Trojan sous windows 98 SE bloque au démarrage [Résolu]

comment tu as appris tous sur les lignes de commandes et autres

les lignes de commandes...
a force de pratiquer, y'a pas de secret et puis j'suis tombé la dessus y'a pas longtemps: http://www.ss64.com/nt/
C'est anglais, mais ca aide bien.

autre ? c'est a dire ?

je parlais des reg pour le mot autre et merci

ha ok,
internet, google, le site Microsoft developper Network (MSDN) c'est très bien documenté.

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/w2rkbook/regentry.asp
C'est Windows 2000, mais très très proche de XP.

merci
cela est pas evident quand ont parle pas anglais et qu ont a quitter l ecole a 14 ans et cela fait plus de trente ans
je me demerde quand meme pas trop mal je me suis mis a la micro il y a que depuis a peu pres deux ans lol

Deux ans seulement !! et tu dégages les virus comme ca...
Respect ! avec un grand R.

Oui, comprendre l'anglais ca ouvre de nombreuses portes.
remarque, je n'ai pas appris a l'école, mais en traduisant des chansons :-)

Qu'est ce tu penses du fix ?
c'est mon 1er batch...

comme je t est dit non c est a moe pas grave
je suis pas tres caler en batch
mais je l est survoler pour l instant je vais l approfondir pour voir et apprendre et si je vois quelque chose a rajouter je te le dirait
et j est l impression que depuis plusieurs post certain ont un soucis
de sryle xp
peut etre a rajouter si c est une nouvelle version de smirtfraud??

je rajoute sur se post
http://www.commentcamarche.net/forum/affich-1657174-besoin-d-aide#18
le fichier intel32 a bien ete suppr par le fix et ensuite il est de nouveau dans hijack??

salut

oui, pas trop d'infos qui trainent sur le sujet, quelques posts mais rien de concluant pour l'instant...

a

Oui, je me demande d'ou peut bien venir ce problème, et quel est le process responsable de ca. C'est carrément un fichier du thème qui disparait. C'est curieux.
Je ne pense pas que c'est du au fix car il ne fait que virer les fichiers infectés et remettre les clés d'origine.

Le Fix peut encore etre perfectionné.
Moe y contribue grandement en me soumettant de nouvelles pistes.

Je pense faire un reboot à la facon du l2mfix pour supprimer les fichiers dès le démarrage.

A ce propos, je suis a chaque fois épaté quand tu utilises l2mfix. j'avoue ne rien comprendre au log de l'option 1 :-)

salut

un test du fix en vrai sur le post de xav.
apparement wininet remplacée avec succés.
Pour le reboot facon lm2fix finalement ce serait pas mal surtout pour oleadm

a+

Sur les log du post, regardez les heures.
il y a 1/4 d'heure entre les deux log. largement de quoi se faire réinfecter avec le SP1 et le Firewall de norton laisse tout passer dans son cas.

a+

ouila tu as surement raison sur la question horaire
pour l2mfix recherche au debut
mais apres plusieurs tentatives il s avere que tous se qui est trouver est nocif

exact, j'avais pas fais attention à l'heure !!
Apparement ca a marché pour xav, avec la derniere version.
J'attend de savoir s'il a eu un prob pour supprimer manuellement oleadm.
Si c'est le cas, ce serait possible, de mettre la suppression de oleadm apres le remplacement de wininet ?

tu as certainement raison ont ne peut la suppr quapres remise de wininet
a tenter

apparement il n'a pu la supprimer qu'en sans echec :-(

j'arrete pour ce soir, crevé

a+

oki bonne nuit
je suis sur un post avec smitfraud ont vas voir?

si c'est celui de sid, bon courage.
pas de firewall, windows pas à jours et des vers en veux tu en voilà.

je verrais ca demain

a+

oki a plus

pour le fix je confirme il faudrait rajouter a nouveau la suppression de oleadm.dll
apres la restauration de wininet
la a sr de jouer

Salut,

Comme suggéré, j'ai ajouté la suppression de
- %system%\oeadm.dll
- %system%\wininet.old <-- le fix se contentait de renommer le fichier wininet.dll infecté.

Un redémarrage est necessaire pour supprimer ces fichiers et finir le fix proprement.

version 0.7
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Merci à moe & balltrap ;-)
a++

salut
peut tu me dire quelle commande permet au prog de dire non present dans le log
ex pour ceci
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

merci

je rajoute dit moi si je me trompe mais je n est pas vu la correction de cette clef dans le reg
Ajoute les valeurs :

"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"

À la sous-clé(sous-touche) d'enregistrement :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager

salut balltrap

pour que le log soit plus lisible, si le processus n'existe pas il n'apparait pas dans le log.
le prog vérifie si le processus existe bien et dans ce cas ca apparait dans le log, et dans le cas contraire, rien n'apparait.
pour la clé que tu cite, il faudrait voir avec siri, et d'apres ce que j'ai pu comprendre elle est crée juste au commencement de l'infection pour pouvoir infecté wininet, et n'apparait plus apres un reboot du pc.
Donc une fois que le pc est infecté et que c'est visible dans hijack, cette entrée dans le registre n'existe déjà plus.
c'est ce que j'ai compris mais bon..

a+

Salut

2 solutions pour
if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

soit:

if exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt) ELSE (echo %syspath%\helper.exe NON PRESENT !>>rapport2.txt)

else doit être entre 2 parenthèses comme ceci ) ELSE ( sur une même ligne.
Si la 1ere condition n'est pas remplie, ALORS, on fait ce qui est entre les 2emes parenthèses .

soit:

if NOT exist helper.exe (echo %syspath%\helper.exe PRESENT !>>rapport2.txt)

NOT est la négation -> Si le fichier N'existe PAS ....


Pour la clé:

AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll! \ ? ? \ %System %\wininet.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\Session Manager

je ne l'ai pas jugée necessaire car elle ne sert qu'une fois a renommer le fichier oleadm32.dll en wininet.dll en désactivant le SFC.
Windows place alors le wininet.dll original dans le dllcache
Mais je vais l'ajouter par sécurité, tu as raison. Merci

Dans 5-10mn la clé sera ajoutée
a++

merci pour les renseignement

Ok, c'est ajouté
+ quelques modifs suggérées par moe

Au passage,
il n'y a pas d'espace dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\...
Je crois avoir vu ca sur le fichier smitfraud2.reg que tu utilises sur ton site. Du coup les clés (si elles existent) ne sont pas supprimées car le chemin est erroné.

a++

lol bien vu
de toutes facon je me servirais du tient
des qu il est a jour passe le lien stp
merci

On s'est mis d'accord avec moe:
Toujours le même lien:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Ainsi ce sera toujours la dernière version en ligne

Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 16:26:59, on 09/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\OPENOFFICE.ORG1.1.3\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMES TéLéCHARGéS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\PROGRAM FILES\SECURITY IGUARD\SECURITY IGUARD.EXE
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {83E61980-B570-11D9-823E-000103888F79} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\Q253006_DISK.DLL (file missing

Bonjour à tous
j'ai exactement le même problème sur mon pc
sauf que je suis sur Windows me
Il semblerait que je n'ai pas de version

je vous écrit depuis un ordi portable.

Impossible de se dépétrer de cette fenêtre. Eplorer bloque sur OLE32.dll
on m'indique un trojan...et en plus j'ai récupéré antivirus gold.
Bref la totale.

D'autant plus pas de bol car je travaille sur mac. Et je me sers assez peu de ce pc sauf pour du p2p, par contre j'aimerais récupérer quelques fichiers.

Sur un forum une personne proposait ceci :

Re-boot le system and et appuie et ne lache pas bouton CTRL {sur certains pc ,c est F8 }jusqu a ce que le menu boot apparait.

choisis l option COMMAND PROMPT ONLY et click enter.

a partir de C:\> prompt,
ecris ceci

regsvr32 /u Q2176806_DISK.DLL


(note l'espace entre le 2 et / ,aussi entre u et la lettre Q )

click enter


redemarre system



Mais je n'ai pas vraiment accès à ce mode de boot "command prompt only"
Où puis je trouver l'endroit pour taper ces lignes de script ?

Par avance merci pour votre aide
t

Salut tomargh

dès le démarrage de ton pc, tapote la touche F8 pour selectionner le mode de démarrage.
Plusieurs modes te sont proposés. sélectionne le mode console.

et tape les commandes comme indiquées à turbo53 au post 7
Les numéros du fichiers Q2176806_DISK.DLL sont différents sur chaque système infecté...

mince
je n'ai le choix que entre
boot : normal / Journal / Mode sans echec / confirmation pas a pas

Où se trouve ce fameux mode console ?
(c'est windows me)

re'

Démarre ton ordinateur a partir du CD d'installation de Windows Millenium.
et choisi l'option : Démarrer avec prise en charge du lecteur de Cd-Rom

Puis entre:

C:
cd windows
dir q*.dll

il y aura une liste de fichiers qui commencent par q et finissent par .dll.
note la liste et poste la ici.

a+

Bonsoir,
As-tu trouver une solution pour mon windows 98?