Virus wininet.dll

salut?
quel est ton os?
ton antivirus?
qui te le detecte?

télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum

a+

salut,


telecharge ceci (Un grand merci à Moe, S!Ri et balltrap pour cet outil)
:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance option 1.
et poste le log.

SmitFraudFix v0.7

Rapport fait à 11:49:59,03 le 10/07/2005
Executé à partir de C:\Program Files\logiciel instalation\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

re,

alors voila ce que tu vas faire,

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis


1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) relance le prog

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

choisi l'option 2 et accepte tout.

copie le log ensuite.

5)redemarre

lance Hijack puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

A+

Jean

tu as bien fais de faire passer l'option 2 en sans echec, c'est ce que je vais faire faire aussi.

merci moe, ton patch (et de de S!Ri et de Balltrap) mais que tu as initialisé est vraiment trop top.

arrete le papier peint et developpe en d'autres....

c'est fait pour çà les vacances non.

(moi c'est mercredi fin fonds du desert donc pas d'ordi.. loes vraies vacances, le papier et le parquet c'etait l'année dernière).

a+

jean

SmitFraudFix v0.7

Rapport fait à 14:03:49,03 le 10/07/2005
Executé à partir de C:\Documents and Settings\sasa
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\uninstIU.exe supprimé
Problème suppression C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\wp.bmp supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 0C11-D12C

R‚pertoire de C:\WINDOWS\system32

24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Logfile of HijackThis v1.99.1
Scan saved at 14:06:19, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\logiciel instalation\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearchnetwork.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Pardon, le changement de nom m'a perturbé,

demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

lance hijack et fixe les lignes:

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.ch­m::/file.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

supprime les fichiers: (s'ils existent)
C:\WINDOWS\System32\xplugin.dll
C:\WINDOWS\pumba3.dll
file.exe


vide ta corbeille
redemarre

refaits un log.

jean

por moe
il me semblais que sr avait modifier de facon a pouvoir suppr la dll oleadm.dll

pour jean fait lui suppr la dll en sans echec si toujours presente
C:\WINDOWS\system32\oleadm.dll la chasse et le balltrap ma vrai passion
voir site perso dans profil

merci balltrap de ton oeil toujours présent,

pour franky,

recherche si tu as le fichier suivant:

C:\WINDOWS\system32\oleadm.dll

si oui, precise le nous mais de toute façon, supprime le en mode sans echec.

coef post precedent.

s'il n'y est plus, ou en es tu de tes fb.

jean

Salut,

A partir de la version 0.7 du fix, il faut demander à redemarrer la machine pour finir le nettoyage des fichiers:
C:\WINDOWS\system32\oleadm.dll
et C:\WINDOWS\system32\winninet.old

Ces fichiers étant chargés en mémoire, ils ne peuvent pas être supprimés au cours de la même session.
Par contre, le fix inscrit une entrée dans le registre pour les enlever au prochain reboot.

cf: la dernière ligne du rapport ci dessus.

a+

salut S!Ri,

on doit donc comprendre
Problème suppression C:\WINDOWS\system32\oleadm.dll
comme suppression au reboot??

je sais je crois bien que c'est ce que tu as dit mais je voulais etre sur que le message avait bien cette signification.

merci d'avance et pas sur la tete...lol

Salut Jean,

le fix tente une première fois de supprimer le fichier C:\WINDOWS\system32\oleadm.dll

Cette erreur est donc +/- normale car le fichier est en mémoire:
Problème suppression C:\WINDOWS\system32\oleadm.dll

Mais au redemarrage de la machine, le fichier est supprimé, signalé par cette ligne sur le rapport: (les 2 fichiers oleadm.dll et wininet.dll sont liés)
Remplacement wininet.dll (reboot necessaire)

merci S!Ri,

vraiment avec ce fix d'est du bonheur a chaque utilisation.

merci de ta reponse.
*

Merci a toi de l'utiliser. Ca nous aide aussi a l'améliorer

Moe et Balltrap m'ont bien aidé en me soumettant des clés et des noms de fichiers infectés ..
Il faudra que je regarde pour le rendre compatible avec Win98/Me pour les prochaines versions..

a+

oki salut sr il me semble que tu me l avait deja dit et j ai bufferla consigne lol

pour ceux que cela interresse un demo de rav anti virus
http://pageperso.aol.fr/balltrap34/demorav.htm la chasse et le balltrap ma vrai passion
voir site perso dans profil

Merci pour la demo Gerard, d autres sont en prevision?
Tu peux me donner la derniere version du prog de sr stp?

a+

salut regis,

les dernière version du fix ne change pas d'adresse, ainsi grace à cette adresse
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu auras tjrs la dernière.

trop top.

a+

je retrouve pas les posts de Sr et Moe qui corrige les fonds d'ecran bleu suite a smifrau.. t'as pas une info.?

Ceci que tu cherches?
Ouvre le bloc note et copie/colle ceci/

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Wallpaper"=-


Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clic sur enregistrer
-------
ou alors mieux le reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

a+