la communauté d'entraide francophone dédiée au PHP
Adware, spyware... popups... a l'aide!!
Bon j'ai fait tes manips et ca n'a rien changé.
Mon windows était bien à jour et j'ai sauté la partie du firewall.
Finalement j'ai pu identifier le problème, qui s'avère être le troyen malware VX2.BetterInternet. Ad-aware propose un add-on pour son logiciel qui malheureusement n'arrive jamais a être suffisament à jour pour contrer les nouvelles versions de VX2.
VX2 est qualifié comme étant le plus relou de tous les malware/adware du moment. Et je comprend pourquoi, une vrai p*tain de peste!!
Ses *.dll et ses entrées ds la base de registre changent après chaque reset, il se met a jour automatiquement, se recharge tout seul, tourne sous mozilla comme sous IE, télécharge d'autres spywares... bref l'ultime relou!!!
J'ai trouvé quelques forums avec des techniques assez récentes pour le virer. Encore une bonne galère... mais au moins il me semble que j'ai réussi (10 minutes sans popup).
En résumé il faut:
- virer le fichier *.tmp principal qui sur la version actuelle se nomme guard.tmp (mais change de nom régulièrement). Celui ci loge ds "C:\windows\systeme32\"
- utiliser DllCompare pour trouver les dll suspect (le nombre et les noms varient eux aussi - 6io855.dll, Ednez.dll, Io5i2jeo.dll...) tout en faisant attention de ne pas virer des dll système (la suppression se fait manuellement pour chaque dll, à l'aide de KILLBOX -> copier l'emplacement du fichier depuis DllCompare et cliquer sur l'option suppression après le reset).
- ensuite utiliser un petit prog du nom de VX2Finder pour répérer l'entrée ds la base de registre. En supprimant la clef (qui elle aussi change)ds "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform" on empêche le programme de perpetuellement remettre d'autres entrées de le startup du registre.
- après on nettoie son fichier HOSTS (à l'aide du prog HOSTER ou manuellement si l'on préfère)
- et finalement on repasse dans VX2Finder pour cliquer sur "Restore policy" ce qui mene a un reset.
Tout cela doit évidemment être fait avec un sa connexion internet désactivée, sinon vous pouvez tout de suite recommencer à 0.
Bref j'ai rarement vu un truc aussi chiant! Apparemment aucun antispyware actuel n'est réellement capable de virer cette infection...
hoster => http://www.funkytoad.com/hoster.htm
VX2Finder => http://www.downloads.subratam.org/VX2Finder.exe
DllCompare => http://www.downloads.subratam.org/DllCompare.exe
Killbox => http://www.downloads.subratam.org/KillBox.exe
Bon courage!
et merci encore pour ton temps Sloshy.
Mon windows était bien à jour et j'ai sauté la partie du firewall.
Finalement j'ai pu identifier le problème, qui s'avère être le troyen malware VX2.BetterInternet. Ad-aware propose un add-on pour son logiciel qui malheureusement n'arrive jamais a être suffisament à jour pour contrer les nouvelles versions de VX2.
VX2 est qualifié comme étant le plus relou de tous les malware/adware du moment. Et je comprend pourquoi, une vrai p*tain de peste!!
Ses *.dll et ses entrées ds la base de registre changent après chaque reset, il se met a jour automatiquement, se recharge tout seul, tourne sous mozilla comme sous IE, télécharge d'autres spywares... bref l'ultime relou!!!
J'ai trouvé quelques forums avec des techniques assez récentes pour le virer. Encore une bonne galère... mais au moins il me semble que j'ai réussi (10 minutes sans popup).
En résumé il faut:
- virer le fichier *.tmp principal qui sur la version actuelle se nomme guard.tmp (mais change de nom régulièrement). Celui ci loge ds "C:\windows\systeme32\"
- utiliser DllCompare pour trouver les dll suspect (le nombre et les noms varient eux aussi - 6io855.dll, Ednez.dll, Io5i2jeo.dll...) tout en faisant attention de ne pas virer des dll système (la suppression se fait manuellement pour chaque dll, à l'aide de KILLBOX -> copier l'emplacement du fichier depuis DllCompare et cliquer sur l'option suppression après le reset).
- ensuite utiliser un petit prog du nom de VX2Finder pour répérer l'entrée ds la base de registre. En supprimant la clef (qui elle aussi change)ds "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform" on empêche le programme de perpetuellement remettre d'autres entrées de le startup du registre.
- après on nettoie son fichier HOSTS (à l'aide du prog HOSTER ou manuellement si l'on préfère)
- et finalement on repasse dans VX2Finder pour cliquer sur "Restore policy" ce qui mene a un reset.
Tout cela doit évidemment être fait avec un sa connexion internet désactivée, sinon vous pouvez tout de suite recommencer à 0.
Bref j'ai rarement vu un truc aussi chiant! Apparemment aucun antispyware actuel n'est réellement capable de virer cette infection...
hoster => http://www.funkytoad.com/hoster.htm
VX2Finder => http://www.downloads.subratam.org/VX2Finder.exe
DllCompare => http://www.downloads.subratam.org/DllCompare.exe
Killbox => http://www.downloads.subratam.org/KillBox.exe
Bon courage!
et merci encore pour ton temps Sloshy.
Modifié en dernier par Gorghor le 28 oct. 2005, 13:25, modifié 4 fois.
tu sais où tu as pu choper ça ? Tu as trainé sur des sites louches ou bien c'est un logiciel ?Alors là, aucune idée. Mais vu le nombre de réponses que tu trouves en tapant VX2.BetterInternet dans Yahoo, il semble que c'est un problème assez commun.
Ad-aware promet de pouvoir s'en charger sans problème ds la version 2006 de leur logiciel. Espérons juste que d'ici là, les c*nnards qui programment VX2 n'aient pas trouvé une autre méthode.
Ad-aware promet de pouvoir s'en charger sans problème ds la version 2006 de leur logiciel. Espérons juste que d'ici là, les c*nnards qui programment VX2 n'aient pas trouvé une autre méthode.
Ben j'ai vu pas mal de fix, mais la plupart datent de fin 2004, début 2005 et depuis VX2 n'a cessé de changer son intégration. A titre d'exemple la version 2.0 de l'addon Ad-aware qui lui même est assez récent parvient seulement a détecter l'infection. Il faut ensuite envoyer un fichier log à Lavasoft pour qu'ils l'étudient.
Bref, je le souhaite a personne!!! quoique...
EDIT: un truc me vient à l'esprit, ma copine utilise parfois un site allemand pour envoyer des SMS gratuit. Vu le nombre de popup que présente le site à lui seul, je le soupçonne capable d'être responsable.
Sinon je vois tjrs pas comment j'ai pu le choper, enfin de tte manière difficile de savoir avec ces merdes!
Bref, je le souhaite a personne!!! quoique...
EDIT: un truc me vient à l'esprit, ma copine utilise parfois un site allemand pour envoyer des SMS gratuit. Vu le nombre de popup que présente le site à lui seul, je le soupçonne capable d'être responsable.
Sinon je vois tjrs pas comment j'ai pu le choper, enfin de tte manière difficile de savoir avec ces merdes!
au fait, tu pourrais me redonner un rapport hjt svp?
juste pour faire une comparaison avec les anciens voir s'il est detectable
dis moi, tu utilises un soft du nom de ScanSpyware ?
juste pour faire une comparaison avec les anciens voir s'il est detectable
dis moi, tu utilises un soft du nom de ScanSpyware ?
Copier sur un seul, c'est du plagiat. Copier sur deux, c'est de la recherche. Mizner Wilson
Salut à tous,
moi j'utilise l'anti-spy de Weebroot Spysweeper et il est vraiment bon
moi j'utilise l'anti-spy de Weebroot Spysweeper et il est vraiment bon