Probleme trojans
Résolu
siloo
Messages postés
31
Statut
Membre
-
siloo Messages postés 31 Statut Membre -
siloo Messages postés 31 Statut Membre -
bonjour a tous
j' ai recupere smitfraud il y a une semaine
et depuis j'ai pleins de trojans sur mon poste (Windows 2000)
j'ai reussi a enlever le fond bleu sur le bureau et les favoris surprise mais mon nouvel antivirus F Secure (a jour) detecte de nbx trojan sans pouvoir les detruire. avant j'avais antivir mais il pouvait pas detruire les trojans.
j'ai deja utilise plusieurs av en ligne (bit defender, panda, rav),
j'ai lance des scans avec spybot mais rien.. ad aware je l'ai plus, il etait pas compatible avec fSecure.
apparemment, il faut que je poste mon HJT log pour que qq'un puisse me dire s'il pt m'aider !
alors voilà mon log, si qq'un a une idee, je sais plus moi..
merci!
voila ce que F-Secure a détecté :
C:\WINNT\System32\HHK.dll
C:\WINNT\System32\wininet.dll
C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmon.exe
C:\WINNT\System32\msmsgs.exe
Logfile of HijackThis v1.99.1
Scan saved at 19:20:29, on 22/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.254 130.244.127.161
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
j' ai recupere smitfraud il y a une semaine
et depuis j'ai pleins de trojans sur mon poste (Windows 2000)
j'ai reussi a enlever le fond bleu sur le bureau et les favoris surprise mais mon nouvel antivirus F Secure (a jour) detecte de nbx trojan sans pouvoir les detruire. avant j'avais antivir mais il pouvait pas detruire les trojans.
j'ai deja utilise plusieurs av en ligne (bit defender, panda, rav),
j'ai lance des scans avec spybot mais rien.. ad aware je l'ai plus, il etait pas compatible avec fSecure.
apparemment, il faut que je poste mon HJT log pour que qq'un puisse me dire s'il pt m'aider !
alors voilà mon log, si qq'un a une idee, je sais plus moi..
merci!
voila ce que F-Secure a détecté :
C:\WINNT\System32\HHK.dll
C:\WINNT\System32\wininet.dll
C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmon.exe
C:\WINNT\System32\msmsgs.exe
Logfile of HijackThis v1.99.1
Scan saved at 19:20:29, on 22/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.254 130.244.127.161
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
26 réponses
salut,
pas de trace de ce que F secure t'a indiqué..?? supprimer??
dans ces situations, tu peux utiliser la manip de base, à savoir:
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis sur
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
CleanUp312.exe
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail (pas dispo je crois sous win 2000)
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot (anti spy)
puis a2 free (anti trojan)
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
pas de trace de ce que F secure t'a indiqué..?? supprimer??
dans ces situations, tu peux utiliser la manip de base, à savoir:
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis sur
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
CleanUp312.exe
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail (pas dispo je crois sous win 2000)
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot (anti spy)
puis a2 free (anti trojan)
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
non non, pas d'inquiétude la dessus, un anti vir ne renomme pas des fichiers.
simplement quand tu as fini, si tu veux etre sur de ton PC, va sur le site:
http://www.ravantivirus.com/scan/
click sur "click herre
accepte les active X
et scan ton PC
colle le log en fin
A+
Jean
simplement quand tu as fini, si tu veux etre sur de ton PC, va sur le site:
http://www.ravantivirus.com/scan/
click sur "click herre
accepte les active X
et scan ton PC
colle le log en fin
A+
Jean
voila
j'ai tt fait
ad aware a enleve 2 clés de registres, spybot 59 "backweb lite" sf un car il etait actif (..), a squared n'a rien trouve.
ca fait du bien de virer deja ca
j'ai redemarre en mode normal et fsecure a detecté C:\WINNT\System32\wininet.dll (infecté)
mais n'a pas pu le reparer.
et le log de rav:
Scan started at 22/06/2005 22:35:09
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
Scanned
============================
Objects: 17076
Directories: 1390
Archives: 699
Size(Kb): -183288
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 54
c'est grave pour wininet ??
comme il se fait tard, je crois que je reviendrai demain..
merci pour ton aide, bonne nuit !
j'ai tt fait
ad aware a enleve 2 clés de registres, spybot 59 "backweb lite" sf un car il etait actif (..), a squared n'a rien trouve.
ca fait du bien de virer deja ca
j'ai redemarre en mode normal et fsecure a detecté C:\WINNT\System32\wininet.dll (infecté)
mais n'a pas pu le reparer.
et le log de rav:
Scan started at 22/06/2005 22:35:09
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
Scanned
============================
Objects: 17076
Directories: 1390
Archives: 699
Size(Kb): -183288
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 54
c'est grave pour wininet ??
comme il se fait tard, je crois que je reviendrai demain..
merci pour ton aide, bonne nuit !
salut,
pour wininet oui, il y a des sujets dessu en ce moment suis les !
pour le fichhier detecter par rav, n y touche pas
remet un log hijack this
a+
pour wininet oui, il y a des sujets dessu en ce moment suis les !
pour le fichhier detecter par rav, n y touche pas
remet un log hijack this
a+
salu regis
alors j'ai regarde, wininet a l'air d'etre l'une des cibles du smitfraud que j'avais y a une semaine
..on dirait que certains tentent de reparer le fichier en prenant le meme sur un autre poste ??
et voici les nouvelles du moment :
Logfile of HijackThis v1.99.1
Scan saved at 12:06:54, on 23/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.242 130.244.127.169
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
ca a l'air correct non?
alors j'ai regarde, wininet a l'air d'etre l'une des cibles du smitfraud que j'avais y a une semaine
..on dirait que certains tentent de reparer le fichier en prenant le meme sur un autre poste ??
et voici les nouvelles du moment :
Logfile of HijackThis v1.99.1
Scan saved at 12:06:54, on 23/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D68CB6AD-E088-4EFC-AFC8-9A0054871C25}: NameServer = 212.151.136.242 130.244.127.169
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: F-Secure product (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
ca a l'air correct non?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut, c es correct
tu peux fixer ca aussi:
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
au fait tu n as pas antivir+fsecure sur ton pc?
sinon ou en sont tes soucis?
a+
tu peux fixer ca aussi:
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpC98.tmp (file missing)
au fait tu n as pas antivir+fsecure sur ton pc?
sinon ou en sont tes soucis?
a+
salut
d'accord, des que je rentre chez moi je fixerai ca
pour mon av: je n'ai plus antivir, je l'ai desinstalle et remplace par une version d'evaluation de fsecure (antivir me bombardait de messages a cause des trojans)
sinon, a part wininet infecte, mon pc tourne comme il faut,
je n'utilise plus IE (je crois que la page de demarrage est tjrs bloquee sur About:blank) mais firefox
merci pr tes messages et ta disponibilite, ca fait vraiment plaisir d'avoir un ptit "suivi"! dommage que mon stage m'empeche d'etre connecte tt le tmps..
à+
d'accord, des que je rentre chez moi je fixerai ca
pour mon av: je n'ai plus antivir, je l'ai desinstalle et remplace par une version d'evaluation de fsecure (antivir me bombardait de messages a cause des trojans)
sinon, a part wininet infecte, mon pc tourne comme il faut,
je n'utilise plus IE (je crois que la page de demarrage est tjrs bloquee sur About:blank) mais firefox
merci pr tes messages et ta disponibilite, ca fait vraiment plaisir d'avoir un ptit "suivi"! dommage que mon stage m'empeche d'etre connecte tt le tmps..
à+
(re)salut
j'ai fait un scan avec fsecure pr voir,
rien de nouveau, wininet detecte mais pas repare, c'est tout
et j'avais oublie de te dire
mon firewall zone alarm me signale regulierement que le prog
Generic Host Process for Win32 Services tente d'acceder a internet, il me semble pas en avoir entendu parler avant la venue de smitfraud,
y a t il un lien ?
excuse moi mais je px pas rester, je dois repartir pr l'instant..
je te dis si il y a du nouveau
a bientot, merci pr ton soutien!
j'ai fait un scan avec fsecure pr voir,
rien de nouveau, wininet detecte mais pas repare, c'est tout
et j'avais oublie de te dire
mon firewall zone alarm me signale regulierement que le prog
Generic Host Process for Win32 Services tente d'acceder a internet, il me semble pas en avoir entendu parler avant la venue de smitfraud,
y a t il un lien ?
excuse moi mais je px pas rester, je dois repartir pr l'instant..
je te dis si il y a du nouveau
a bientot, merci pr ton soutien!
salut siloo
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
dis moi si ces fichiers sont présents:
C:\Windows\uninstIU.exe
C:\Windows\System32\oleadm.dll
C:\Windows\System32\OLEADM32.DLL
C:\program files\PsGuard
mais n'y touche pas pour l'instant
ensuite ouvre l'editeur du registre:
demarrer > executer tape regedit
rend toi a l'aide du signe + sur cette clé
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\clic sur Session Manager
dans la fenetre de droite dis moi si tu vois:
PendingFileRenameOperations
et
AllowProtectedRenames
a+
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
dis moi si ces fichiers sont présents:
C:\Windows\uninstIU.exe
C:\Windows\System32\oleadm.dll
C:\Windows\System32\OLEADM32.DLL
C:\program files\PsGuard
mais n'y touche pas pour l'instant
ensuite ouvre l'editeur du registre:
demarrer > executer tape regedit
rend toi a l'aide du signe + sur cette clé
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\clic sur Session Manager
dans la fenetre de droite dis moi si tu vois:
PendingFileRenameOperations
et
AllowProtectedRenames
a+
salut Moe31
j'ai suivi ta procedure et j'ai regarde comme tu me l'as conseille:
C:\Windows\uninstIU.exe NON
C:\Windows\System32\oleadm.dll OUI
C:\Windows\System32\OLEADM32.DLL OUI
C:\program files\PsGuard NON
dans ma base de registre, à Session Manager:
j'ai PendingFileRenameOperations
type:
REG_MULTI_SZ
données:
\??\C:\WINNT\SYSTEM32\WININET.DLL.$DIS!\??\C:\WINNT\SYSTEM32\WININET.DLL
mais pas
AllowProtectedRenames
voila, merci pour ton aide!
ah ce wininet, je le connaissais pas avant mais alors la, il est devenu celebre!
à+
j'ai suivi ta procedure et j'ai regarde comme tu me l'as conseille:
C:\Windows\uninstIU.exe NON
C:\Windows\System32\oleadm.dll OUI
C:\Windows\System32\OLEADM32.DLL OUI
C:\program files\PsGuard NON
dans ma base de registre, à Session Manager:
j'ai PendingFileRenameOperations
type:
REG_MULTI_SZ
données:
\??\C:\WINNT\SYSTEM32\WININET.DLL.$DIS!\??\C:\WINNT\SYSTEM32\WININET.DLL
mais pas
AllowProtectedRenames
voila, merci pour ton aide!
ah ce wininet, je le connaissais pas avant mais alors la, il est devenu celebre!
à+
salut siloo
oui, c'est un vrai casse tete
recherche et fais scanner ce fichier ici:
http://www.kaspersky.com/scanforvirus
C:\WINNT\SYSTEM32\WININET.DLL.$DIS!
je peux pas rester + pour ce soir, je repasse demain
poste le resultat du scan
a+ pour la suite
oui, c'est un vrai casse tete
recherche et fais scanner ce fichier ici:
http://www.kaspersky.com/scanforvirus
C:\WINNT\SYSTEM32\WININET.DLL.$DIS!
je peux pas rester + pour ce soir, je repasse demain
poste le resultat du scan
a+ pour la suite
bonsoir
je rentre de chez Kaspersky, voila le resultat:
Scanned file: WININET.DLL.$DIS
WININET.DLL.$DIS - OK
Statistics:
Known viruses: 135013 Updated: 23-06-2005
File size (Kb): 583 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0
"you're clean" dixit Kasp.
j'essaierai d'etre la demain entre midi et deux
ou sinon en soiree
bonne nuit a toi et encore merci
j'espere que je vais pas rever de wininet...
je rentre de chez Kaspersky, voila le resultat:
Scanned file: WININET.DLL.$DIS
WININET.DLL.$DIS - OK
Statistics:
Known viruses: 135013 Updated: 23-06-2005
File size (Kb): 583 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0
"you're clean" dixit Kasp.
j'essaierai d'etre la demain entre midi et deux
ou sinon en soiree
bonne nuit a toi et encore merci
j'espere que je vais pas rever de wininet...
moe si j ai bien compris celle la est mauvaise
OLEADM32.DLL
OLEADM32.DLL
chez panda fait un scan complet du pc pas juste le fichier
ou chez bit defender en cliquant sur auto clean
http://www.pandasoftware.com/activescan/
ou chez bit defender en cliquant sur auto clean
http://www.pandasoftware.com/activescan/
salut a tous
les av en ligne n'ont rien trouve sur mon pc:
kaspersky, bit defender
moe: j'ai regarde un autre message a propos de desktophijack,
j'ai cru comprendre que c'est smitfraud qui a pirate mon wininet.dll pour en faire le oleadm.oll
..il faudra que je detruise ce oleadm avec killbox non?
et pr wininet,
ou je le remplace (coment exactement?)
ou je suis la procedure de symantec que tu as indiquee hier soir (j'ai recupere le lien)
je vais voir, en attendant, IE n'est plus bloque sur About:blank au demarrage, tt a l'air de fonctionner correctement sur mon pc (a part fsecure qui ne pt pas reparer wininet)
à+
les av en ligne n'ont rien trouve sur mon pc:
kaspersky, bit defender
moe: j'ai regarde un autre message a propos de desktophijack,
j'ai cru comprendre que c'est smitfraud qui a pirate mon wininet.dll pour en faire le oleadm.oll
..il faudra que je detruise ce oleadm avec killbox non?
et pr wininet,
ou je le remplace (coment exactement?)
ou je suis la procedure de symantec que tu as indiquee hier soir (j'ai recupere le lien)
je vais voir, en attendant, IE n'est plus bloque sur About:blank au demarrage, tt a l'air de fonctionner correctement sur mon pc (a part fsecure qui ne pt pas reparer wininet)
à+
hello
je vois que bonehead38 a eu le meme smitfraud et a reussi a remplace son wininet infecte par un autre tt neuf sur http://www.lesdll.com
j'avais vu ce site y a 2 jours, mais je me demandais si c'etait pas un peu simple.. tous les wininet sont equivalents alors ??
qqu'un a un avis sur cette manip ?
merci
je vois que bonehead38 a eu le meme smitfraud et a reussi a remplace son wininet infecte par un autre tt neuf sur http://www.lesdll.com
j'avais vu ce site y a 2 jours, mais je me demandais si c'etait pas un peu simple.. tous les wininet sont equivalents alors ??
qqu'un a un avis sur cette manip ?
merci
salu a tous
la suite de mon probleme avec wininet infecté:
j'ai encore le "oleadm.dll" que je virerai avec killbox
vu ce qu' a fait Scouby, le fait de renommer le wininet infecte en wininet2 et d'en remettre un sain a la place , ca marche.
apres on pt se debarrasser du vieux avec killbox su j'ai bien compris
il faut aussi verifier dans le registre qu'il en reste pas c'est ca ?
c'est bon comme methode, je px y aller?
merci de votre aide, à bientot
la suite de mon probleme avec wininet infecté:
j'ai encore le "oleadm.dll" que je virerai avec killbox
vu ce qu' a fait Scouby, le fait de renommer le wininet infecte en wininet2 et d'en remettre un sain a la place , ca marche.
apres on pt se debarrasser du vieux avec killbox su j'ai bien compris
il faut aussi verifier dans le registre qu'il en reste pas c'est ca ?
c'est bon comme methode, je px y aller?
merci de votre aide, à bientot
salut
tu peux supprimer oleadm.dll avec killbox
une fois fait, regarde dans les options de ton av, s'il est parametré pour essayer de reparer en cas d'infection.
relance son scan, car pour beaucoups apres avoir supprimé oleadm.dll, l'av a été cpable de reparer.
sinon:
en mode sans echecs:
Va dans C:\windows\system32 et clic droit sur wininet.dll > propriété > version
note la version du fichier.
Maintenant, renomme wininet.dll en wininet2.dll(mais ne la supprime pas, on sait jamais...)
Ensuite, demarrer > rechercher
lance une recherche sur wininet.dll
Tu devrais normallement trouver des sauvegardes de ce fichier dans plusieurs dossiers.
il ne te reste plus, qu'a trouver celui qui a la meme version et de le copier (clic droit > copier) et coller dans C:\windows\system32
redemarre normallement
tu peux supprimer oleadm.dll avec killbox
une fois fait, regarde dans les options de ton av, s'il est parametré pour essayer de reparer en cas d'infection.
relance son scan, car pour beaucoups apres avoir supprimé oleadm.dll, l'av a été cpable de reparer.
sinon:
en mode sans echecs:
Va dans C:\windows\system32 et clic droit sur wininet.dll > propriété > version
note la version du fichier.
Maintenant, renomme wininet.dll en wininet2.dll(mais ne la supprime pas, on sait jamais...)
Ensuite, demarrer > rechercher
lance une recherche sur wininet.dll
Tu devrais normallement trouver des sauvegardes de ce fichier dans plusieurs dossiers.
il ne te reste plus, qu'a trouver celui qui a la meme version et de le copier (clic droit > copier) et coller dans C:\windows\system32
redemarre normallement
Salut moe31, siloo, balltrap34
Il faut faire attention avec les versions de wininet.dll .
Normalement celle du cache est la bonne.
La dernière version du fichier wininet.dll est la 6.0.2900.2668 du 2 mai 2005 installée avec le correctif MS05-025 (Mise à jour de sécurité cumulative pour Internet Explorer) ici: http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx
Il faut faire attention avec les versions de wininet.dll .
Normalement celle du cache est la bonne.
La dernière version du fichier wininet.dll est la 6.0.2900.2668 du 2 mai 2005 installée avec le correctif MS05-025 (Mise à jour de sécurité cumulative pour Internet Explorer) ici: http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx
salut S!Ri
tu as tout à fais raison, et c'est pour ca que je precise de verifier et remplacer par un fichier de meme version, qu'on trouve generalement dans C:\WINDOWS\system32\dllcache
a+
tu as tout à fais raison, et c'est pour ca que je precise de verifier et remplacer par un fichier de meme version, qu'on trouve generalement dans C:\WINDOWS\system32\dllcache
a+
're
oui, jai lu trop rapidement ton post, j'suis passé à coté du détail de la version.. mea culpa, mais il fait chaud. ;-)
Le lien du correctif reste bon.
A+
oui, jai lu trop rapidement ton post, j'suis passé à coté du détail de la version.. mea culpa, mais il fait chaud. ;-)
Le lien du correctif reste bon.
A+
salut
moe31 et Z!RI: merci pour vos conseils, je vais d'abord m'occuper de oleadm, voir si fsecure peut alors reparer wininet et sinon je recuperai une version ok dans le cache
merci bcp pour vos eclairages, je vous dirai si ca a marche pour moi
..et je pourrai dire adieu aux souvenirs de smitfraud!
a bientot
moe31 et Z!RI: merci pour vos conseils, je vais d'abord m'occuper de oleadm, voir si fsecure peut alors reparer wininet et sinon je recuperai une version ok dans le cache
merci bcp pour vos eclairages, je vous dirai si ca a marche pour moi
..et je pourrai dire adieu aux souvenirs de smitfraud!
a bientot
je fais tt ca, merci du conseil
peu etre que les fichiers infectes n'apparaissent plus parce que fsecure les a renommes
je te tiens au courant