Rechercher : dans
Par :

Trojan sous windows 98 SE bloque au démarrage

Dernière réponse le 16 nov 2005 à 16:29:26 turbo53, le 8 jui 2005 à 21:29:30 
 Signaler ce message aux modérateurs

Bonsoir,

Sous windows 98, l'ordinateur qui est un portable a bien fonctionné puis j'ai voulu le redémarrer et il me met en bleu securité warning et que voici le message affiché

"A fatal erreur in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Erreur was caused by Trojan-Spy.HIMI.Smitfraud.c
* System can not in mormal mode.
Please check you security settings
* Scan your PC with any avaliable antivirus/spyware remover program to fix the problem."

Et une boîte de dialogue explorer est à l'écran m'indiquant que ce programme va être arrêté
Explorer a causé une défaillance de page dans le module OLE32.dll à 0177:7ff21a32.

Avec cela, je ne sais pas quoi faire et j'ai essayé en mode sans échec mais pareil.
J'ai essayé en boot un antivirus (norton), mais il n'a rien détecté.
Si quelqu'un pourrais me dire ce que je peut faire sans formater car j'ai des données à récuper, je vous en remercie d'avance!

Meilleures réponses pour « Trojan sous windows 98 SE bloque au démarrage » dans :
[Windows 98] Créer une disquette de démarrage VoirCréer une disquette de démarrage Fermez tous les programmes. Insérez une disquette vierge dans le lecteur. Insérez le CD d'installation W98 dans le lecteur CD. Allez dans Démarrer/Paramètres/Panneau de configuration. Cliquez sur...
[Windows 98] Installation VoirObjectif Installation complète de Windows 98 afin d'avoir un ordinateur : Il n'y a que Windows 98 Aucun programme installé Les pilotes de périphériques Dans cette installation, on suppose que Windows 98 sera installé avec les options par...
[Driver] Clés USB sous Windows 98 VoirLes clés USB sont, en général, automatiquement reconnues sous Windows 2000 et versions supérieures. Mais ce n'est pas le cas sous Windows 98 et versions inférieures. De plus en plus de constructeurs de clés USB ne fournissent plus de drivers...

2

balltrap34, le 8 jui 2005 à 21:34:14

Salut tu est connecter avec ton portable la? la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

3

turbo53, le 8 jui 2005 à 21:35:50

Non, je suis avec un pc tour normal

Répondre à turbo53

4

balltrap34, le 8 jui 2005 à 21:37:45

Si meme le sans echec ne fonctione pas tu peut teneter une reparation windows qui auras pour effet de remettre peut etre la ddl en cause cela ne te feras pas perdre tes donnees mais tu devrat remettre a jour ton windows de suite la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

5

turbo53, le 8 jui 2005 à 21:48:12

Comment faire pour la réparation windows?

Répondre à turbo53

6

balltrap34, le 8 jui 2005 à 22:06:49

Tu met le cd de windows dans le lecteur et tu le laisse tu eteind
et tu rallumme ton pc
la tu suis la procedure la premiere fois tu demande l install et a la deuxiemme tu demande reparer te trompe pas la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

7

turbo53, le 8 jui 2005 à 22:20:06

Je n'ai pas trouvé réparer

Répondre à turbo53

8

S!Ri, le 8 jui 2005 à 22:22:19

Salut,

demarre en mode commandes (tapote f8 au démarrage de l'ordinateur, et selectionne l'avant dernière ligne si mes souvenirs sont bons)

ensuite tu tapes:

cd windows

puis entrée, ensuite tape:

dir q*.dll

il y aura une liste de fichiers qui commencent par q et finissent par .dll.
note la liste et poste la ici.

a+

Répondre à S!Ri

130

 turbo53, le 16 nov 2005 à 16:29:26

Bonjour,
Tu m'as très bien dépanner une fois aussi pourrais-tu m'aider pour une question que j'ai laisser sur le forum windows et qui est pour moi très importante?
Merci beaucoup d'avance!

Répondre à turbo53

9

balltrap34, le 8 jui 2005 à 22:25:58

Salut S!Ri
tu en connais un rayon en ligne de commande!
a quoi elle correspond stp la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

10

S!Ri, le 8 jui 2005 à 22:33:23

Salut balltrap

la route fut bonne ?

la première: cd windows nous place dans le répertoire windows (a supposer que l'on soit à la racine du dur c:\)

la deuxième affiche les fichiers dll qui commencent par Q

En fait je cherche un fichier du type Q1569011_DISK.DLL
mais les chiffrent sont choisit au hasard.

une fois le fichier trouvé, on le renomme, on peut démarrer 98 et faire un nettoyage via HijackThis.

a+

Répondre à S!Ri

13

balltrap34, le 8 jui 2005 à 22:48:47

C est ton boulot ou c est comme nous une passion la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

14

S!Ri, le 8 jui 2005 à 22:52:14

Une passion comme tout ceux du forum, je cherche a en faire mon boulot.
ca viendra... ;-)

Répondre à S!Ri

15

balltrap34, le 8 jui 2005 à 22:56:40

Comment tu as appris tous sur les lignes de commandes et autres la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

17

S!Ri, le 8 jui 2005 à 23:01:27

Les lignes de commandes...
a force de pratiquer, y'a pas de secret et puis j'suis tombé la dessus y'a pas longtemps: http://www.ss64.com/nt/
C'est anglais, mais ca aide bien.

autre ? c'est a dire ?

Répondre à S!Ri

19

balltrap34, le 8 jui 2005 à 23:05:36

Je parlais des reg pour le mot autre et merci la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

22

S!Ri, le 8 jui 2005 à 23:14:22

Ha ok,
internet, google, le site Microsoft developper Network (MSDN) c'est très bien documenté.

http://www.microsoft.com/resources/documentation/Windows/200­0/server/reskit/en-us/Default.asp?url=/resources/documentati­on/Windows/2000/server/reskit/en-us/w2rkbook/regentry.asp
C'est Windows 2000, mais très très proche de XP.

Répondre à S!Ri

23

balltrap34, le 8 jui 2005 à 23:17:48

Merci
cela est pas evident quand ont parle pas anglais et qu ont a quitter l ecole a 14 ans et cela fait plus de trente ans
je me demerde quand meme pas trop mal je me suis mis a la micro il y a que depuis a peu pres deux ans lol la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

25

S!Ri, le 8 jui 2005 à 23:25:05

Deux ans seulement !! et tu dégages les virus comme ca...
Respect ! avec un grand R.

Oui, comprendre l'anglais ca ouvre de nombreuses portes.
remarque, je n'ai pas appris a l'école, mais en traduisant des chansons :-)

Qu'est ce tu penses du fix ?
c'est mon 1er batch...

Répondre à S!Ri

26

balltrap34, le 8 jui 2005 à 23:38:08

Comme je t est dit non c est a moe pas grave
je suis pas tres caler en batch
mais je l est survoler pour l instant je vais l approfondir pour voir et apprendre et si je vois quelque chose a rajouter je te le dirait
et j est l impression que depuis plusieurs post certain ont un soucis
de sryle xp
peut etre a rajouter si c est une nouvelle version de smirtfraud?? la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

27

balltrap34, le 8 jui 2005 à 23:45:55

Je rajoute sur se post
http://www.commentcamarche.net/forum/affich-1657174-besoin-d­-aide#18
le fichier intel32 a bien ete suppr par le fix et ensuite il est de nouveau dans hijack?? la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

28

moe31, le 8 jui 2005 à 23:47:11

Salut

oui, pas trop d'infos qui trainent sur le sujet, quelques posts mais rien de concluant pour l'instant...

a

Répondre à moe31

29

S!Ri, le 8 jui 2005 à 23:49:47

Oui, je me demande d'ou peut bien venir ce problème, et quel est le process responsable de ca. C'est carrément un fichier du thème qui disparait. C'est curieux.
Je ne pense pas que c'est du au fix car il ne fait que virer les fichiers infectés et remettre les clés d'origine.

Le Fix peut encore etre perfectionné.
Moe y contribue grandement en me soumettant de nouvelles pistes.

Je pense faire un reboot à la facon du l2mfix pour supprimer les fichiers dès le démarrage.

A ce propos, je suis a chaque fois épaté quand tu utilises l2mfix. j'avoue ne rien comprendre au log de l'option 1 :-)

Répondre à S!Ri

30

moe31, le 8 jui 2005 à 23:53:15

Salut

un test du fix en vrai sur le post de xav.
apparement wininet remplacée avec succés.
Pour le reboot facon lm2fix finalement ce serait pas mal surtout pour oleadm

a+

Répondre à moe31

31

S!Ri, le 8 jui 2005 à 23:57:43

Sur les log du post, regardez les heures.
il y a 1/4 d'heure entre les deux log. largement de quoi se faire réinfecter avec le SP1 et le Firewall de norton laisse tout passer dans son cas.

a+

Répondre à S!Ri

32

balltrap34, le 9 jui 2005 à 00:09:31

Ouila tu as surement raison sur la question horaire
pour l2mfix recherche au debut
mais apres plusieurs tentatives il s avere que tous se qui est trouver est nocif la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

33

moe31, le 9 jui 2005 à 00:11:33

Exact, j'avais pas fais attention à l'heure !!
Apparement ca a marché pour xav, avec la derniere version.
J'attend de savoir s'il a eu un prob pour supprimer manuellement oleadm.
Si c'est le cas, ce serait possible, de mettre la suppression de oleadm apres le remplacement de wininet ?

Répondre à moe31

34

balltrap34, le 9 jui 2005 à 00:13:08

Tu as certainement raison ont ne peut la suppr quapres remise de wininet
a tenter la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

35

moe31, le 9 jui 2005 à 00:18:12

Apparement il n'a pu la supprimer qu'en sans echec :-(

j'arrete pour ce soir, crevé

a+

Répondre à moe31

36

balltrap34, le 9 jui 2005 à 00:20:23

Oki bonne nuit
je suis sur un post avec smitfraud ont vas voir? la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

37

moe31, le 9 jui 2005 à 00:25:42

Si c'est celui de sid, bon courage.
pas de firewall, windows pas à jours et des vers en veux tu en voilà.

je verrais ca demain

a+

Répondre à moe31

38

balltrap34, le 9 jui 2005 à 00:26:09

Oki a plus la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

39

balltrap34, le 9 jui 2005 à 01:55:30

Pour le fix je confirme il faudrait rajouter a nouveau la suppression de oleadm.dll
apres la restauration de wininet
la a sr de jouer la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

40

S!Ri, le 9 jui 2005 à 13:42:08

Salut,

Comme suggéré, j'ai ajouté la suppression de
- %system%\oeadm.dll
- %system%\wininet.old <-- le fix se contentait de renommer le fichier wininet.dll infecté.

Un redémarrage est necessaire pour supprimer ces fichiers et finir le fix proprement.

version 0.7
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Merci à moe & balltrap ;-)
a++

Répondre à S!Ri

41

balltrap34, le 9 jui 2005 à 14:23:09

Salut
peut tu me dire quelle commande permet au prog de dire non present dans le log
ex pour ceci
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

merci la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

42

balltrap34, le 9 jui 2005 à 14:39:23

Je rajoute dit moi si je me trompe mais je n est pas vu la correction de cette clef dans le reg
Ajoute les valeurs :

"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"

À la sous-clé(sous-touche) d'enregistrement :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

43

moe31, le 9 jui 2005 à 14:53:33

Salut balltrap

pour que le log soit plus lisible, si le processus n'existe pas il n'apparait pas dans le log.
le prog vérifie si le processus existe bien et dans ce cas ca apparait dans le log, et dans le cas contraire, rien n'apparait.
pour la clé que tu cite, il faudrait voir avec siri, et d'apres ce que j'ai pu comprendre elle est crée juste au commencement de l'infection pour pouvoir infecté wininet, et n'apparait plus apres un reboot du pc.
Donc une fois que le pc est infecté et que c'est visible dans hijack, cette entrée dans le registre n'existe déjà plus.
c'est ce que j'ai compris mais bon..

a+

Répondre à moe31

44

S!Ri, le 9 jui 2005 à 14:55:57

Salut

2 solutions pour
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

soit:

if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt) ELSE (echo %syspath%\helper.exe NON PRESENT !>>rapport2.txt)

else doit être entre 2 parenthèses comme ceci ) ELSE ( sur une même ligne.
Si la 1ere condition n'est pas remplie, ALORS, on fait ce qui est entre les 2emes parenthèses .

soit:

if NOT exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

NOT est la négation -> Si le fichier N'existe PAS ....


Pour la clé:

AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager

je ne l'ai pas jugée necessaire car elle ne sert qu'une fois a renommer le fichier oleadm32.dll en wininet.dll en désactivant le SFC.
Windows place alors le wininet.dll original dans le dllcache
Mais je vais l'ajouter par sécurité, tu as raison. Merci

Dans 5-10mn la clé sera ajoutée
a++

Répondre à S!Ri

45

balltrap34, le 9 jui 2005 à 15:00:17

Merci pour les renseignement la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

46

S!Ri, le 9 jui 2005 à 15:30:40

Ok, c'est ajouté
+ quelques modifs suggérées par moe

Au passage,
il n'y a pas d'espace dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\...
Je crois avoir vu ca sur le fichier smitfraud2.reg que tu utilises sur ton site. Du coup les clés (si elles existent) ne sont pas supprimées car le chemin est erroné.

a++

Répondre à S!Ri

47

balltrap34, le 9 jui 2005 à 15:36:07

Lol bien vu
de toutes facon je me servirais du tient
des qu il est a jour passe le lien stp
merci la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

48

S!Ri, le 9 jui 2005 à 16:10:44

On s'est mis d'accord avec moe:
Toujours le même lien:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Ainsi ce sera toujours la dernière version en ligne

Répondre à S!Ri

50

turbo53, le 10 jui 2005 à 11:03:20

Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 16:26:59, on 09/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing

Répondre à turbo53

62

tomargh, le 10 jui 2005 à 17:34:42

Bonjour à tous
j'ai exactement le même problème sur mon pc
sauf que je suis sur Windows me
Il semblerait que je n'ai pas de version

je vous écrit depuis un ordi portable.

Impossible de se dépétrer de cette fenêtre. Eplorer bloque sur OLE32.dll
on m'indique un trojan...et en plus j'ai récupéré antivirus gold.
Bref la totale.

D'autant plus pas de bol car je travaille sur mac. Et je me sers assez peu de ce pc sauf pour du p2p, par contre j'aimerais récupérer quelques fichiers.

Sur un forum une personne proposait ceci :

Re-boot le system and et appuie et ne lache pas bouton CTRL {sur certains pc ,c est F8 }jusqu a ce que le menu boot apparait.

choisis l option COMMAND PROMPT ONLY et click enter.

a partir de C:\> prompt,
ecris ceci

regsvr32 /u Q2176806_DISK.DLL


(note l'espace entre le 2 et / ,aussi entre u et la lettre Q )

click enter


redemarre system



Mais je n'ai pas vraiment accès à ce mode de boot "command prompt only"
Où puis je trouver l'endroit pour taper ces lignes de script ?

Par avance merci pour votre aide
t

Répondre à tomargh

63

S!Ri, le 10 jui 2005 à 17:54:38

Salut tomargh

dès le démarrage de ton pc, tapote la touche F8 pour selectionner le mode de démarrage.
Plusieurs modes te sont proposés. sélectionne le mode console.

et tape les commandes comme indiquées à turbo53 au post 7
Les numéros du fichiers Q2176806_DISK.DLL sont différents sur chaque système infecté...

Répondre à S!Ri

64

tomargh, le 10 jui 2005 à 18:02:40

Mince
je n'ai le choix que entre
boot : normal / Journal / Mode sans echec / confirmation pas a pas

Où se trouve ce fameux mode console ?
(c'est windows me)

Répondre à tomargh

66

S!Ri, le 10 jui 2005 à 19:06:20

Re'

Démarre ton ordinateur a partir du CD d'installation de Windows Millenium.
et choisi l'option : Démarrer avec prise en charge du lecteur de Cd-Rom

Puis entre:

C:
cd windows
dir q*.dll

il y aura une liste de fichiers qui commencent par q et finissent par .dll.
note la liste et poste la ici.

a+

Répondre à S!Ri

67

turbo53, le 10 jui 2005 à 19:14:07

Bonsoir,
As-tu trouver une solution pour mon windows 98?

Répondre à turbo53

11

turbo53, le 8 jui 2005 à 22:35:23

Je n'ai qu'un fichier
Q219463"1 DLL

Répondre à turbo53

12

S!Ri, le 8 jui 2005 à 22:41:20

Ok,
c'est celui qui nous interesse. il n'y en a qu'un, tant mieux:

on recommence:
demarrage en mode commande (f8)
puis:

cd windows
ren Q219463*.dll Q219463.dll

attention, il y a un espace entre ren et Q puis un autre entre .dll et Q

ensuite redémarre, télécharge Hijackthis et poste un rapport ici
il faut terminer de nettoyer.

a+

Répondre à S!Ri

16

turbo53, le 8 jui 2005 à 22:59:22

Bravo, il redémarre, aussi il reste "security warning" et deux programmes dans les barres de taches qui me dit que mon pc est infecté.
Aussi je n'ai pas Hijackthis, je dois le télécharger et couper ce PC, aussi je vais vous le poster plus tard, je suis obliger!
Je peux peut être faire un scan avec l'antivirus avant?

Répondre à turbo53

18

S!Ri, le 8 jui 2005 à 23:03:25

Oui, teste avec ton antivirus (si le virus ne l'a pas désactivé) et poste un rapport HijackThis dès que tu pourra.

a+

Répondre à S!Ri

20

turbo53, le 8 jui 2005 à 23:08:15

Je viens d'avoir un trojan sur C:\WINDOWS\SYSTEM\wrdr.dll

Répondre à turbo53

21

turbo53, le 8 jui 2005 à 23:09:53

L'antivirus l'as mis en quarantaine

Répondre à turbo53

24

S!Ri, le 8 jui 2005 à 23:19:01

Regarde si tu as un fichier c:\winamp.exe stp ?

Il faut aussi supprimer c:\windows\Q219463.dll que ton antivirus ne voit pas...

avec HijackThis, on pourra voir ou est la référence qui le chargeait automatatiquement au démarrage. certainement le fichier autoexec.bat

a+

Répondre à S!Ri

49

turbo53, le 9 jui 2005 à 16:31:50

Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 16:26:59, on 09/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing)

Répondre à turbo53

51

turbo53, le 10 jui 2005 à 11:03:49

Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 16:26:59, on 09/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing

Répondre à turbo53

52

moe31, le 10 jui 2005 à 11:27:10

Salut turbo53

telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le et choisis l'option 1 (rechercher)
et poste le rapport.

a+

Répondre à moe31