Virus trojan downloader.win32.Agent.aaj

herbod -  
aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur -
salut à tous les pros de l'info,
moi je n'en suis pas un, c'est pourquoi je viens vous solliciter. En fait kasper m'a détecté un virus trojan downloader.win32.agent.aaj et impossible de le supprimer, il se trouve dans l'objet D:\WINDOWS\system32\vtsqr.dll, j'ai donc essayé de supprimer cet objet en mode sans échec mais malheureusement il est introuvable.
pouvez-vous svp m'aider, à côté de ça l'ordi fonctionne correctement, sauf de temps en temps quand une page bleue arrive après un démarrage.
Je vous envoi un rapport pour vous aider
merci de votre aide
a+
herbod

Logfile of HijackThis v1.99.1
Scan saved at 15:05:04, on 16/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\drivers\KodakCCS.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\ScsiAccess.EXE

D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
D:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\program files\AsusProb.exe
D:\Program Files\Labtec\Labtec Mouse Software\2.0\mouse32a.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Winamp\winampa.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\BOISBOIS\Mes documents\Mes fichiers reçus\SOS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\System32\vtsqr.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSEvents Object - {CE70731D-F28D-4D81-9D61-C8EE60378401} - D:\WINDOWS\System32\awvvt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "D:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ASUS Probe] d:\program files\AsusProb.exe
O4 - HKLM\..\Run: [FLMLABTECMOUSE] D:\Program Files\Labtec\Labtec Mouse Software\2.0\mouse32a.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [olut] D:\WINDOWS\olut.exe
O4 - HKLM\..\Run: [SearchUpgrader] D:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [winservit] cassl.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] D:\Documents and Settings\BOISBOIS\del-me.exe
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\Run: [Media Access] D:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [winservit] cassl.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [winservit] cassl.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe
O4 - HKCU\..\RunServices: [Service] wN2S.exe
O4 - Startup: palmOne Registration.lnk = D:\Program Files\palmOne\register.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = D:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097017015000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O20 - Winlogon Notify: awvvt - D:\WINDOWS\System32\awvvt.dll
O20 - Winlogon Notify: vtsqr - D:\WINDOWS\SYSTEM32\vtsqr.dll
O23 - Service: 3Com DMI Agent (3ComDMIService) - 3Com Corporation - D:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: kavsvc - Kaspersky Labs - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - D:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - D:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

7 réponses

  1. Utilisateur anonyme
     
    salut

    waooooooooooo, quelle infection !!

    j y regarde
    0
  2. Utilisateur anonyme
     
    salut esque ton antivirus est ajour parceque t'es trop infecté . je ne sais meme plus par ou commencé lol

    commence par mettre a jour ton antivirus ensuite le lancer en mode sans echec (redemarrage + tapotte sans arret sur F8 desque l'ordi s'allume)

    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    ***
    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***

    et aussi ceci
    (3) CleanUp40.exe
    http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ***
    (4) a2

    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    ***
    ps : un grand merci a balltrap pour les lien :)

    (5) Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système.

    (6)SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    refait un hijack et colle le resultat ici

    @+++++++++
    0
  3. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bsr
    fixe ceci
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097017015000
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

    pour le reste regis s'occupe de toi , c'est un Roi
    0
  4. Utilisateur anonyme
     
    Salut,

    Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

    1/

    télécharge : process xp ici:
    http://www.sysinternals.com/files/procexpnt.zip

    Télécharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe

    :: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
    http://pageperso.aol.fr/balltrap34/killbox.htm

    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------

    2/

    Déconnecte toi du net.
    Ferme tous les programmes en cours (média player, internet explorer, ...etc)

    Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

    * Dans la fenêtre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionne seulement les lignes qui contiennent awvvt.dll puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    * Dans la fenêtre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionner seulement les lignes qui contiennent awvvt.dll puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    et

    * Dans la fenêtre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionne seulement les lignes qui contiennent vtsqr.dllpuis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    * Dans la fenêtre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionner seulement les lignes qui contiennent vtsqr.dll puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    3/

    puis lancer HijackThis:

    clique sur "do a system scan only"

    * Cocher la case au début de ces lignes:

    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - D:\WINDOWS\System32\vtsqr.dll

    O2 - BHO: MSEvents Object - {CE70731D-F28D-4D81-9D61-C8EE60378401} - D:\WINDOWS\System32\awvvt.dll

    O4 - HKLM\..\Run: [SearchUpgrader] D:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

    O4 - HKLM\..\Run: [winservit] cassl.exe

    O4 - HKLM\..\Run: [winservit] cassl.exe

    O4 - HKLM\..\Run: [Windows Service Pack Auto Update] D:\Documents and Settings\BOISBOIS\del-me.exe

    O4 - HKLM\..\Run: [Windows Registry] winhost.exe

    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

    O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe

    O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

    O4 - HKLM\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

    O4 - HKLM\..\Run: [notes] notes.exe

    O4 - HKLM\..\Run: [Media Access] D:\Program Files\Media Access\MediaAccK.exe

    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

    O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

    O4 - HKLM\..\RunServices: [winservit] cassl.exe

    O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe

    O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe

    O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

    O4 - HKLM\..\RunServices: [SP2 Firewall/Internet Updater] crssrs.exe

    O4 - HKLM\..\RunServices: [notes] notes.exe

    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

    O4 - HKCU\..\Run: [winservit] cassl.exe

    O4 - HKCU\..\Run: [Windows Registry] winhost.exe

    O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe

    O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

    O4 - HKCU\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

    O4 - HKCU\..\RunServices: [Service] wN2S.exe

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab

    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)

    O20 - Winlogon Notify: awvvt - D:\WINDOWS\System32\awvvt.dll

    O20 - Winlogon Notify: vtsqr - D:\WINDOWS\SYSTEM32\vtsqr.dll

    * Valider avec fix checked

    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents).

    D:\Program Files\Common files\SearchUpgrader
    D:\Documents and Settings\BOISBOIS\del-me.exe
    C:\UNMT.EXE
    D:\Program Files\Media Access
    D:\WINDOWS\System32\P2P Networking
    MSMSN32.exe
    notes.exe
    msnq3insller.exe
    cassl.exe
    winhost.exe
    MSMSN32.exe
    MSAOL32.exe
    crssrs.exe
    wN2S.exe

    ----------------------------------------------------------------------------

    5/

    Double clic sur killbox.exe (Pocket Killbox)

    Avec la methode du bloc note, voici la liste:

    D:\WINDOWS\System32\awvvt.dll
    D:\WINDOWS\SYSTEM32\vtsqr.dll

    Laisse le pc redémarrer sinon redemarre manuellement
    Et après reposte un log HijackThis.

    A+
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      bsr reg
      killbox, I know it
      but "process.xp" ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut

    En fait, je crois la voir expliqué a boulepate...

    En fait il faut supprimer l'exe grace a process xp
    comme tu peux le voir, il faut les supprimer dans 2 parties bien speciales !
    winlogon.exe
    explorer.exe

    Si tu ne supprime pas comme ci dessu, il sera toujours regénéré et donc la suppression ne se fera pas !

    Il faut utiliser cette manip avec kill + process lorsque tu es face a l infection trojan vundo ou trojan agent cs 1 (c est les memes)
    On les distingue comme cela

    O2 - BHO: MSEvents Object - {CE70731D-F28D-4D81-9D61-C8EE60378401} - D:\WINDOWS\System32\awvvt.dll

    O20 - Winlogon Notify: awvvt - D:\WINDOWS\System32\awvvt.dll

    La dll est identique en 02 et 020
    en 02; il y a parfois le mot MSEvents Object
    la dll peut etre n importe quoi !

    a+

    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      ok
      merci regis
      je m'imprime cela de peur d'oublier
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    juste une petite rectif
    se n est pas l exe que tu suppr avec process mais la dll
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      ok
      je rectif'...... à la main
      0
  8. Utilisateur anonyme
     
    Bien vu balltrap, Merci de m avoir corrigé
    Excuse moi pour la faute aranjuez

    a+
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      errare humanum est

      pas grave
      bon ouike
      0