Un dll manquant : on me dit de faire une désinfection

[jufi]

Bonjour

sur un os en dual boot XP, non connecté au web j'ai ce message au démarrage "w0046f02.dll n'a pas été trouvé"

Je n'ai pas réussi à le réinstaller, et un camarade sur le forum me propose de de faire une désinfection.

Cet os à en effet été connecté au web sans couverture, par erreur... pendant très peu de temps.

 

J'ai scanné l'os 2 (disque I) avec antivir en mode sans échec après un scan adaware et spybot, mais depuis l'autre partition où est installée l'os 1 (disque C). J'ai mis plusieurs trojans en quarantaine.

 

j'ai fait ensuite en mode normal un scan hijack de l'os 2 :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 08:29:47, on 12/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\System32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\WINDOWS\System32\inetsrv\inetinfo.exe

I:\WINDOWS\ie.exe

I:\WINDOWS\system32\rundll32.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\System32\RunDll32.exe

I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Documents and Settings\julien\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Windows Logon Application] I:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] I:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard14.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad14.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname14.exe

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [Microsoft Update] scvhost.exe

O4 - HKLM\..\Run: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\Run: [ieLower] ielower.exe

O4 - HKLM\..\Run: [Winsock2 driver] YCUT.EXE

O4 - HKLM\..\Run: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\Run: [Microsoft Professional] scrss.exe

O4 - HKLM\..\Run: [ATIPTA] I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\RunServices: [ieLower] ielower.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\RunServices: [Microsoft Professional] scrss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O20 - Winlogon Notify: ThemeManager - I:\WINDOWS\system32\t28u0cl9efq.dll

O20 - Winlogon Notify: WindowsUpdate - I:\WINDOWS\system32\i824lifq182e.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - I:\WINDOWS\SnVsaWVu\command.exe (file missing)

O23 - Service: Microsoft Internet Explorer (Internet Explorer) - Unknown owner - I:\WINDOWS\ie.exe

O23 - Service: Network Monitor - Unknown owner - I:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - I:\WINDOWS\update\updmgr.exe (file missing)

[horus agressor]

Bonjour,

 

Avant de trop t'affoler :

J'ai un problème avec une DLL !, (Mise à jour le 11/05/2006) : http://forum.zebulon.fr/index.php?showtopic=54338

 

Télécharger des *.dll manquantes : http://www.dll-files.com/

 

Voit déjà avec cela.

 

Mais, si tu veux, ça ne coûte rien d'appliquer : Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis : http://forum.zebulon.fr/index.php?showtopic=83986 , une fois ton log HiJackThis posté dans la bonne rubrique, nos Zorros de service viendront à ton secours sur leurs noirs destriers (ou peut être sont-ils blancs lesdit destriers...mais ils fendent l'air à la vitesse de l'éclair en tout cas Ben zut, un tit délire matinal )

 

Amicalement.

[regis56]

Bonsoir horus agressor et jufi !

 

Avant de trop t'affoler :

 

Bah je suis d'accord avec horus agressor t'affole pas mais suis la procédure de nettoyage tu en as besoin !!

 

Ton système est hyper infecté !!

 

De plus :

 

-Pas d'antivirus

-Pas de firewall

-Platform: Windows XP (WinNT 5.01.2600)= aucune mise à jour critiques

 

Alors un bon conseil après avoir fais la procédure de horus garde antivir il est gratuit !

 

Ensuite fais ceci

1/ La mise à jour du système :

Je te conseille vivement de mettre à jour ton système !

(Démarrer/Windows Update)

Le faite de mettre ton système à jour corrigera toutes les failles de sécuritées utilisées par les virus et autres malwares !

Pour mettre en automatique faire ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

Installe toutes les mises à jour windows proposées avant de continuer !

 

Si tu n'as pas garder antivir fais cette étape

2/ L'antivirus :

Installer un antivirus plus efficace que Norton tel que AVAST ou Antivir

Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc.

 

Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures.

 

Lire l'article dans le prochain lien qui donne en autres toutes les informations pour trouver et télécharger un antivirus et les adresses pour scanner en lignes !

http://forum.zebulon.fr/index.php?act=ST&f...t=0&do=findComment&comment=487252

 

Aprés avoir installer un antivirus seulement continu comme ceci

 

3/ le pare-feu :

Installer un firewall autre que celui proposé par XP Choisir kério avec Avast et Zone Alarme pour Antivir (C'est des exemples tu peut choisir ce que tu veut ! Mais éviter l'association Avast avec Zone alarme)

En informatique, un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu ou encore firewall.

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-pour télécharger JETICO:

http://www.trad-fr.com/Fiches/fiche_Jetico.htm

-à parcourrir

http://www.open-files.com/article0386.html

-son tutorial:

http://www.open-files.com/forum/index.php?showtopic=29277

 

Ensuite reposte un rapport hijackthis STP

 

A plus !

[horus agressor]

Re,

 

Vu l'état de "délabrement" du C:\ de Jufi, il me semble que Jetico serait le plus mauvais des choix vu la compléxité de sa configuration et le temps qu'il faut lui consacrer, ce qui n'enlève rien aux qualités de Jetico, mais dans le cas précis de Jufi, je pencherais pour, comme Regis56 le mentionne :

 

- Zone Alarme

- Antivir

 

Amicalement.

[jufi]

merci à vous

mais j'étais déjà passé par la page de coolman sur les dll et elle ne s'y trouve pas, pas plus que sur dll-files.com...

 

Regis me dit que je n'ai pas d'antivirus, et c'était normal, n'ayant pas internet sur cet OS.

Je suis têtu, mais j'aimerai bien m'en passer, et ça a très bien marché jusqu'à cette petite erreur, sans firewall. Et je suis sûr que le pc n'était pas connecté, pendant des mois.

 

Et je suis très inquiet, vous me parlez d'un pc délabré (horus tu te trompes ce n'est pas C: dont j'ai donné le log, mais I) alors que je n'avais pas de web...

 

On me dit de faire les maj windows, mais je ne veux pas de connection sur cette partition qui me sert au rendu 3d et au montage : on a l'air malin quand antivir fait MAJ, pendant le calcul, mais bon ça doit se régler pour qu'il ne le fasse pas.

 

Comme je demandais : le scan antivir du lecteur I depuis le lecteur C est bien valable ?

Modifié le 12 mai 2006 par jufi

[regis56]

Re

 

Alors si ce système n'est pas obligatoire pour le fonctionnement de ton Pc je te conseille de tout reformater et de refaire une installation propre !

 

A plus !

 

Humm à bien réfléchir le système prinicpal devrait étre analyser je pense qu'il en a besoin il y a du y avoir infection du système secondaire par le principal

 

Donc

1/désinfecter le système principal

2/formater le système secondaire

2/éventuellement mettre des systèmes de protections pour le Pc

Modifié le 12 mai 2006 par regis56

[Florent]

Il n'y a pas que l'infection du Systeme 2 par le systeme 1..... Humm

 

On me dit de faire les maj windows, mais je ne veux pas de connection sur cette partition qui me sert au rendu 3d et au montage

J'aurais envie de dire que la deuxieme source de malware et spyware après le net c'est les cracks d'applications....

[jufi]

merci

je m'apprete à tout nettoyer sur la partition 2 , en suite je ferai la 1

[jufi]

j'ai appliqué le nettoyage sur l'os 2,

 

est-ce que c'est toujours aussi délabré ?

 

Logfile of HijackThis v1.99.1

Scan saved at 20:15:32, on 12/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\System32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

I:\WINDOWS\System32\inetsrv\inetinfo.exe

I:\WINDOWS\ie.exe

I:\WINDOWS\system32\rundll32.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\System32\RunDll32.exe

I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Windows Logon Application] I:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] I:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard14.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad14.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname14.exe

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [Microsoft Update] scvhost.exe

O4 - HKLM\..\Run: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\Run: [ieLower] ielower.exe

O4 - HKLM\..\Run: [Winsock2 driver] YCUT.EXE

O4 - HKLM\..\Run: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\Run: [Microsoft Professional] scrss.exe

O4 - HKLM\..\Run: [ATIPTA] I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\RunServices: [ieLower] ielower.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\RunServices: [Microsoft Professional] scrss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O20 - Winlogon Notify: SideBySide - I:\WINDOWS\system32\gpjul3191.dll

O20 - Winlogon Notify: WindowsUpdate - I:\WINDOWS\system32\i824lifq182e.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - I:\WINDOWS\SnVsaWVu\command.exe (file missing)

O23 - Service: Microsoft Internet Explorer (Internet Explorer) - Unknown owner - I:\WINDOWS\ie.exe

O23 - Service: Network Monitor - Unknown owner - I:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - I:\WINDOWS\update\updmgr.exe (file missing)

[horus agressor]

Re,

 

Si tu as une clé USB, tu pourrais utiliser ClamWin et nettoyer depuis la clé...

 

Antivirus ClamWin Portable : http://www.zebulon.fr/articles/antivirus-c...-portable-1.php

 

...ça pourrais servir à l'avenir...

 

Tu pourrais aussi choper le SP2 via une clé USB sur, par exemple, http://telechargement.zebulon.fr/158-Servi...FR-pour-XP.html , ou sur le site de Crosoft, et en profiter pour mettre à jour ton PC actuellement infecté.

 

Enfin, tu n'as peut être pas de clé USB

 

...et désolé pour mes remarques désobligeantes, je suis parfois mais pas

 

Amicalement.