Aller au contenu


Photo
- - - - -

vx2 comment s'en débarraser??


  • Veuillez vous connecter pour répondre
19 réponses à ce sujet

#1 coolbrother

coolbrother

    Member

  • Membres
  • 82 messages

Posté 30 décembre 2004 - 03:22

Salut j'ai choper une merde vx2 et ca commence à me saouler, pourtant j'utilise pas mal de soft:
- spybot 1.3
- ad-aware
- a²
- protowall
- zone alarm
- antivir
- spywareblaster
- hijack (pr les logs)

Je crois que c'est tout mais voila j'ai ce fichu vx2 avec la panoplie websearch et pas moyen de l'enlever!!

J'ai consulté quelque forum us mais ca m'a l'air vraiment compliqué pour s'en debarrasser!

voila mon log hijack

Logfile of HijackThis v1.99.0
Scan saved at 02:30:07, on 30/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Documents and Settings\Administrateur\Bureau\Ad-Aware.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Mes documents\Telechargement\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\ProtoWall\ProtoWall.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupd...b?1100520705578
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{515906C9-6985-4EB5-A38C-1364762377AA}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDE5AA40-B555-4897-A4D5-B8CA4F77B135}: NameServer = 212.27.39.1 213.228.0.23
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe

et un ptit morceau de celui de ad-aware


Effectue une analyse conditionnelle...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

VX2 Objet Reconnu!
Type : RegValue
Donnée :
Catégorie : Malware
Commentaire :
Rootkey : HKEY_CURRENT_USER
Objet : software\microsoft\internet explorer\toolbar\webbrowser
Valeur : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

VX2 Objet Reconnu!
Type : RegValue
Donnée :
Catégorie : Malware
Commentaire :
Rootkey : HKEY_LOCAL_MACHINE
Objet : system\lastknowngoodrecovery\lastgood
Valeur : INF/oem11.inf

VX2 Objet Reconnu!
Type : Fichier
Donnée : oem11.inf
Catégorie : Malware
Commentaire :
Objet : C:\WINDOWS\lastgood\inf\



VX2 Objet Reconnu!
Type : Fichier
Donnée : oem11.PNF
Catégorie : Malware
Commentaire :
Objet : C:\WINDOWS\lastgood\inf\


Merci pour votre aide et bonne nuit je m'endors la!!
  • 0

PUBLICITÉ

    Annonces Google

#2 ST@if

ST@if

    Full Patch Member

  • Membres
  • 1 467 messages

Posté 30 décembre 2004 - 11:03

Salut .

Ton scan avec Ad-Aware, tu l'as bien fait en mode sans échec ?
Sinon, pour le même soft, essaye avec VX2 Cleaner un add-on que tu pourras pécho sur cette page ::: http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml
Image IPB........._
  • 0

#3 PyReX

PyReX

    Modérateur Equipe Overclocking

  • Membres
  • 1 586 messages

Posté 30 décembre 2004 - 11:30

De plus je te conseille de fixer ces entrées dans hijackthis :
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai...all/xscan53.cab
  • 0

#4 coolbrother

coolbrother

    Member

  • Membres
  • 82 messages

Posté 30 décembre 2004 - 12:20

j'ai déja fixé les deux premiere mais elle revienne toujours avec hijack
  • 0

#5 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 30 décembre 2004 - 11:43

Bonsoir coolbrother, ST@if, PyReX, bonsoir à tous,

Tu es infecté par Look2Me !

Pour enlever les lignes O1, modifie le fichier C:\Windows\System32\drivers\etc\Hosts... si elles reviennent, fais çà en mode sans échec !

Pour VX2, utilise le programme VX2Finder, créé par Option^Explicit :
-> http://www.downloads...g/VX2Finder.exe
-> http://tools.zerosre...m/VX2Finder.exe
ou VX2Finder(126) :
-> http://www.downloads...Finder(126).exe
-> http://tools.zerosre...Finder(126).exe
  • 0

#6 coolbrother

coolbrother

    Member

  • Membres
  • 82 messages

Posté 01 janvier 2005 - 01:04

Alors voila, j'ai essayé avec les programmes que tu m'as donné, mais il en trouve aucun j'ai quand meme redemarrer le pc en mode sans echec, mais rien a faire, ad-aware n'arrive pas a effacer une dll, parce que rundll.exe est lancé.
J'ai esssayé de renommé le fichier rundll.exe pr empeché la dll de se lancer lol, mais toujours pas moyen d'effacer ce satané fichier.

C'est bizarre parce que;
- spybot y trouve rien.
- antivir lui me trouve un trojan quand je lance ad-aware:
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AAWTMP\C156750\A3X V25 UNLOCKER BY EDV11\A3X V25 UNLOCKER BY EDV11.EXE

The Trojan horse TR/Khiladi.2

j'ai essayé a² mais rien a faire

Merci de votre aide, si quelqu'un a une astuce parce que la je nage

ps: BONNE ANNEEEEEEE
  • 0

#7 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 01 janvier 2005 - 01:23

Bonsoir et bonne année 2005 Coolbrother !

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AAWTMP\C156750\A3X V25 UNLOCKER BY EDV11\A3X V25 UNLOCKER BY EDV11.EXE

Ce fichier est dans le répertoire Temp ! effectue un nettoyage :
Clic droit sur C: / Propriétés / clique sur Nettoyage du disque / coche toutes les cases et OK

Pour supprimer un fichier récalcitrant, utilise KillBox ( http://tools.zerosre...com/killbox.zip ) qui supprime le fichier au reboot, avant que Windows ait monté ses protections et que les modules soient lancés !
  • 0

#8 coolbrother

coolbrother

    Member

  • Membres
  • 82 messages

Posté 01 janvier 2005 - 03:39

je te montre vite fais ce que me dis ad-aware


Image IPB

et lorsque je lance la supression de fichier de ad-aware il coupe explorer, le relance et m'enleve la barre de lancement rapide!!

J'y comprend rien
  • 0

#9 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 01 janvier 2005 - 03:53

Bonne année coolbrother, bonne année à tous,

Supprime ces 2 fichiers manuellement, dans l'Explorateur Windows... éventuellement en mode sans échec !
  • 0

#10 coolbrother

coolbrother

    Member

  • Membres
  • 82 messages

Posté 01 janvier 2005 - 03:59

Bonne année a toi ipl 001

J'ai essayé mais pas possible, je vais redemarrer le pc en mode sans echec en essayant killbox mais je pense pas qu'il y arrivera

Je vous tiens au courant

j'ai oublié de vous dire que ni ad-aware ni spybot n'arrive a se lancer au demarrage, pour faire un scan!!

Modifié par coolbrother, 01 janvier 2005 - 04:01 .

  • 0









Sujets similaires :     x