Un dll manquant : on me dit de faire une désinfection

jufi · le 15 mai 2006

oui, je termine, j'ai bien fini par penser que tu ne t'étais pas trompé, car je me disais que si on ne trouve pas ces fichiers, ils sont déjà nettoyé

à toute

jufi · le 15 mai 2006

Voilà, j'ai fini, mais j'ai toujours le message run dll, etc...!

Tu peux me dire si ce dll est vraiment manquant ou bien si c'est lié à un spyware ?

enfin voici mes rapports ewido et hijack (je dois dire que ewido m'a ouvert une fenêtre disant qu'il ne pouvait supprimer bak.exe car ceci appartient à l'archive bak.exe, alors il proposait voulez vous supprimer l'archive et j'ai cliqué "oui" alors que j'avais fait "non" au dernier scan

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 19:27:19, 15/05/2006

+ Somme de contrôle: 2FD5F6F1

+ Résultats du scan:

I:\WINDOWS\system32\bak.exe/bak.exe -> Backdoor.Rbot.ayh : Nettoyer et sauvegarder

::Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 19:30:06, on 15/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\System32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

I:\WINDOWS\System32\inetsrv\inetinfo.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\System32\RunDll32.exe

I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Program Files\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKLM\..\Run: [ATIPTA] I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - I:\WINDOWS\update\updmgr.exe (file missing)

Modifié le 15 mai 2006 par jufi

jufi · le 15 mai 2006

et cette ligne y est toujours, forcément :

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

jufi · le 16 mai 2006

si vous avez une solution

regis56 · le 16 mai 2006

Bonsoir jufi !

Le rapport n'est pas propre alors on continu !

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

-Vérifier d'avoir accès à tous les fichiers :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

w0046f02.dll

MSDNSD32.exe

Note : ces fichiers existent il faut les trouver et les supprimer !

Si tu ne les trouve pas rajoute cette manip au début et recommence !

-Si problème encore faire ceci pour permettre d'effectuer la recherche dans les dossiers et fichiers cachés

* cliquer ici http://www.davehigham.zen.co.uk/downloads/xphidden.zip pour télécharger xphidden.zip.

* cliquer xphidden.zip et extraire xphidden.reg de l'archive vers le bureau.

* double-cliquer xphidden.reg, et quand demandé, autoriser la modification du registre.

-Si tu les trouves mais qu'ils ne veulent pas étre supprimé donne nous le chemin du fichier !

Vider la poubelle !

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

-Redémarrer en mode normal :

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

Après avoir posté ta réponse :

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

A plus et bon courage !

Modifié le 16 mai 2006 par regis56

jufi · le 16 mai 2006

Merci

je fais ça demain matin vers 8h30

jufi · le 17 mai 2006

aaaaahh, là je crois que c'est bon, la ligne a disparu et je n'ai pas eu l'alerte sur le dll au redémarrage en mode normal...

Après vérification de ta part, (et je te remercie infiniment), je pourrai me lancer dans un nettoyage de C:, où les choses sont plus sérieuses, plein de programmes, connecté au web, etc...

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 07:48:32, 17/05/2006

+ Somme de contrôle: D42F2AE5

+ Résultats du scan:

Pas de fichiers infectés trouvés!

::Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 07:50:30, on 17/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\System32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

I:\WINDOWS\System32\inetsrv\inetinfo.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\system32\userinit.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\System32\RunDll32.exe

I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =