Bonjour
J'ai plusieurs PC en réseau, et une connection internet ADSL partagée. Depuis ce
matin l'ouverture d'internet explorer sur l'un des PC du réseau donne l'erreur
suivant : echec à l'execution de c:\windows...\SslWAPI.cpy.dll et pas de
connection internet possible.
Le PC server de connexion est ok, internet ok, config inchangée.
J'ai passé Adware sur tous les PC et trouvé sur le PC concerné 235 objets
supects dt sahagent ... mais impossibl de savoir qui utilise ce sslwapi. on peut
détruire le cpy.dll par contre il est recréé à chaque démarrage à partir du
fichier du même nom .dll, qui lui est indestructible.
Si vous avez une piste, merci de me la communiquer !
Nathalie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
nathalie s:
sahagent ... mais impossibl de savoir qui utilise ce sslwapi. on peut détruire le cpy.dll par contre il est recréé à chaque démarrage à partir du fichier du même nom .dll, qui lui est indestructible.
Et en désactivant la restauration système? http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Tu peux préciser l'orthographe et le chemin précis du fichier "SslWAPI.cpy.dll"?
-- joke0
Salut,
nathalie s:
sahagent ... mais impossibl de savoir qui utilise ce sslwapi.
on peut détruire le cpy.dll par contre il est recréé à chaque
démarrage à partir du fichier du même nom .dll, qui lui est
indestructible.
Et en désactivant la restauration système?
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Tu peux préciser l'orthographe et le chemin précis du fichier
"SslWAPI.cpy.dll"?
sahagent ... mais impossibl de savoir qui utilise ce sslwapi. on peut détruire le cpy.dll par contre il est recréé à chaque démarrage à partir du fichier du même nom .dll, qui lui est indestructible.
Et en désactivant la restauration système? http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Tu peux préciser l'orthographe et le chemin précis du fichier "SslWAPI.cpy.dll"?
-- joke0
nathalie s
Merci.on va essayer. l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll. il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que, aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée sur cet ordi hors MSN messenger ... -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
Merci.on va essayer.
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que,
aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée
sur cet ordi hors MSN messenger ...
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Merci.on va essayer. l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll. il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que, aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée sur cet ordi hors MSN messenger ... -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
joke0
Salut,
nathalie s:
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
Inconnu au bataillon...
il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que, aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée sur cet ordi hors MSN messenger ...
Fait scanner ce fichier ici: http://www.kaspersky.com/fr/remoteviruschk.html
-- joke0
Salut,
nathalie s:
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
Inconnu au bataillon...
il est sous Windows/system32, il a tout d'un fichier "sans
histoire" sf que, aucun de nos autres ordinateurs ne l'a et
aucun appli spécifique n'est installée sur cet ordi hors MSN
messenger ...
Fait scanner ce fichier ici:
http://www.kaspersky.com/fr/remoteviruschk.html
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
Inconnu au bataillon...
il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que, aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée sur cet ordi hors MSN messenger ...
Fait scanner ce fichier ici: http://www.kaspersky.com/fr/remoteviruschk.html
-- joke0
nathalie s
le scan est ok, merci En désactivant la restauration système, il dit tjrs que le fichier est utilisé par une autre appli (mais rien de lancé)
sinon : j'avance un peu (sous XP) le fichier est utilisé par WindowsNT>currentversion>winlogon>notify>guardian et la clé de registre qu'on récupère est actionnée par : HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetsettings>user agent>post platform : 2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian (?inconnue ailleurs) Je vais chercher dans ce sens maintenant ...
-- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
le scan est ok, merci
En désactivant la restauration système, il dit tjrs que le fichier est utilisé
par une autre appli (mais rien de lancé)
sinon : j'avance un peu (sous XP)
le fichier est utilisé par
WindowsNT>currentversion>winlogon>notify>guardian
et la clé de registre qu'on récupère est actionnée par :
HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetsettings>user
agent>post platform :
2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian
(?inconnue ailleurs)
Je vais chercher dans ce sens maintenant ...
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
le scan est ok, merci En désactivant la restauration système, il dit tjrs que le fichier est utilisé par une autre appli (mais rien de lancé)
sinon : j'avance un peu (sous XP) le fichier est utilisé par WindowsNT>currentversion>winlogon>notify>guardian et la clé de registre qu'on récupère est actionnée par : HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetsettings>user agent>post platform : 2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian (?inconnue ailleurs) Je vais chercher dans ce sens maintenant ...
-- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
djehuti
salut "nathalie s" a écrit dans le message news:
Merci.on va essayer. l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll. il est sous Windows/system32, il a tout d'un fichier "sans histoire"
voir si il n'y a pas une entrée "suspecte" dans "ajout | suppression de programme"
nettoyer les trucs détectés par ad-aware (en faisant une copie des verrues) puis un coup de LSP-fix http://www.cexx.org/lspfix.htm
@tchao
salut
"nathalie s" <nstanek@club-internet.fr> a écrit dans le message news:
2004411-10372-575813@foorum.com
Merci.on va essayer.
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
il est sous Windows/system32, il a tout d'un fichier "sans histoire"
voir si il n'y a pas une entrée "suspecte" dans "ajout | suppression de
programme"
nettoyer les trucs détectés par ad-aware (en faisant une copie des verrues)
puis un coup de LSP-fix
http://www.cexx.org/lspfix.htm
Merci.on va essayer. l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll. il est sous Windows/system32, il a tout d'un fichier "sans histoire"
voir si il n'y a pas une entrée "suspecte" dans "ajout | suppression de programme"
nettoyer les trucs détectés par ad-aware (en faisant une copie des verrues) puis un coup de LSP-fix http://www.cexx.org/lspfix.htm
@tchao
nathalie s
Il semble que ce soit un "virus vengeur" avec diverses manifestations. voir le forum ci-dessous, je crains le pire
le guardian a l'air indécrochable et la dll peut prendre plusieurs noms différents : msg120.dll, msg118.dll, allui.dll, qui toutes fonctionnent sur le même principe : à chaque démarrage une dll backup est créée (.cpu.dll) et la dll origine ne peut être détruite ...
http://www.computercops.biz/postlite25281-guardian.html -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
Il semble que ce soit un "virus vengeur" avec diverses manifestations.
voir le forum ci-dessous, je crains le pire
le guardian a l'air indécrochable et la dll peut prendre plusieurs noms
différents : msg120.dll, msg118.dll, allui.dll, qui toutes fonctionnent sur le
même principe : à chaque démarrage une dll backup est créée (.cpu.dll) et la dll
origine ne peut être détruite ...
http://www.computercops.biz/postlite25281-guardian.html
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Il semble que ce soit un "virus vengeur" avec diverses manifestations. voir le forum ci-dessous, je crains le pire
le guardian a l'air indécrochable et la dll peut prendre plusieurs noms différents : msg120.dll, msg118.dll, allui.dll, qui toutes fonctionnent sur le même principe : à chaque démarrage une dll backup est créée (.cpu.dll) et la dll origine ne peut être détruite ...
http://www.computercops.biz/postlite25281-guardian.html -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
joke0
Salut,
nathalie s:
le guardian a l'air indécrochable et la dll peut prendre plusieurs noms différents : msg120.dll, msg118.dll, allui.dll,
As-tu tous ces fichiers? Si oui, fais-les scanner ici (un msgxxx.dll + sskwapi.dll) : http://www.kaspersky.com/fr/remoteviruschk.html
-- joke0
Salut,
nathalie s:
le guardian a l'air indécrochable et la dll peut prendre
plusieurs noms différents : msg120.dll, msg118.dll, allui.dll,
As-tu tous ces fichiers? Si oui, fais-les scanner ici (un
msgxxx.dll + sskwapi.dll) :
http://www.kaspersky.com/fr/remoteviruschk.html
le guardian a l'air indécrochable et la dll peut prendre plusieurs noms différents : msg120.dll, msg118.dll, allui.dll,
As-tu tous ces fichiers? Si oui, fais-les scanner ici (un msgxxx.dll + sskwapi.dll) : http://www.kaspersky.com/fr/remoteviruschk.html
-- joke0
joke0
Salut,
nathalie s:
sinon : j'avance un peu (sous XP) le fichier est utilisé par WindowsNT>currentversion>winlogon>notify>guardian
Ce qui lui permet un démarrage automatique, cf le point 12: http://www.lacave.net/~jokeuse/usenet/demarrage.html#winlogon
Tu ne m'as dit si tu avais fais scanner le ficheir par KAV: http://www.kaspersky.com/fr/remoteviruschk.html
Si KAV ne dit rien, envoies-moi le fichier (à ), je ferais suivre aux labos.
et la clé de registre qu'on récupère est actionnée par : HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetset tings>user agent>post platform : 2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian
Redémarre en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", et vire les fichiers à la main.
-- joke0
Salut,
nathalie s:
sinon : j'avance un peu (sous XP)
le fichier est utilisé par
WindowsNT>currentversion>winlogon>notify>guardian
Ce qui lui permet un démarrage automatique, cf le point 12:
http://www.lacave.net/~jokeuse/usenet/demarrage.html#winlogon
Tu ne m'as dit si tu avais fais scanner le ficheir par KAV:
http://www.kaspersky.com/fr/remoteviruschk.html
Si KAV ne dit rien, envoies-moi le fichier (à joke0@tiscali.fr), je ferais suivre aux labos.
et la clé de registre qu'on récupère est actionnée par :
HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetset
tings>user agent>post platform :
2 entrées a/default (comme sur tous les autres ordi) + b/la
clé guardian
Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
et vire les fichiers à la main.
sinon : j'avance un peu (sous XP) le fichier est utilisé par WindowsNT>currentversion>winlogon>notify>guardian
Ce qui lui permet un démarrage automatique, cf le point 12: http://www.lacave.net/~jokeuse/usenet/demarrage.html#winlogon
Tu ne m'as dit si tu avais fais scanner le ficheir par KAV: http://www.kaspersky.com/fr/remoteviruschk.html
Si KAV ne dit rien, envoies-moi le fichier (à ), je ferais suivre aux labos.
et la clé de registre qu'on récupère est actionnée par : HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetset tings>user agent>post platform : 2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian
Redémarre en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", et vire les fichiers à la main.
-- joke0
nathalie s
le scan sur le site KAV n'a rien donné. ce n'est pas un virus. Par contre en fouillant, avec l'update d'aujourd'hui (11-04-2004) de ad-aware il semble que ce soit le spyware VX2-betterinternet et les différents mails postés sur plusieurs forums datent de qqes jours, peut-être une nouvelle version un peu plus agressive ? tous rapportent le même pb : impossible de se défaire de la dll (avec des noms différents de dll) le pb d'ouverture d'IE est réglé (peut-être par la quarantaine ? je doute) mais la "chose" est toujours la. en mode sans échec j'avais déja essayé et ça ne marche pas non plus. J'ai posté la dll sur le site Lavasoft pour voir ... j'ai aussi essayé killbox, rien à faire. et Pestpatrol en mode évaluation n'a rien vu (pas reconnnu VX2. betterinternet). En tout cas merci. la suite demain si lavasoft propose un nouvel update : depuis 2 jours ils sont à 2 ou 3 update par jour ... ) -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
le scan sur le site KAV n'a rien donné. ce n'est pas un virus.
Par contre en fouillant, avec l'update d'aujourd'hui (11-04-2004) de ad-aware il
semble que ce soit le spyware VX2-betterinternet et les différents mails postés
sur plusieurs forums datent de qqes jours, peut-être une nouvelle version un peu
plus agressive ? tous rapportent le même pb : impossible de se défaire de la dll
(avec des noms différents de dll)
le pb d'ouverture d'IE est réglé (peut-être par la quarantaine ? je doute) mais
la "chose" est toujours la.
en mode sans échec j'avais déja essayé et ça ne marche pas non plus. J'ai posté
la dll sur le site Lavasoft pour voir ... j'ai aussi essayé killbox, rien à
faire. et Pestpatrol en mode évaluation n'a rien vu (pas reconnnu VX2.
betterinternet).
En tout cas merci. la suite demain si lavasoft propose un nouvel update : depuis
2 jours ils sont à 2 ou 3 update par jour ... )
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
le scan sur le site KAV n'a rien donné. ce n'est pas un virus. Par contre en fouillant, avec l'update d'aujourd'hui (11-04-2004) de ad-aware il semble que ce soit le spyware VX2-betterinternet et les différents mails postés sur plusieurs forums datent de qqes jours, peut-être une nouvelle version un peu plus agressive ? tous rapportent le même pb : impossible de se défaire de la dll (avec des noms différents de dll) le pb d'ouverture d'IE est réglé (peut-être par la quarantaine ? je doute) mais la "chose" est toujours la. en mode sans échec j'avais déja essayé et ça ne marche pas non plus. J'ai posté la dll sur le site Lavasoft pour voir ... j'ai aussi essayé killbox, rien à faire. et Pestpatrol en mode évaluation n'a rien vu (pas reconnnu VX2. betterinternet). En tout cas merci. la suite demain si lavasoft propose un nouvel update : depuis 2 jours ils sont à 2 ou 3 update par jour ... ) -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
joke0
Salut,
nathalie s:
le scan sur le site KAV n'a rien donné. ce n'est pas un virus.
Voici la réponse de KAV:
Hello, I've detect it as not-a-virus:AdvWare.Look2Me.f Detection of it will be available with this bases http://www.kaspersky.com/extraupdates.html?chapter6235718 (extended)
how to remove it? kill the process created by this file and remove file. if the file will be not removable, it is nesessary to reboot computer and start Windows in safe mode, then rename the file, reboot and remove the file.
Traduction: détecté dorénavant en tant que not-a-virus:AdvWare.Look2Me.f
Détection disponible en utilisant les bases étendues.
Comment le virer? Tuer le process (par le gestionnaire de tâches) créé par la bestiole et virer le fichier.
Si cette procédure ne fonctionne pas: Redémarrer en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", puis renommer le fichier, rebooter et virer le fichier.
Voilà, faites-nous savoir si ça marche.
-- joke0
Salut,
nathalie s:
le scan sur le site KAV n'a rien donné. ce n'est pas un
virus.
Voici la réponse de KAV:
Hello, I've detect it as not-a-virus:AdvWare.Look2Me.f
Detection of it will be available with this bases
http://www.kaspersky.com/extraupdates.html?chapter=146235718
(extended)
how to remove it? kill the process created by this file and remove file.
if the file will be not removable, it is nesessary to reboot computer
and start Windows in safe mode, then rename the file,
reboot and remove the file.
Traduction:
détecté dorénavant en tant que not-a-virus:AdvWare.Look2Me.f
Détection disponible en utilisant les bases étendues.
Comment le virer? Tuer le process (par le gestionnaire de tâches)
créé par la bestiole et virer le fichier.
Si cette procédure ne fonctionne pas:
Redémarrer en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
puis renommer le fichier, rebooter et virer le fichier.
le scan sur le site KAV n'a rien donné. ce n'est pas un virus.
Voici la réponse de KAV:
Hello, I've detect it as not-a-virus:AdvWare.Look2Me.f Detection of it will be available with this bases http://www.kaspersky.com/extraupdates.html?chapter6235718 (extended)
how to remove it? kill the process created by this file and remove file. if the file will be not removable, it is nesessary to reboot computer and start Windows in safe mode, then rename the file, reboot and remove the file.
Traduction: détecté dorénavant en tant que not-a-virus:AdvWare.Look2Me.f
Détection disponible en utilisant les bases étendues.
Comment le virer? Tuer le process (par le gestionnaire de tâches) créé par la bestiole et virer le fichier.
Si cette procédure ne fonctionne pas: Redémarrer en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", puis renommer le fichier, rebooter et virer le fichier.