ces situations, tu peux utiliser la manip de base, à savoir:

    A/ si tu ne les as pas, telecharge:

    Spybot S&D 1.4 et Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    puis sur
    http://www.florensac-chasse-trap.com

    pointe ton curseur sur « section virus » sans cliquer
    click sur le menu qui apparaît et charge

    CleanUp312.exe
    ne les utilise pas tout de suite

    idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    1) clic droit sur poste de travail (pas dispo je crois sous win 2000)
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    execute cleanup312.exe

    tu relances tes scan ad aware
    puis spy boot (anti spy)
    puis a2 free (anti trojan)
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
    0
    1. siloo Messages postés 31 Statut Membre
       
      ok
      je fais tt ca, merci du conseil
      peu etre que les fichiers infectes n'apparaissent plus parce que fsecure les a renommes
      je te tiens au courant
      0
  2. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    non non, pas d'inquiétude la dessus, un anti vir ne renomme pas des fichiers.

    simplement quand tu as fini, si tu veux etre sur de ton PC, va sur le site:
    http://www.ravantivirus.com/scan/

    click sur "click herre

    accepte les active X

    et scan ton PC

    colle le log en fin

    A+

    Jean
    0
  3. siloo Messages postés 31 Statut Membre
     
    voila
    j'ai tt fait
    ad aware a enleve 2 clés de registres, spybot 59 "backweb lite" sf un car il etait actif (..), a squared n'a rien trouve.

    ca fait du bien de virer deja ca
    j'ai redemarre en mode normal et fsecure a detecté C:\WINNT\System32\wininet.dll (infecté)
    mais n'a pas pu le reparer.

    et le log de rav:

    Scan started at 22/06/2005 22:35:09

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

    Scanned
    ============================
    Objects: 17076
    Directories: 1390
    Archives: 699
    Size(Kb): -183288
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 54

    c'est grave pour wininet ??
    comme il se fait tard, je crois que je reviendrai demain..
    merci pour ton aide, bonne nuit !
    0
  4. Utilisateur anonyme
     
    salut,
    pour wininet oui, il y a des sujets dessu en ce moment suis les !
    pour le fichhier detecter par rav, n y touche pas

    remet un log hijack this

    a+
    0
    1. siloo Messages postés 31 Statut Membre
       
      salut,
      ok je vais voir ce qui se dit sur wininet
      pour le log, je pourrai pas avant midi, je suis au boulot!
      bonne matinée à toi et merci !
      0
    2. siloo Messages postés 31 Statut Membre
       
      salu regis
      alors j'ai regarde, wininet a l'air d'etre l'une des cibles du smitfraud que j'avais y a une semaine
      ..on dirait que certains tentent de reparer le fichier en prenant le meme sur un autre poste ??

      et voici les nouvelles du moment :

      Logfile of HijackThis v1.99.1
      Scan saved at 12:06:54, on 23/06/2005
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\WINNT\System32\svchost.exe
      C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
      C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
      C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
      C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
      C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
      C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
      C:\WINNT\system32\ZoneLabs\vsmon.exe
      C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\mspmspsv.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
      C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\WINNT\system32\rundll32.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
      C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
      C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
      O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
      O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
      O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.242 130.244.127.169
      O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
      O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
      O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
      O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
      O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

      ca a l'air correct non?
      0
    3. siloo Messages postés 31 Statut Membre
       
      il faut que j'y retourne
      à +
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut, c es correct
    tu peux fixer ca aussi:
    O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)

    au fait tu n as pas antivir+fsecure sur ton pc?

    sinon ou en sont tes soucis?

    a+
    0
    1. siloo Messages postés 31 Statut Membre
       
      salut
      d'accord, des que je rentre chez moi je fixerai ca

      pour mon av: je n'ai plus antivir, je l'ai desinstalle et remplace par une version d'evaluation de fsecure (antivir me bombardait de messages a cause des trojans)

      sinon, a part wininet infecte, mon pc tourne comme il faut,
      je n'utilise plus IE (je crois que la page de demarrage est tjrs bloquee sur About:blank) mais firefox

      merci pr tes messages et ta disponibilite, ca fait vraiment plaisir d'avoir un ptit "suivi"! dommage que mon stage m'empeche d'etre connecte tt le tmps..
      à+
      0
    2. siloo
       
      (re)salut

      j'ai fait un scan avec fsecure pr voir,
      rien de nouveau, wininet detecte mais pas repare, c'est tout

      et j'avais oublie de te dire
      mon firewall zone alarm me signale regulierement que le prog
      Generic Host Process for Win32 Services tente d'acceder a internet, il me semble pas en avoir entendu parler avant la venue de smitfraud,
      y a t il un lien ?

      excuse moi mais je px pas rester, je dois repartir pr l'instant..
      je te dis si il y a du nouveau

      a bientot, merci pr ton soutien!
      0
  7. Utilisateur anonyme
     
    salut siloo

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    clic sur ok pour valider

    dis moi si ces fichiers sont présents:

    C:\Windows\uninstIU.exe
    C:\Windows\System32\oleadm.dll
    C:\Windows\System32\OLEADM32.DLL
    C:\program files\PsGuard
    mais n'y touche pas pour l'instant

    ensuite ouvre l'editeur du registre:
    demarrer > executer tape regedit

    rend toi a l'aide du signe + sur cette clé

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\clic sur Session Manager

    dans la fenetre de droite dis moi si tu vois:
    PendingFileRenameOperations
    et
    AllowProtectedRenames

    a+
    0
    1. siloo Messages postés 31 Statut Membre
       
      salut Moe31

      j'ai suivi ta procedure et j'ai regarde comme tu me l'as conseille:

      C:\Windows\uninstIU.exe NON
      C:\Windows\System32\oleadm.dll OUI
      C:\Windows\System32\OLEADM32.DLL OUI
      C:\program files\PsGuard NON

      dans ma base de registre, à Session Manager:

      j'ai PendingFileRenameOperations
      type:
      REG_MULTI_SZ
      données:
      \??\C:\WINNT\SYSTEM32\WININET.DLL.$DIS!\??\C:\WINNT\SYSTEM32\WININET.DLL

      mais pas
      AllowProtectedRenames

      voila, merci pour ton aide!

      ah ce wininet, je le connaissais pas avant mais alors la, il est devenu celebre!
      à+
      0
  8. Utilisateur anonyme
     
    salut siloo

    oui, c'est un vrai casse tete

    recherche et fais scanner ce fichier ici:
    http://www.kaspersky.com/scanforvirus
    C:\WINNT\SYSTEM32\WININET.DLL.$DIS!

    je peux pas rester + pour ce soir, je repasse demain
    poste le resultat du scan

    a+ pour la suite
    0
    1. siloo Messages postés 31 Statut Membre
       
      bonsoir

      je rentre de chez Kaspersky, voila le resultat:

      Scanned file: WININET.DLL.$DIS
      WININET.DLL.$DIS - OK
      Statistics:
      Known viruses: 135013 Updated: 23-06-2005
      File size (Kb): 583 Virus bodies: 0
      Files: 1 Warnings: 0
      Archives: 0 Suspicious: 0

      "you're clean" dixit Kasp.

      j'essaierai d'etre la demain entre midi et deux
      ou sinon en soiree
      bonne nuit a toi et encore merci

      j'espere que je vais pas rever de wininet...
      0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    moe si j ai bien compris celle la est mauvaise
    OLEADM32.DLL
    0
    1. siloo Messages postés 31 Statut Membre
       
      salut balltrap

      j'ai verifie dans c:
      je vois que oleadm mais en .OLL !
      et plus de OLEADM32.DLL

      j'ai du me tromper, pardon

      por les av en ligne, j'ai aussi essaye panda et rav
      mais tous les 2 ne detecte rien de bizarre dans le wininet.dll.$DIS

      c'est quoi ces ole.. truc??
      merci a toi
      0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    chez panda fait un scan complet du pc pas juste le fichier
    ou chez bit defender en cliquant sur auto clean
    http://www.pandasoftware.com/activescan/
    0
    1. siloo Messages postés 31 Statut Membre
       
      ah ok
      pardon
      j'y retourne

      merci
      0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pas grave
    0
    1. siloo Messages postés 31 Statut Membre
       
      j'espere que ca se finira bien cette histoire!
      en tout cas merci pour etre encore dispo a cette heure!
      0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tient nous au courant
    a++
    0
    1. siloo Messages postés 31 Statut Membre
       
      d'accord, sans probleme
      à+
      0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    0
  14. siloo Messages postés 31 Statut Membre
     
    salut a tous

    les av en ligne n'ont rien trouve sur mon pc:
    kaspersky, bit defender

    moe: j'ai regarde un autre message a propos de desktophijack,
    j'ai cru comprendre que c'est smitfraud qui a pirate mon wininet.dll pour en faire le oleadm.oll
    ..il faudra que je detruise ce oleadm avec killbox non?

    et pr wininet,
    ou je le remplace (coment exactement?)
    ou je suis la procedure de symantec que tu as indiquee hier soir (j'ai recupere le lien)

    je vais voir, en attendant, IE n'est plus bloque sur About:blank au demarrage, tt a l'air de fonctionner correctement sur mon pc (a part fsecure qui ne pt pas reparer wininet)
    à+
    0
  15. siloo Messages postés 31 Statut Membre
     
    hello

    je vois que bonehead38 a eu le meme smitfraud et a reussi a remplace son wininet infecte par un autre tt neuf sur http://www.lesdll.com
    j'avais vu ce site y a 2 jours, mais je me demandais si c'etait pas un peu simple.. tous les wininet sont equivalents alors ??

    qqu'un a un avis sur cette manip ?
    merci
    0
  16. siloo Messages postés 31 Statut Membre
     
    salu a tous

    la suite de mon probleme avec wininet infecté:

    j'ai encore le "oleadm.dll" que je virerai avec killbox

    vu ce qu' a fait Scouby, le fait de renommer le wininet infecte en wininet2 et d'en remettre un sain a la place , ca marche.

    apres on pt se debarrasser du vieux avec killbox su j'ai bien compris

    il faut aussi verifier dans le registre qu'il en reste pas c'est ca ?
    c'est bon comme methode, je px y aller?

    merci de votre aide, à bientot
    0
  17. Utilisateur anonyme
     
    salut

    tu peux supprimer oleadm.dll avec killbox

    une fois fait, regarde dans les options de ton av, s'il est parametré pour essayer de reparer en cas d'infection.
    relance son scan, car pour beaucoups apres avoir supprimé oleadm.dll, l'av a été cpable de reparer.

    sinon:

    en mode sans echecs:
    Va dans C:\windows\system32 et clic droit sur wininet.dll > propriété > version
    note la version du fichier.
    Maintenant, renomme wininet.dll en wininet2.dll(mais ne la supprime pas, on sait jamais...)

    Ensuite, demarrer > rechercher
    lance une recherche sur wininet.dll

    Tu devrais normallement trouver des sauvegardes de ce fichier dans plusieurs dossiers.
    il ne te reste plus, qu'a trouver celui qui a la meme version et de le copier (clic droit > copier) et coller dans C:\windows\system32

    redemarre normallement
    0
  18. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut moe31, siloo, balltrap34

    Il faut faire attention avec les versions de wininet.dll .
    Normalement celle du cache est la bonne.

    La dernière version du fichier wininet.dll est la 6.0.2900.2668 du 2 mai 2005 installée avec le correctif MS05-025 (Mise à jour de sécurité cumulative pour Internet Explorer) ici: http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx
    0
  19. Utilisateur anonyme
     
    salut S!Ri

    tu as tout à fais raison, et c'est pour ca que je precise de verifier et remplacer par un fichier de meme version, qu'on trouve generalement dans C:\WINDOWS\system32\dllcache

    a+
    0
  20. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    're

    oui, jai lu trop rapidement ton post, j'suis passé à coté du détail de la version.. mea culpa, mais il fait chaud. ;-)

    Le lien du correctif reste bon.

    A+
    0
  21. siloo Messages postés 31 Statut Membre
     
    salut

    moe31 et Z!RI: merci pour vos conseils, je vais d'abord m'occuper de oleadm, voir si fsecure peut alors reparer wininet et sinon je recuperai une version ok dans le cache

    merci bcp pour vos eclairages, je vous dirai si ca a marche pour moi
    ..et je pourrai dire adieu aux souvenirs de smitfraud!

    a bientot
    0
  • 1
  • 2