Vx2.bckp HELP!

héhé le scan a besoin d’une mise à jour que tu vois defiller dans l’interface en bas …bref

pour vx2 ont sait tjr pas de quelle version il s’agis [:siffle] :
http://www.pchell.com/downloads/vx2finder.exe tu l’enregistre sur le Bureau par ex puis tu exécute l’apllication et “'Click to Find VX2 Betterinternet” après “Make Log” <<< le contenu coller ici sur le forum !

Log for VX2.BetterInternet File Finder

Files Found—

Guardian Key— is called:

User Agent String—
{0B860F64-733B-44A1-96F8-623BD3FB2DF0}

merci.

hum, c tout?
attention je teste d’abord ses outils moi, pas moyen de me tromper :d

refais la manip sans être connecté al’internet(cable debranché pour bien faire :d)
puis nous coller le contenu du .log

j’ ai refai déconecté cé pareil: problem?

non il faut trouver de quelle version il s’agis,
sur l’interface de VXFinder tu a “version” en haut a gauche et la tu la fait avec msg126 donc tu refait la manip après avoir cochér comme sur l’image :
http://img189.exs.cx/img189/6782/sanstitre9pq.th.jpg

désolé mais dans VXFinder je n’ai pas version en haut a gauche et mon interface n’est pas coloré comme ta capture

ok, efface l’autre dans ce cas et prend cette version : http://www.downloads.subratam.org/VX2Finder.exe

[:xiao_bin] là ca le fait

Log for VX2.BetterInternet File Finder (ALL)

Files Found—

Additional Files—

Keys Under Notify—
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
Themes
wlballoon

Guardian Key— is called:

Guardian Key— :

User Agent String—
{0B860F64-733B-44A1-96F8-623BD3FB2DF0}

Bien,

la manip sans connexion au net
après le scan (‘Click to Find VX2 Betterinternet’)
si tu a des fichiers trouvées a l’endroit ‘Check Files you want to Delete’ tu clique sur ‘Delete this files’ ensuite tu reboot et tu refais la manip (tjr sans connexion au net).

dans le cas où il n’y a pas des fichiers trouvées tu clique ‘UserAgent$’ et tu repond ok et rebelotte rebootér la machine et verifier avec ad-aware et son fameu plug-in.

voilà

cé le 2ème cas de figure et j’ ai suivi les démarches que tu m a donné mais cé toujours pareil. [:xavx]

:confused: tu a supprimé la clé a l’aide de UserAgent$ ?

montre-nous un log de ad-aware(après le scan tu clique et coller son contenu ici)

sur ce, bonne nuit :stuck_out_tongue:

apparement pour UserAgent$ ca n a rien fait puisque je l’ai relancé après et qu’il me sort le meme log. et pour ad aware j’ ai refait un scan (cable débranché) dont voici le .log

ArchiveData(auto-quarantine- 2005-02-13 00-23-44.bckp)
Referencefile : SE1R27 05.02.2005

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU RegReference : S-1-5-21-102460857-1801304193-174518889-1005\software\microsoft\windows\currentversion\explorer\runmru
obj[1]=MRU RegReference : S-1-5-21-102460857-1801304193-174518889-1005\software\microsoft\windows\currentversion\applets\regedit lastkey

VX2
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Processus : C:\WINDOWS\system32\t88ulil918q.dll
obj[3]=Processus : C:\WINDOWS\system32\guard.tmp
obj[4]=Processus : C:\WINDOWS\system32\guard.tmp

[:@rez:9]

Bonjour, joli avatar:d

bon,j’espere que la restauration systeme est tj desactivé?
dans ajout/supprimer les programmes il n’y a pas un Look2Me?

dans l’'xplorateur windows : outils, options des dossiers, affichage, cochér “Afficher les fichiers et dossiers cachés” et decohér aussi “Masquer les fichiers protégés du systéme d’exploitation” puis OK et fermer l’explorateur.

télécharger http://www.billsway.com/vbspage/ (vers le bas de la page tu cherche après “Registry Search Tool” et l’enregistrer sur le Bureau.

télécharger http://users.skynet.be/fa943955/DllCompare.exe
télécharger http://www.downloads.subratam.org/KillBox.zip

télécharger http://forum.gladiator-antivirus.com/index.php?s=b395ccd2165929366dcddc69f8e3fd3a&act=Attach&type=post&id=37061
enregistrer sur le Bureau egalement.

je te dirais quoi faire de que tu a télécharger ces 4 outils :wink:

une fois télécharge :
tj sans connection au net ,dezipper RegSrch dans un nouveau dossier ensuite desactiver l’antivirus (dans le gestionnaire de tâches aussi) et exécuter RegSrch.vbs et dans la fenêtre marquer{0B860F64-733B-44A1-96F8-623BD3FB2DF0} OK, une fois la clé trouvé copier le message et coller le contenu ici.

tj sans connection au net, tu exécute DllCompare.exe, dans l’interface tu clique RunLocate.com, après que le scan Compare, tu vera defiller les dll, quand c fini Make a Log of What was found et coller le contenu ici.

tj sans connection au net, tu exécute HostFileReader, en bas a droite tu clique Scan For Hosts ensuite sur l’entrée trouvé(C\WINDOWS\system32…) tu double clique decu et copier le contenu puis le coller ici.

ne rien faire d’autre !

[:ansreich] merci pour l’avatar

alors pour RegSrch.vbs
No instances of “0b860F64-733B-44A1-F8-623BD3FB2DF0” found.
pour les autres voilà:

Copyright © 1993-1999 Microsoft Corp.

Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

pour Windows.

Ce fichier contient les correspondances des adresses IP aux noms d’hôtes.

Chaque entrée doit être sur une ligne propre. L’adresse IP doit être placée

dans la première colonne, suivie par le nom d’hôte correspondant. L’adresse

IP et le nom d’hôte doivent être séparés par au moins un espace.

De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

lignes propres ou après le nom d’ordinateur. Ils sont indiqué par le

symbole ‘#’.

Par exemple :

102.54.94.97 rhino.acme.com # serveur source

38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com

Start of entries inserted by Spybot - Search & Destroy

End of entries inserted by Spybot - Search & Destroy

et:

  • DLLCompare Log version(1.0.0.127)
    Files Found that Windows does not See or cannot Access
    *Not everything listed here means you are infected!

C:\WINDOWS\SYSTEM32\gppql3~1.dll Wed 16 Feb 2005 19:15:36 …S.R 224 087 218,83 K
C:\WINDOWS\SYSTEM32\jt0o07~1.dll Wed 16 Feb 2005 18:57:10 …S.R 224 729 219,46 K


1 267 items found: 1 267 files (2 H/S), 0 directories.
Total of file sizes: 282 857 049 bytes 269,75 M

Administrator Account = True

--------------------End log---------------------

[:xiao_bin]

ok :), ici la manip il faut la faire dans l’ordre, sans connexion al’internet et ne pas redémarrer la machine avant la fin !

[]decocher TeaTimer dans Spybot.
[
]fermer tous les programmes.
[]exécuter KillBox et cocher <EndExplorerShellWhileKillingFile>, ajouter dans l’espace <FullPathOfFileToDelete> : C:\WINDOWS\system32\t88ulil918q.dll ensuite cliquer sur la croix rouge, un message te dira si ca été bien supprimé ou pas, si il refuse de supprimer il faut cocher “Delete on Reboot” et cliquer sur la croix mais ne pas redémarrer.
(
) Note: la tâche “explorer” va s’aretter donc si tu vois ta bare de tâches disparaitre c’est normal tu clique dans l’interface de KillBox <StartExplorerShell>

la même manip pour :

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\SYSTEM32\gppql3~1.dll
C:\WINDOWS\SYSTEM32\jt0o07~1.dll

[]exécuter VX2Finder et supprimer les fichiers trouvées ainsi que la clé avec UserAgent$
[
]exécuter HostFileReader, double cliquer sur c:\WINDOWS\System32\Drivers\etc\Hosts et supprimer tout(Delete) puis coller ceci:
[fixed]# Copyright © 1993-1999 Microsoft Corp.

Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

pour Windows.

Ce fichier contient les correspondances des adresses IP aux noms d’hôtes.

Chaque entrée doit être sur une ligne propre. L’adresse IP doit être placée

dans la première colonne, suivie par le nom d’hôte correspondant. L’adresse

IP et le nom d’hôte doivent être séparés par au moins un espace.

De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

lignes propres ou après le nom d’ordinateur. Ils sont indiqué par le

symbole ‘#’.

Par exemple :

102.54.94.97 rhino.acme.com # serveur source

38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost[/fixed]
et pour finir <SaveChanges>, fermer le programme.

[]C:\WINDOWS\Prefetch et supprimer tout son contenu et non pas le dossier en lui même.
[
]a la racine du disque C:\ ila un dossier !Submit a supprimer(mais après avoir redémarrer la machine dans ce seul et unique cas!).
[]nettoyage de disque avec l’utilitaire windows et CCleaner.
[
]redémarrer la machine et télécharger http://www.javacoolsoftware.com/mrublaster.html (faire un nettoyage avec) ainsi que télécharger la nouvelle version de HijackThis(l’autre il faut la déinstaller dans ajout/supprimer les programmes http://www.spywareinfo.com/~merijn/index.html )

et j’ai besoin de voir un .log de Ad-aware(après l’avoir mis à jour> ila eu des nouvelle definitions jourd’hui), VX2,CompareDll, HostFileReader et HijackThis :d

ok mais demain merci [:@rez:9]

:stuck_out_tongue: alors voici tout ca:
Logfile of HijackThis v1.99.1
Scan saved at 22:20:04, on 17/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\olivier&maryse\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM…\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\RunServices: [Sepate Security Firewall] sepate.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.vivreaquebec.com/ezwebcam21/AXWebMonProj1.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102802114734
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\q2680cjuefo80.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

et puis aussi:
ArchiveData(auto-quarantine- 2005-02-17 22-36-26.bckp)
Referencefile : SE1R28 16.02.2005

VX2
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Processus : C:\WINDOWS\system32\q2680cjuefo80.dll

ste plait dis que cé fini (mais j’y crois pas). :pt1cable:

:stuck_out_tongue: déjà si tu me lisais pas seulement entre les lignes ont aurais fini avant …qui sait :d

a fixer avec Hijack sans connexion :
O4 - HKLM…\RunServices: [Sepate Security Firewall] sepate.exe
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\q2680cjuefo80.dll

ensuite supprimer le dossier backup et je veu voir :
log de ad-aware, comparedll, hostfilereader et hijackthis

a vérifier egalement dans le registre a la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] si ila une entrée {0B860F64-733B-44A1-96F8-623BD3FB2DF0} et la supprimer !