| 10 S!Ri, le 8 jui 2005 à 22:33:23Salut balltrap
la route fut bonne ?
la première: cd windows nous place dans le répertoire windows (a supposer que l'on soit à la racine du dur c:\)
la deuxième affiche les fichiers dll qui commencent par Q
En fait je cherche un fichier du type Q1569011_DISK.DLL
mais les chiffrent sont choisit au hasard.
une fois le fichier trouvé, on le renomme, on peut démarrer 98 et faire un nettoyage via HijackThis.
a+ | C est ton boulot ou c est comme nous une passion
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 14 S!Ri, le 8 jui 2005 à 22:52:14Une passion comme tout ceux du forum, je cherche a en faire mon boulot.
ca viendra... ;-) | Comment tu as appris tous sur les lignes de commandes et autres
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 17 S!Ri, le 8 jui 2005 à 23:01:27Les lignes de commandes...
a force de pratiquer, y'a pas de secret et puis j'suis tombé la dessus y'a pas longtemps: http://www.ss64.com/nt/
C'est anglais, mais ca aide bien.
autre ? c'est a dire ? | Je parlais des reg pour le mot autre et merci
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 22 S!Ri, le 8 jui 2005 à 23:14:22 | Merci
cela est pas evident quand ont parle pas anglais et qu ont a quitter l ecole a 14 ans et cela fait plus de trente ans
je me demerde quand meme pas trop mal je me suis mis a la micro il y a que depuis a peu pres deux ans lol
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 25 S!Ri, le 8 jui 2005 à 23:25:05Deux ans seulement !! et tu dégages les virus comme ca...
Respect ! avec un grand R.
Oui, comprendre l'anglais ca ouvre de nombreuses portes.
remarque, je n'ai pas appris a l'école, mais en traduisant des chansons :-)
Qu'est ce tu penses du fix ?
c'est mon 1er batch... | Comme je t est dit non c est a moe pas grave
je suis pas tres caler en batch
mais je l est survoler pour l instant je vais l approfondir pour voir et apprendre et si je vois quelque chose a rajouter je te le dirait
et j est l impression que depuis plusieurs post certain ont un soucis
de sryle xp
peut etre a rajouter si c est une nouvelle version de smirtfraud??
la chasse et le balltrap ma vrai passion
voir site perso dans profil | Salut
oui, pas trop d'infos qui trainent sur le sujet, quelques posts mais rien de concluant pour l'instant...
a |
|
| 29 S!Ri, le 8 jui 2005 à 23:49:47Oui, je me demande d'ou peut bien venir ce problème, et quel est le process responsable de ca. C'est carrément un fichier du thème qui disparait. C'est curieux.
Je ne pense pas que c'est du au fix car il ne fait que virer les fichiers infectés et remettre les clés d'origine.
Le Fix peut encore etre perfectionné.
Moe y contribue grandement en me soumettant de nouvelles pistes.
Je pense faire un reboot à la facon du l2mfix pour supprimer les fichiers dès le démarrage.
A ce propos, je suis a chaque fois épaté quand tu utilises l2mfix. j'avoue ne rien comprendre au log de l'option 1 :-) | Salut
un test du fix en vrai sur le post de xav.
apparement wininet remplacée avec succés.
Pour le reboot facon lm2fix finalement ce serait pas mal surtout pour oleadm
a+ |
|
| 31 S!Ri, le 8 jui 2005 à 23:57:43Sur les log du post, regardez les heures.
il y a 1/4 d'heure entre les deux log. largement de quoi se faire réinfecter avec le SP1 et le Firewall de norton laisse tout passer dans son cas.
a+ | Ouila tu as surement raison sur la question horaire
pour l2mfix recherche au debut
mais apres plusieurs tentatives il s avere que tous se qui est trouver est nocif
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| Exact, j'avais pas fais attention à l'heure !!
Apparement ca a marché pour xav, avec la derniere version.
J'attend de savoir s'il a eu un prob pour supprimer manuellement oleadm.
Si c'est le cas, ce serait possible, de mettre la suppression de oleadm apres le remplacement de wininet ? | Tu as certainement raison ont ne peut la suppr quapres remise de wininet
a tenter
la chasse et le balltrap ma vrai passion
voir site perso dans profil | Apparement il n'a pu la supprimer qu'en sans echec :-(
j'arrete pour ce soir, crevé
a+ | Oki bonne nuit
je suis sur un post avec smitfraud ont vas voir?
la chasse et le balltrap ma vrai passion
voir site perso dans profil | Si c'est celui de sid, bon courage.
pas de firewall, windows pas à jours et des vers en veux tu en voilà.
je verrais ca demain
a+ |
| Pour le fix je confirme il faudrait rajouter a nouveau la suppression de oleadm.dll
apres la restauration de wininet
la a sr de jouer
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 40 S!Ri, le 9 jui 2005 à 13:42:08Salut,
Comme suggéré, j'ai ajouté la suppression de
- %system%\oeadm.dll
- %system%\wininet.old <-- le fix se contentait de renommer le fichier wininet.dll infecté.
Un redémarrage est necessaire pour supprimer ces fichiers et finir le fix proprement.
version 0.7
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Merci à moe & balltrap ;-)
a++ |
| Salut
peut tu me dire quelle commande permet au prog de dire non present dans le log
ex pour ceci
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)
merci
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| Je rajoute dit moi si je me trompe mais je n est pas vu la correction de cette clef dans le reg
Ajoute les valeurs :
"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"
À la sous-clé(sous-touche) d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| Salut balltrap
pour que le log soit plus lisible, si le processus n'existe pas il n'apparait pas dans le log.
le prog vérifie si le processus existe bien et dans ce cas ca apparait dans le log, et dans le cas contraire, rien n'apparait.
pour la clé que tu cite, il faudrait voir avec siri, et d'apres ce que j'ai pu comprendre elle est crée juste au commencement de l'infection pour pouvoir infecté wininet, et n'apparait plus apres un reboot du pc.
Donc une fois que le pc est infecté et que c'est visible dans hijack, cette entrée dans le registre n'existe déjà plus.
c'est ce que j'ai compris mais bon..
a+ |
| 44 S!Ri, le 9 jui 2005 à 14:55:57Salut
2 solutions pour
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)
soit:
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt) ELSE (echo %syspath%\helper.exe NON PRESENT !>>rapport2.txt)
else doit être entre 2 parenthèses comme ceci ) ELSE ( sur une même ligne.
Si la 1ere condition n'est pas remplie, ALORS, on fait ce qui est entre les 2emes parenthèses .
soit:
if NOT exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)
NOT est la négation -> Si le fichier N'existe PAS ....
Pour la clé:
AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager
je ne l'ai pas jugée necessaire car elle ne sert qu'une fois a renommer le fichier oleadm32.dll en wininet.dll en désactivant le SFC.
Windows place alors le wininet.dll original dans le dllcache
Mais je vais l'ajouter par sécurité, tu as raison. Merci
Dans 5-10mn la clé sera ajoutée
a++ |
| Merci pour les renseignement
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| 46 S!Ri, le 9 jui 2005 à 15:30:40Ok, c'est ajouté
+ quelques modifs suggérées par moe
Au passage,
il n'y a pas d'espace dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\...
Je crois avoir vu ca sur le fichier smitfraud2.reg que tu utilises sur ton site. Du coup les clés (si elles existent) ne sont pas supprimées car le chemin est erroné.
a++ |
| Lol bien vu
de toutes facon je me servirais du tient
des qu il est a jour passe le lien stp
merci
la chasse et le balltrap ma vrai passion
voir site perso dans profil |
| Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 16:26:59, on 09/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing |
| Bonjour à tous
j'ai exactement le même problème sur mon pc
sauf que je suis sur Windows me
Il semblerait que je n'ai pas de version
je vous écrit depuis un ordi portable.
Impossible de se dépétrer de cette fenêtre. Eplorer bloque sur OLE32.dll
on m'indique un trojan...et en plus j'ai récupéré antivirus gold.
Bref la totale.
D'autant plus pas de bol car je travaille sur mac. Et je me sers assez peu de ce pc sauf pour du p2p, par contre j'aimerais récupérer quelques fichiers.
Sur un forum une personne proposait ceci :
Re-boot le system and et appuie et ne lache pas bouton CTRL {sur certains pc ,c est F8 }jusqu a ce que le menu boot apparait.
choisis l option COMMAND PROMPT ONLY et click enter.
a partir de C:\> prompt,
ecris ceci
regsvr32 /u Q2176806_DISK.DLL
(note l'espace entre le 2 et / ,aussi entre u et la lettre Q )
click enter
redemarre system
Mais je n'ai pas vraiment accès à ce mode de boot "command prompt only"
Où puis je trouver l'endroit pour taper ces lignes de script ?
Par avance merci pour votre aide
t |
| 63 S!Ri, le 10 jui 2005 à 17:54:38Salut tomargh
dès le démarrage de ton pc, tapote la touche F8 pour selectionner le mode de démarrage.
Plusieurs modes te sont proposés. sélectionne le mode console.
et tape les commandes comme indiquées à turbo53 au post 7
Les numéros du fichiers Q2176806_DISK.DLL sont différents sur chaque système infecté... |
| Mince
je n'ai le choix que entre
boot : normal / Journal / Mode sans echec / confirmation pas a pas
Où se trouve ce fameux mode console ?
(c'est windows me) |
| 66 S!Ri, le 10 jui 2005 à 19:06:20Re'
Démarre ton ordinateur a partir du CD d'installation de Windows Millenium.
et choisi l'option : Démarrer avec prise en charge du lecteur de Cd-Rom
Puis entre:
C:
cd windows
dir q*.dll
il y aura une liste de fichiers qui commencent par q et finissent par .dll.
note la liste et poste la ici.
a+ |
|
|
|
|
|
|
|
|
|
|
Acrobat reader windows 98
