Forum Clubic

Vx2.bckp HELP!

j’ai xp familial et une saleté de spy apparement.VX2 quelqu’un en aurait-il entendu parler merci de m’aider. :frowning:

http://www.lavasoftsupport.com/index.php?showtopic=40483

thx keeper pour la réponse ; j’ai télécharger et installé vx2 cleaner mais il ne me donne que le choix de quitter!!!:yep:
si tu connait une autre soluce merci de m’avertir!!!
:bounce:

vx2 est un plug-in de ad-aware
comment

a tu decouvert cet spyware?

Moi ça fait 2 mois que je me bat avec pour l’enlever.
ça ma foutu un bordel pas possible
je l’ai supporté en attendant ma nouvelle config.
je formate samedi
Perso je croi avoir tout essayer en vain

je l’ai découvert en lancant ad-aware qui m’a trouvé deux éléments sans pouvoir rien y faire et depuis je bataille comme boolzoor apparement, et depuis aussi longtemps mais je perds pas espoir…ou du moins pas encore.

oui bein a l’interface de ad-aware tu clique sur Adds-ons et selectionner le plug-in que tu a télécharger puis l’exécuter, fait nous parvenir le raport

je l’ai fait déja mais vx2 cleaner ne me laisse pas d’autre choix que de fermer(clean est grisé et non accessible).

http://www.lavasoftusa.com/images/plugins/vx2cleanersml.gif
si ont te montre la boîte de dialogue comme sur l’image tu clique sur Clean System ensuite tu reboot et refait un scan avec ad-aware, tu efface les entrées de vx2, tu reboot encore et refait un scan pour être sûr que c’est propre.

C’est la demarche proposée par Lavasoft :slight_smile:

merci mais je n’ai pas la possibilité de cliquer sur clean system?donc je suis perdu. :frowning:

(*)Ptre regarder dans le .log generée par Ad-aware et voir quelle version de cet spyware il s’agis (ila plusieurs variants).

HijackThis1.99.0 http://hijackthis.de/downloads/hijackthis_199.zip dans ce cas ;
Tu dezippé dans un dossier de ton choix puis double clique et “Do a System scan and save a log file” et coller son contenu ( complet ) ici sur le forum.

j’ai pas précisé mais je débute et donc en francais ca donne??? :smiley:

ah ok, ca donne la même chose sinon :d
tu a télécharger HijackThis?
après l’avoir dezippé tu double clique sur l’icone, puis tu repond OK ensuite “Do a System scan and save a log file” et tu aura un fichier .txt ( ont appelle ca un .log )
Ctrl+A = selectionner tout; Ctrl+C = Copier; Ctrl+ V = Coller ici sur le forum.

merci pour ta patienceLogfile of HijackThis v1.99.0
Scan saved at 23:58:02, on 27/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\j.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG05.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\olivier&maryse\Mes documents\Mes fichiers reçus\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM…\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKLM…\Run: [Starting up] wvsvc.exe
O4 - HKLM…\Run: [Quicktime Mediaplayer] winmplyer32.exe
O4 - HKLM…\Run: [Windows media service] crsss.exe
O4 - HKLM…\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM…\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM…\Run: [REGRUN] C:\WINDOWS\j.exe
O4 - HKLM…\Run: [USB2] iexplorer.exe
O4 - HKLM…\Run: [Start Uppings] mssupdate.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\RunServices: [Microsoft Windows Update] svcshost.exe
O4 - HKLM…\RunServices: [Starting up] wvsvc.exe
O4 - HKLM…\RunServices: [Quicktime Mediaplayer] winmplyer32.exe
O4 - HKLM…\RunServices: [Windows media service] crsss.exe
O4 - HKLM…\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKLM…\RunServices: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM…\RunServices: [USB2] iexplorer.exe
O4 - HKLM…\RunServices: [Start Uppings] mssupdate.exe
O4 - HKCU…\Run: [Microsoft Windows Update] svcshost.exe
O4 - HKCU…\Run: [Starting up] wvsvc.exe
O4 - HKCU…\Run: [Sepate Security Firewall] sepate.exe
O4 - HKCU…\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU…\Run: [USB2] iexplorer.exe
O4 - HKCU…\Run: [Start Uppings] mssupdate.exe
O4 - HKCU…\RunServices: [Start Uppings] mssupdate.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.vivreaquebec.com/ezwebcam21/AXWebMonProj1.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102802114734
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/AxisCamControl.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip…{BC95944B-0F8D-4B87-B0B1-DC2775428E30}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

.

ah oui d’accord(oulalalaaa)
ont va faire autrement:

déjà désactiver la réstauration système (clic droit sur le Poste de travail, Propriétés, a l’onglet Réstauration système: cocher la case si ce n’est déjà fait)
télécharge ce petit scan ( http://antidote.ac-besancon.fr/prog/tsc.zip ) et tu aura deux fichiers que tu va placer dans un même dossier(Mes documents par ex),
redémarre en mode sans échec (F8 au lancement de la machine) et lance tsc.exe

je n’ai plus de temp a ma disposition mais normalement après le scan de tsc dans la même dossier ila un rapport que tu peu verifier et eventuelement le poster ici sur le forum.

pour la suite demain :stuck_out_tongue:

bon ben j’ai fait tout ca et bien sur j’y pompe que dalle :ouch:
donc le voici .Damage Cleanup Engine (DCE) 3.9(Build 1020)
Windows XP(Build 2600: Service Pack 2)

Start time : ven. janv. 28 2005 23:59:47

Load Damage Cleanup Template (DCT) “C:\Documents and Settings\olivier&maryse\Mes documents\Mes fichiers reçus\keeper1\tsc.ptn” (version 495) [success]
WORM_AGOBOT.AE[virus found]
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Run”,“IEXPLORER.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices”,“IEXPLORER.exe”) success
BKDR_WOOTBOT.I[virus found]
–>delete registry data(“HKEY_USERS”,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run",“iexplorer.exe”) success
–>delete registry data(“n/a”,“Software\Microsoft\Windows\CurrentVersion\Run”,“iexplorer.exe”) success
WORM_WOOTBOT.BU[virus found]
–>delete registry data(“HKEY_USERS”,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run",“svcshost.exe”) success
–>delete registry data(“n/a”,“Software\Microsoft\Windows\CurrentVersion\Run”,“svcshost.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Run”,“svcshost.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Runservices”,“svcshost.exe”) success
WORM_SDBOT.ACA[virus found]
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Run”,“winmplyer32.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Runservices”,“winmplyer32.exe”) success
–>delete registry data(“n/a”,“Software\Microsoft\OLE”,“winmplyer32.exe”) success
WORM_RBOT.QQ[virus found]
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Run”,“wvsvc.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\RunServices”,“wvsvc.exe”) success
–>delete registry data(“n/a”,“Software\Microsoft\Windows\CurrentVersion\Run”,“wvsvc.exe”) success
–>modify registry value(“HKEY_LOCAL_MACHINE”,“SYSTEM\CurrentControlSet\Control\Lsa”,“restrictanonymous”) success
–>modify registry value(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Ole”,“EnableDCOM”) success
WORM_SDBOT-4[virus found]
–>delete registry data(“n/a”,“Software\Microsoft\OLE”,“crsss.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“Software\Microsoft\Windows\CurrentVersion\Run”,“crsss.exe”) success
–>delete registry data(“HKEY_LOCAL_MACHINE”,“SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices”,“crsss.exe”) success

Complete time : sam. janv. 29 2005 00:00:42
Execute pattern count(1795), Virus found count(6), Virus clean count(6), Clean failed count(0)

:d lol

refait un scan avec Hijack et poster le log ici :wink:

en mode sans échec?

non non c’est fini d’eradiquer les virus, ont s’attaque a autre chose si il en reste biensur.

pense aussi a un scan avec spybot.