Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

rapport hijackthis!!ldu mal avec le tutorial donc

bilatche

Par bilatche
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonsoir c'est Vundo:

 

Imprime ces instructions pour les utiliser en mode sans échec

 

Télécharge VundoFix.exe sur le bureau:

http://www.atribune.org/downloads/VundoFix.exe

* Cla va créer un dossier VundoFix sur le bureau.

* Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

* En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat

* Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça:

 

 

VundoFix V2.1 by Atri

      By pressing enter you agree that you are using this at your own risk

      Please seek assistance at one of the following forums:

      http://www.atribune.org/forums

      http://www.247fixes.com/forums

      http://www.geekstogo.com/forum

      http://forums.net-integration.net

* A ce moment appuie sur Entrée.

* Ensuite tu verras:

 

Type in the filepath as instructed by the forum staff

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

* A ce moment entre exactement le chemin complet du fichier suivant

o C:\WINDOWS\Cursors\winnet.dll

* Valide puis apuie sur F6, puis entrée pour continuer le fix.

* Lance Hijackthis en gardant le fix ouvert.

* Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

o O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\Cursors\winnet.dll

 

O20 - Winlogon Notify: winnet - C:\WINDOWS\Cursors\winnet.dll

* Après avoir fixé ces items items, feerme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

* En appuyant sur une touche provoque "Blue Screen of Death" c'est normal, ne t'en fais pas!

* Après le redémarrage, suis les instructions ci-dessous.

 

Fais un scan ligne ici:

http://www.pandasoftware.com/products/activescan.htm

 

Copy les résultats du scan avec un nouveau rapport HijackThis.

 

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Pense à faire les mises à jour critiques et de sécurité via Windows Update

Lien vers le commentaire
Partager sur d’autres sites

bilatche Member

bilatche

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai passé ewido,ca m'a détecté le problème ,je l'ai supprimé mais en relancant hijackthis,ce dernier me le détecte toujours!!

 

voici le rapport ewido

 

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 20:55:20, 13/09/2005

+ Somme de contrôle: DBA66E2C

 

+ Résultats du scan:

 

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et [email protected][1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et [email protected][1].txt -> Spyware.Cookie.Clickhype : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et [email protected][1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@burstnet[1].txt -> Spyware.Cookie.Burstnet : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@casalemedia[1].txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@overture[1].txt -> Spyware.Cookie.Overture : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et [email protected][2].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et bilatche@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Cookies\steph et [email protected][2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Local Settings\Temporary Internet Files\Content.IE5\U0NDH8Y0\mm[2].js -> Spyware.Chitika : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Mes documents\Utilitaires\backups\backup-20050913-172942-839.dll -> Spyware.Virtumonde : Nettoyer et sauvegarder

C:\Documents and Settings\Steph et Bilatche\Mes documents\Utilitaires\backups\backup-20050913-172958-539.dll -> Spyware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\Cursors\winnet.dll -> Spyware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\julie.exe -> Spyware.VB.c : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Qu'appeles tu le "fix"?

Modifié par bilatche
Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Bon, applique strictement la procédure indiquée par Stonangel au dessus de ton dernier message et envoie les 2 rapports.

 

ps: le fix = le programme ou utilitaire que tu as chargé.

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites
bilatche Member

bilatche

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai suivi a la lettre ce qui m'avait été recommandé avec "vundo fix".Mais,quand je tape le chemin complet que j'ai validé puis F6 puis entrer,le "fix"disparait,se ferme tout seul.Un texte s'écri dans la fenetre ou j'ai tapé mais je n'ai pas le temps de le lire.J'ai essayé plusieurs fois,puis j'ai tenté de suivre la procédure mais mon ordi ne redémarre pas et ne m'affiche pas"blue screen of death"!.Désolé!!C'est guavant,merci a tous mais la je vois vraiment pas!

 

nouvel essai en reprenant tout de zéro mais meme résultat :P:P:-P

Modifié par bilatche
Lien vers le commentaire
Partager sur d’autres sites
bilatche Member

bilatche

Posté(e)
  • Auteur
Posté(e)

je viens de voir sur un forum anglais qu'ils conseillaient(en gros)de prendre le fichier winnet.dll d'un autre pc puis de le copier sur le pc infecté.voici l'article en entier

 

Many errors occur when one program causes a fault in another program or library file where it is the 2nd program which is at fault eg:

 

Explorer caused a page fault in Winnet.dll

 

This tells you that Explorer is not at fault but there may be corruption to Winnet.dll

 

Rather than re-install the whole of Windows again just to fix this fault, simply go to another PC (with the same operating system eg: Win95, or Win98..etc).

 

Use File Find (or F3) to locate the file (e.g: locate winnet.dll in this example). Note where the file was found (e.g: in Windows\System in this example).

 

Copy this file to floppy (or across a network) and then into the corresponding folder of the original PC (e.g: copy from A drive to C:\windows\system, in this example).

 

Note: If the file to be copied on to the original PC is one currently in use by Windows, then re-start the PC in DOS mode, then use the Copy command at the A:> prompt e.g:

 

A:> Copy Winnet.dll C:\windows\system

 

In most cases using this procedure will rectify most problems.

 

If however you are receiving many such errors, frequently and randomly, then using the above method may prove fruitless and then you must look elsewhere for the system faulting - the first is your RAM or SDRAM memory chips (See below) .

Lien vers le commentaire
Partager sur d’autres sites
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonjour,

 

Télécharge les outils suivants:

 

Procexp de Systernals

http://www.sysinternals.com/files/procexpnt.zip

 

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

 

 

KillBox dOption^Explicit

http://www.downloads.subratam.org/KillBox.zip

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

Démarre en mode sans échec.

 

Lance Procexp

 

Sur la fenetre d'en haut

 

1 Double cliquer sur winlogon.exe> Dans la fenêtre qui s'ouvre> Onglets> Threads >repérer les dll aléatoires( winnet.dll) et cliquer sur "Kill",faire la meme chose pour lles fichiers .ini, .bak qui portent le même nom ou un nom inversé.

cliquer sur OK

 

2 Fais la même chose avec explorer.exe >Dans la fenêtre qui s'ouvre> Onglets >Threads >repère les dll aléatoires(winnet.dll) et cliquer sur "Kill", faire la même chose pour les fichiers .ini, .bak qui portent le même nom ou un nom inversé.

Clique sur OK

 

Démarre Hijackthis, scanne et coche les lignes incriminées:

 

O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\Cursors\winnet.dll

 

O20 - Winlogon Notify: winnet - C:\WINDOWS\Cursors\winnet.dll

 

Ouvre le Bloc-notes et copier-coller les lignes entre --- ci-dessous (y compris la ligne vide à la fin) :

 

--------------------

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

 

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

 

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

 

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

--------------------

 

Enregistrer le fichier sur le bureau (Nom du fichier : "vundo.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

Fermer Internet explorer.

Double-cliquer sur vundo.reg et cliquer sur Oui lorsqu'on demande confirmation pour Fusionner.

Au message du bon déroulement, supprimer le fichier vundo.reg

 

Ouvre KillBox pour supprimer les fichiers incriminés. Dans la fenêtre sous"Full of path file to delete" entre le chemin complet du fichier suivant:

 

C:\WINDOWS\Cursors\winnet.dll

 

Coche "Delete on reboot" puis clique sur la croix blanche sur fond rouge.

Aux deux messages qui vont s'afficher réponds oui.

 

Redémarre normalement et poste un log Hijackthis pour vérification

Lien vers le commentaire
Partager sur d’autres sites
bilatche Member

bilatche

Posté(e)
  • Auteur
Posté(e)
Bonjour,

 

Télécharge les outils suivants:

 

Procexp de Systernals

http://www.sysinternals.com/files/procexpnt.zip

 

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

KillBox dOption^Explicit

http://www.downloads.subratam.org/KillBox.zip

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

Démarre en mode sans échec.

 

Lance Procexp

 

Sur la fenetre d'en haut

 

1 Double cliquer sur winlogon.exe> Dans la fenêtre qui s'ouvre> Onglets> Threads >repérer les dll aléatoires( winnet.dll) et cliquer sur "Kill",faire la meme chose pour lles fichiers .ini, .bak qui portent le même nom ou un nom inversé.

cliquer sur OK

 

2 Fais la même chose avec explorer.exe >Dans la fenêtre qui s'ouvre> Onglets >Threads >repère les dll aléatoires(winnet.dll) et cliquer sur "Kill", faire la même chose pour les fichiers .ini, .bak qui portent le même nom ou un nom inversé.

Clique sur OK

 

Démarre Hijackthis, scanne et coche les lignes incriminées:

 

O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\Cursors\winnet.dll

 

O20 - Winlogon Notify: winnet - C:\WINDOWS\Cursors\winnet.dll

 

Ouvre le Bloc-notes et copier-coller les lignes entre --- ci-dessous (y compris la ligne vide à la fin) :

 

--------------------

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

 

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

 

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

 

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

 

--------------------

 

Enregistrer le fichier sur le bureau (Nom du fichier : "vundo.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

Fermer Internet explorer.

Double-cliquer sur vundo.reg et cliquer sur Oui lorsqu'on demande confirmation pour Fusionner.

Au message du bon déroulement, supprimer le fichier vundo.reg

 

Ouvre KillBox pour supprimer les fichiers incriminés. Dans la fenêtre sous"Full of path file to delete" entre le chemin complet du fichier suivant:

 

C:\WINDOWS\Cursors\winnet.dll

 

Coche "Delete on reboot" puis clique sur la croix blanche sur fond rouge.

Aux deux messages qui vont s'afficher réponds oui.

 

Redémarre normalement et poste un log Hijackthis pour vérification

571508[/snapback]

 

 

je vais tester ca je te tiens au courant.merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites
bilatche Member

bilatche

Posté(e)
  • Auteur
Posté(e) (modifié)

Je viens de faire "un petit bout" de la derniere démarche que vous m'avez demandé.Je me suis arreter à l'ouverture du bloc notes(j'ai passé procexp puis hijackthis)car je n'avais pas préalablement copier les infos entre "----".Malgré tout,sur mon rapport hijackthis,il n'a plus de winnet.dll.Est-ce normal??Est ce que le simple fait de passer procexp sans finir la manoeuvre a uffit a supprimer le probleme??Dois-je tout refaire totalement cette fois-ci??Merci de vos réponses

 

Voci mon dernier rapport hijackthis apres redémarrage

 

ogfile of HijackThis v1.99.1

Scan saved at 11:14:19, on 15/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Steph et Bilatche\Mes documents\Utilitaires\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Modifié par bilatche
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...