virus ou spyware : SslWAPI.cpy.dll

Le
nathalie s
Bonjour
J'ai plusieurs PC en réseau, et une connection internet ADSL partagée. Depuis ce
matin l'ouverture d'internet explorer sur l'un des PC du réseau donne l'erreur
suivant : echec à l'execution de c:windowsSslWAPI.cpy.dll et pas de
connection internet possible.
Le PC server de connexion est ok, internet ok, config inchangée.
J'ai passé Adware sur tous les PC et trouvé sur le PC concerné 235 objets
supects dt sahagent mais impossibl de savoir qui utilise ce sslwapi. on peut
détruire le cpy.dll par contre il est recréé à chaque démarrage à partir du
fichier du même nom .dll, qui lui est indestructible.
Si vous avez une piste, merci de me la communiquer !
Nathalie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1117672
Salut,

nathalie s:
sahagent ... mais impossibl de savoir qui utilise ce sslwapi.
on peut détruire le cpy.dll par contre il est recréé à chaque
démarrage à partir du fichier du même nom .dll, qui lui est
indestructible.


Et en désactivant la restauration système?
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

Tu peux préciser l'orthographe et le chemin précis du fichier
"SslWAPI.cpy.dll"?

--
joke0

nathalie s
Le #1490278
Merci.on va essayer.
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
il est sous Windows/system32, il a tout d'un fichier "sans histoire" sf que,
aucun de nos autres ordinateurs ne l'a et aucun appli spécifique n'est installée
sur cet ordi hors MSN messenger ...
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
joke0
Le #1490267
Salut,

nathalie s:
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.


Inconnu au bataillon...

il est sous Windows/system32, il a tout d'un fichier "sans
histoire" sf que, aucun de nos autres ordinateurs ne l'a et
aucun appli spécifique n'est installée sur cet ordi hors MSN
messenger ...


Fait scanner ce fichier ici:
http://www.kaspersky.com/fr/remoteviruschk.html

--
joke0

nathalie s
Le #1490258
le scan est ok, merci
En désactivant la restauration système, il dit tjrs que le fichier est utilisé
par une autre appli (mais rien de lancé)

sinon : j'avance un peu (sous XP)
le fichier est utilisé par
WindowsNT>currentversion>winlogon>notify>guardian
et la clé de registre qu'on récupère est actionnée par :
HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetsettings>user
agent>post platform :
2 entrées a/default (comme sur tous les autres ordi) + b/la clé guardian
(?inconnue ailleurs)
Je vais chercher dans ce sens maintenant ...

--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
djehuti
Le #1490257
salut
"nathalie s"
Merci.on va essayer.
l'orthographe exacte est bien SslWAPI.cpy.dll et SslWAPI.dll.
il est sous Windows/system32, il a tout d'un fichier "sans histoire"


voir si il n'y a pas une entrée "suspecte" dans "ajout | suppression de
programme"

nettoyer les trucs détectés par ad-aware (en faisant une copie des verrues)
puis un coup de LSP-fix
http://www.cexx.org/lspfix.htm

@tchao

nathalie s
Le #1490255
Il semble que ce soit un "virus vengeur" avec diverses manifestations.
voir le forum ci-dessous, je crains le pire

le guardian a l'air indécrochable et la dll peut prendre plusieurs noms
différents : msg120.dll, msg118.dll, allui.dll, qui toutes fonctionnent sur le
même principe : à chaque démarrage une dll backup est créée (.cpu.dll) et la dll
origine ne peut être détruite ...

http://www.computercops.biz/postlite25281-guardian.html
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
joke0
Le #1490248
Salut,

nathalie s:
le guardian a l'air indécrochable et la dll peut prendre
plusieurs noms différents : msg120.dll, msg118.dll, allui.dll,


As-tu tous ces fichiers? Si oui, fais-les scanner ici (un
msgxxx.dll + sskwapi.dll) :
http://www.kaspersky.com/fr/remoteviruschk.html

--
joke0

joke0
Le #1490247
Salut,

nathalie s:
sinon : j'avance un peu (sous XP)
le fichier est utilisé par
WindowsNT>currentversion>winlogon>notify>guardian


Ce qui lui permet un démarrage automatique, cf le point 12:
http://www.lacave.net/~jokeuse/usenet/demarrage.html#winlogon

Tu ne m'as dit si tu avais fais scanner le ficheir par KAV:
http://www.kaspersky.com/fr/remoteviruschk.html

Si KAV ne dit rien, envoies-moi le fichier (à ), je ferais suivre aux labos.

et la clé de registre qu'on récupère est actionnée par :
HKEY_LOCAL_MACHINE>microsoft>windowx>currentversion>internetset
tings>user agent>post platform :
2 entrées a/default (comme sur tous les autres ordi) + b/la
clé guardian


Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
et vire les fichiers à la main.

--
joke0

nathalie s
Le #1490241
le scan sur le site KAV n'a rien donné. ce n'est pas un virus.
Par contre en fouillant, avec l'update d'aujourd'hui (11-04-2004) de ad-aware il
semble que ce soit le spyware VX2-betterinternet et les différents mails postés
sur plusieurs forums datent de qqes jours, peut-être une nouvelle version un peu
plus agressive ? tous rapportent le même pb : impossible de se défaire de la dll
(avec des noms différents de dll)
le pb d'ouverture d'IE est réglé (peut-être par la quarantaine ? je doute) mais
la "chose" est toujours la.
en mode sans échec j'avais déja essayé et ça ne marche pas non plus. J'ai posté
la dll sur le site Lavasoft pour voir ... j'ai aussi essayé killbox, rien à
faire. et Pestpatrol en mode évaluation n'a rien vu (pas reconnnu VX2.
betterinternet).
En tout cas merci. la suite demain si lavasoft propose un nouvel update : depuis
2 jours ils sont à 2 ou 3 update par jour ... )
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
joke0
Le #1119506
Salut,

nathalie s:
le scan sur le site KAV n'a rien donné. ce n'est pas un
virus.


Voici la réponse de KAV:

Hello, I've detect it as not-a-virus:AdvWare.Look2Me.f
Detection of it will be available with this bases
http://www.kaspersky.com/extraupdates.html?chapter6235718
(extended)

how to remove it? kill the process created by this file and remove file.
if the file will be not removable, it is nesessary to reboot computer
and start Windows in safe mode, then rename the file,
reboot and remove the file.

Traduction:
détecté dorénavant en tant que not-a-virus:AdvWare.Look2Me.f

Détection disponible en utilisant les bases étendues.

Comment le virer? Tuer le process (par le gestionnaire de tâches)
créé par la bestiole et virer le fichier.

Si cette procédure ne fonctionne pas:
Redémarrer en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
puis renommer le fichier, rebooter et virer le fichier.

Voilà, faites-nous savoir si ça marche.

--
joke0

Publicité
Poster une réponse
Anonyme