Aller au contenu
coolbrother

vx2 comment s'en débarraser??

Messages recommandés

Salut j'ai choper une merde vx2 et ca commence à me saouler, pourtant j'utilise pas mal de soft:

- spybot 1.3

- ad-aware

- a²

- protowall

- zone alarm

- antivir

- spywareblaster

- hijack (pr les logs)

 

Je crois que c'est tout mais voila j'ai ce fichu vx2 avec la panoplie websearch et pas moyen de l'enlever!!

 

J'ai consulté quelque forum us mais ca m'a l'air vraiment compliqué pour s'en debarrasser!

 

voila mon log hijack

 

Logfile of HijackThis v1.99.0

Scan saved at 02:30:07, on 30/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Documents and Settings\Administrateur\Bureau\Ad-Aware.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrateur\Mes documents\Telechargement\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\ProtoWall\ProtoWall.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1100520705578

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{515906C9-6985-4EB5-A38C-1364762377AA}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDE5AA40-B555-4897-A4D5-B8CA4F77B135}: NameServer = 212.27.39.1 213.228.0.23

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

et un ptit morceau de celui de ad-aware

 

 

Effectue une analyse conditionnelle...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

VX2 Objet Reconnu!

Type : RegValue

Donnée :

Catégorie : Malware

Commentaire :

Rootkey : HKEY_CURRENT_USER

Objet : software\microsoft\internet explorer\toolbar\webbrowser

Valeur : {0E5CBF21-D15F-11D0-8301-00AA005B4383}

 

VX2 Objet Reconnu!

Type : RegValue

Donnée :

Catégorie : Malware

Commentaire :

Rootkey : HKEY_LOCAL_MACHINE

Objet : system\lastknowngoodrecovery\lastgood

Valeur : INF/oem11.inf

 

VX2 Objet Reconnu!

Type : Fichier

Donnée : oem11.inf

Catégorie : Malware

Commentaire :

Objet : C:\WINDOWS\lastgood\inf\

 

 

 

VX2 Objet Reconnu!

Type : Fichier

Donnée : oem11.PNF

Catégorie : Malware

Commentaire :

Objet : C:\WINDOWS\lastgood\inf\

 

 

Merci pour votre aide et bonne nuit je m'endors la!!

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir coolbrother, ST@if, PyReX, bonsoir à tous,

 

Tu es infecté par Look2Me !

 

Pour enlever les lignes O1, modifie le fichier C:\Windows\System32\drivers\etc\Hosts... si elles reviennent, fais çà en mode sans échec !

 

Pour VX2, utilise le programme VX2Finder, créé par Option^Explicit :

-> http://www.downloads.subratam.org/VX2Finder.exe

-> http://tools.zerosrealm.com/VX2Finder.exe

ou VX2Finder(126) :

-> http://www.downloads.subratam.org/VX2Finder(126).exe

-> http://tools.zerosrealm.com/VX2Finder(126).exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors voila, j'ai essayé avec les programmes que tu m'as donné, mais il en trouve aucun j'ai quand meme redemarrer le pc en mode sans echec, mais rien a faire, ad-aware n'arrive pas a effacer une dll, parce que rundll.exe est lancé.

J'ai esssayé de renommé le fichier rundll.exe pr empeché la dll de se lancer lol, mais toujours pas moyen d'effacer ce satané fichier.

 

C'est bizarre parce que;

- spybot y trouve rien.

- antivir lui me trouve un trojan quand je lance ad-aware:

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AAWTMP\C156750\A3X V25 UNLOCKER BY EDV11\A3X V25 UNLOCKER BY EDV11.EXE

 

The Trojan horse TR/Khiladi.2

 

j'ai essayé a² mais rien a faire

 

Merci de votre aide, si quelqu'un a une astuce parce que la je nage

 

ps: BONNE ANNEEEEEEE

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir et bonne année 2005 Coolbrother !

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AAWTMP\C156750\A3X V25 UNLOCKER BY EDV11\A3X V25 UNLOCKER BY EDV11.EXE
Ce fichier est dans le répertoire Temp ! effectue un nettoyage :

Clic droit sur C: / Propriétés / clique sur Nettoyage du disque / coche toutes les cases et OK

 

Pour supprimer un fichier récalcitrant, utilise KillBox ( http://tools.zerosrealm.com/killbox.zip ) qui supprime le fichier au reboot, avant que Windows ait monté ses protections et que les modules soient lancés !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonne année coolbrother, bonne année à tous,

 

Supprime ces 2 fichiers manuellement, dans l'Explorateur Windows... éventuellement en mode sans échec !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonne année a toi ipl 001

 

J'ai essayé mais pas possible, je vais redemarrer le pc en mode sans echec en essayant killbox mais je pense pas qu'il y arrivera

 

Je vous tiens au courant

 

j'ai oublié de vous dire que ni ad-aware ni spybot n'arrive a se lancer au demarrage, pour faire un scan!!

Modifié par coolbrother

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×