Trojan sous windows 98 SE bloque au démarrage

Résolu
turbo53 Messages postés 82 Statut Membre -  
turbo53 Messages postés 82 Statut Membre -
Bonsoir,

Sous windows 98, l'ordinateur qui est un portable a bien fonctionné puis j'ai voulu le redémarrer et il me met en bleu securité warning et que voici le message affiché

"A fatal erreur in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Erreur was caused by Trojan-Spy.HIMI.Smitfraud.c
* System can not in mormal mode.
Please check you security settings
* Scan your PC with any avaliable antivirus/spyware remover program to fix the problem."

Et une boîte de dialogue explorer est à l'écran m'indiquant que ce programme va être arrêté
Explorer a causé une défaillance de page dans le module OLE32.dll à 0177:7ff21a32.

Avec cela, je ne sais pas quoi faire et j'ai essayé en mode sans échec mais pareil.
J'ai essayé en boot un antivirus (norton), mais il n'a rien détecté.
Si quelqu'un pourrais me dire ce que je peut faire sans formater car j'ai des données à récuper, je vous en remercie d'avance!

92 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Problème signalé : sous Windows 98, l’ordinateur affiche un écran bleu de sécurité avec un message d’erreur lié à Trojan-Spy et à une défaillance du module VMM et d’OLE32.dll, empêchant le démarrage normal. Plusieurs conseils préconisent de démarrer en mode sans échec, puis de nettoyer le cache et les cookies d’Internet Explorer afin d’éliminer les composants malveillants. D'autres propositions suggèrent d'utiliser HijackThis pour repérer les entrées persistantes et de supprimer les fichiers infectés listés, puis de redémarrer et d'évaluer l'évolution du système. En dernier, plusieurs préconisent de déconnecter l’ordinateur d’internet et d’extraire les données importantes sur un autre poste avant toute manipulation plus lourde.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    lol, salut jean

    non, pas ce matin.

    les peintures sont terminées, et le papier peint est en cours.

    Je suis en vacance et je prend mon temps...
    1
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut tu est connecter avec ton portable la?
    0
  3. turbo53 Messages postés 82 Statut Membre 2
     
    non, je suis avec un pc tour normal
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si meme le sans echec ne fonctione pas tu peut teneter une reparation windows qui auras pour effet de remettre peut etre la ddl en cause cela ne te feras pas perdre tes donnees mais tu devrat remettre a jour ton windows de suite
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. turbo53 Messages postés 82 Statut Membre 2
     
    comment faire pour la réparation windows?
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu met le cd de windows dans le lecteur et tu le laisse tu eteind
    et tu rallumme ton pc
    la tu suis la procedure la premiere fois tu demande l install et a la deuxiemme tu demande reparer te trompe pas
    0
  8. turbo53 Messages postés 82 Statut Membre 2
     
    je n'ai pas trouvé réparer
    0
  9. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    demarre en mode commandes (tapote f8 au démarrage de l'ordinateur, et selectionne l'avant dernière ligne si mes souvenirs sont bons)

    ensuite tu tapes:

    cd windows

    puis entrée, ensuite tape:

    dir q*.dll

    il y aura une liste de fichiers qui commencent par q et finissent par .dll.
    note la liste et poste la ici.

    a+
    0
    1. turbo53 Messages postés 82 Statut Membre 2
       
      Bonjour,
      Tu m'as très bien dépanner une fois aussi pourrais-tu m'aider pour une question que j'ai laisser sur le forum windows et qui est pour moi très importante?
      Merci beaucoup d'avance!
      0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut S!Ri
    tu en connais un rayon en ligne de commande!
    a quoi elle correspond stp
    0
  11. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    salut balltrap

    la route fut bonne ?

    la première: cd windows nous place dans le répertoire windows (a supposer que l'on soit à la racine du dur c:\)

    la deuxième affiche les fichiers dll qui commencent par Q

    En fait je cherche un fichier du type Q1569011_DISK.DLL
    mais les chiffrent sont choisit au hasard.

    une fois le fichier trouvé, on le renomme, on peut démarrer 98 et faire un nettoyage via HijackThis.

    a+
    0
    1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
       
      c est ton boulot ou c est comme nous une passion
      0
    2. S!Ri Messages postés 932 Statut Contributeur sécurité 10
       
      Une passion comme tout ceux du forum, je cherche a en faire mon boulot.
      ca viendra... ;-)
      0
    3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > S!Ri Messages postés 932 Statut Contributeur sécurité
       
      comment tu as appris tous sur les lignes de commandes et autres
      0
    4. S!Ri Messages postés 932 Statut Contributeur sécurité 10 > S!Ri Messages postés 932 Statut Contributeur sécurité
       
      les lignes de commandes...
      a force de pratiquer, y'a pas de secret et puis j'suis tombé la dessus y'a pas longtemps: http://www.ss64.com/nt/
      C'est anglais, mais ca aide bien.

      autre ? c'est a dire ?
      0
    5. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > S!Ri Messages postés 932 Statut Contributeur sécurité
       
      je parlais des reg pour le mot autre et merci
      0
  12. turbo53 Messages postés 82 Statut Membre 2
     
    je n'ai qu'un fichier
    Q219463"1 DLL
    0
  13. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    ok,
    c'est celui qui nous interesse. il n'y en a qu'un, tant mieux:

    on recommence:
    demarrage en mode commande (f8)
    puis:

    cd windows
    ren Q219463*.dll Q219463.dll

    attention, il y a un espace entre ren et Q puis un autre entre .dll et Q

    ensuite redémarre, télécharge Hijackthis et poste un rapport ici
    il faut terminer de nettoyer.

    a+
    0
  14. turbo53 Messages postés 82 Statut Membre 2
     
    Bravo, il redémarre, aussi il reste "security warning" et deux programmes dans les barres de taches qui me dit que mon pc est infecté.
    Aussi je n'ai pas Hijackthis, je dois le télécharger et couper ce PC, aussi je vais vous le poster plus tard, je suis obliger!
    Je peux peut être faire un scan avec l'antivirus avant?
    0
  15. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    oui, teste avec ton antivirus (si le virus ne l'a pas désactivé) et poste un rapport HijackThis dès que tu pourra.

    a+
    0
  16. turbo53 Messages postés 82 Statut Membre 2
     
    je viens d'avoir un trojan sur C:\WINDOWS\SYSTEM\wrdr.dll
    0
  17. turbo53 Messages postés 82 Statut Membre 2
     
    l'antivirus l'as mis en quarantaine
    0
  18. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    regarde si tu as un fichier c:\winamp.exe stp ?

    Il faut aussi supprimer c:\windows\Q219463.dll que ton antivirus ne voit pas...

    avec HijackThis, on pourra voir ou est la référence qui le chargeait automatatiquement au démarrage. certainement le fichier autoexec.bat

    a+
    0
  19. turbo53 Messages postés 82 Statut Membre 2
     
    Voici le log:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:26:59, on 09/07/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
    C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\WINDOWS\SYSTEM\MSMSGS.EXE
    C:\WINDOWS\SYSTEM\INTEL32.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
    C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
    C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
    O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
    O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
    O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
    O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
    O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
    O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
    O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
    O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
    O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
    O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
    O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
    O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing)
    0
  20. turbo53 Messages postés 82 Statut Membre 2
     
    Voici le log:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:26:59, on 09/07/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
    C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\WINDOWS\SYSTEM\MSMSGS.EXE
    C:\WINDOWS\SYSTEM\INTEL32.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
    C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
    C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
    O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
    O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
    O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
    O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
    O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
    O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
    O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
    O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
    O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
    O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
    O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
    O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing
    0
  • 1
  • 2
  • 3
  • 4
  • 5