WinNt32.dll

Lili11 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Hello tout le monde.

Voilà, depuis quelque temps j'ai un problème plus qu'agaçant, et ce problème c'est WinNt32.dll.
Ca s'est fichu dans system32 (windows xp) et ça ne veut pas dégager, j'ai tout essayé, passé je ne sais combien de temps à essayer les manips que j'ai trouvé sur le net mais rien n'y a fait.
Cette saleté me ramasse plein d'autres trucs, et si j'ai le malheur de réactiver ma restauration système... Merci bitdefender quoi.

Bref, ne me demandez pas d'utiliser combofix, deux fois je l'ai fais, ça a bien supprimé la bête mais elle est revenue par la suite, de plus ce programme a modifié mes paramètres et m'a flanqué plein de dossiers bizarres à travers mon pc, dont par exemple un dossier kazaa dans la base de registres alors que je n'ai jamais utilisé ça!
Sd fix et vundofix n'y ont rien fait non plus, ça revient toujours même si la restauration est désactivée.
Alors là je sèche complètement, même unlocker n'arrive pas à le supprimer, alors le truc que j'ai trouvé, c'est de le déplacer à chaque redémarrage du pc avec MoveIt! mais j'aimerai vraiment m'en débarasser pour de bon.

Donc si quelqu'un a réussi à s'en débarasser qu'il me fasse un petit signe T_T, merci beaucoup!
Configuration: Windows XP
Opera 9.24

5 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    colle si tu as le rapport combofix que tu as fais :
    situé dans psote de travail puis
    C:\ComboFix.txt

    ________________

    scan avec
    MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    __________________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  2. Lili11
     
    Merci mais j'ai déjà fais tout ça!
    Rien n'y fait, il revient toujours T_T, malware est très bien, mais il n'arrive pas à le supprimer, même au redémarrage.

    Voici le log Hijack, je ne réutiliserai pas combofix après ce qu'il m'est arrivé avec;

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:53:24, on 19/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\sistray.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\Opera\Opera.exe
    C:\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Policies\Explorer\Run: [{320D180E-0BFA-1036-0301-060622050021}] "C:\Program Files\Fichiers communs\{320D180E-0BFA-1036-0301-060622050021}\Update.exe" mc-110-12-0000272
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{291C2003-4F61-4FEC-BDDF-C24B72C2615C}: NameServer = 213.36.80.1 213.36.80.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{291C2003-4F61-4FEC-BDDF-C24B72C2615C}: NameServer = 213.36.80.1 213.36.80.1
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    0
  3. Lili11
     
    Alors, j'ai -enfin- réussi à m'en débarasser, je vais vous expliquer, ça peut toujours servir à quelqu'un!! (le problème est donc résolu)

    _ Tout d'abord, désactiver la restaurtion système, mais ça c'est la base.
    _ Ensuite, télécharger Process XP (process explorer), cliquer dans winlogon et killer la dll winnt32.dll.
    _ Supprimer la clé de registre avec hijack.
    _ Faire un scan à cette adresse; http://support.f-secure.fr/fra/home/ols.shtml
    Il va renommer la DLL.
    _ Redémarrer l'ordi, supprimer la dll renommée, miracle, elle a enfin disparue!!! Alléluia >w<
    0
    1. mo
       
      bonjour
      j' ai un problème avec le fichier winnt32.dll, que veux dire supprimer la clé de registre avec hijack
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    cré ton propre message et colles y un rapport hijackthis et quelqu'un t'aidera
    0