Prob avec un spyware

salut,

Comment supprimer le spyware lop?
j’ai essayé avec ad aware il le detecte mais n’arrive pas a le supprimer quant a spybot il le detecte meme pas.

c’est vraiment chiant parce que ça me met une barre en haut d’internet explorer (meme si je l’utilise pas) une autre que je peux fermé avec un fond bleu et sa met deux racourci sur le bureau nomé poker et casino online.

[quote name=‘Night_devil’ date=’ 15 Feb 2005, 13:31’]salut,

Comment supprimer le spyware lop?
j’ai essayé avec  ad aware il le detecte mais n’arrive pas a le supprimer quant a  spybot il le detecte meme pas.

c’est vraiment chiant parce que ça me met une barre en haut d’internet explorer (meme si je l’utilise pas) une autre que je peux fermé avec un fond bleu et sa met deux racourci sur le bureau nomé poker et casino online.
[right][post=“332927”]<{POST_SNAPBACK}>[/post][/right][/quote]

que veux-tu dire par “n’arrive pas à le supprimer”? Peux-tu être plus précis?

Tu as essayé la beta de l’antispyware de Microsoft?

Essaie HitmanPro, il installe plein d’antispywares récents, les met à jour automatiquement et scanne ton PC. C’est en néerlandais mais on comprend le principal.

[quote name=‘Night_devil’ date=’ 15 Feb 2005, 12:31’]salut,

Comment supprimer le spyware lop?
[right][post=“332927”]<{POST_SNAPBACK}>[/post][/right][/quote]
Vas sur le site http://www.lop.com/, cliques sur Help en bas de page. Il ne reste plus qu’a cliquer sur “How do I uninstall one of your software products?” et suivre les instructions…

Sinon, l’antispyware de Microsoft…

Par défaut, redémarre en mode sans échec (F8 quand tu rebootes), puis après, normalement, avec tes petits doigts boudinnés, tu devrais réussir à virer pas mal de trucs qui te gênent.
Souvent un tel problème est dû au fait que le programme est en marche.

pour le déménager par la fenetre, HijackThis devrait pouvoir t’aider. et pour ne pas faire de betises, un evaluateur du log généré par HijackThis.

[quote name=‘mmenfin’ date=’ 15 Feb 2005, 18:30’]pour le déménager par la fenetre, HijackThis devrait pouvoir t’aider. et pour ne pas faire de betises, un evaluateur du log généré par HijackThis.
[right][post=“333066”]<{POST_SNAPBACK}>[/post][/right][/quote]
HijackThis roxxor, ouais. Merci pour l’évluateurs, c’est pas mal pour les non-geeks.

[quote name=‹ Lemm › date=’ 15 Feb 2005, 14:39’]Vas sur le site http://www.lop.com/, cliques sur Help en bas de page. Il ne reste plus qu’a cliquer sur « How do I uninstall one of your software products? » et suivre les instructions…

Sinon, l’antispyware de Microsoft[/quote]
Je confirme. Le plus simple : directement le site de LOP.

Cela peut paraître bizarre de se jeter ainsi dans la gueule du loup mais ça marche. :stuck_out_tongue:

A propos de spyware bien gonflant, j’ai du passer au formatage de mon HD à cause d’un
certain VX2…

En surfant sur des forums hardware sur le net, j’ai chopé un moyen de le virer en 12 ou 13 étapes :stuck_out_tongue:

Bon, j’ai préféré formater.

A priori, aucun logiciel ne peut faire sauter ce VX2 , même le soit-disant VX2-cleaner de Ad-aware SE…

Je pense sans doute ne pas être le seul à avoir chopé ce schmut… :stuck_out_tongue:

[quote name=‹ supranico › date=’ 19 Feb 2005, 02:05’]A propos de spyware bien gonflant, j’ai du passer au formatage de mon HD à cause d’un
certain VX2…

En surfant sur des forums hardware sur le net, j’ai chopé un moyen de le virer en 12 ou 13 étapes  :stuck_out_tongue:

Bon, j’ai préféré formater.

A priori, aucun logiciel ne peut faire sauter ce VX2 , même le soit-disant VX2-cleaner de Ad-aware SE…

Je pense sans doute ne pas être le seul à avoir chopé ce schmut…  :stuck_out_tongue:
[right][post=« 334126 »]<{POST_SNAPBACK}>[/post][/right][/quote]

Je déterre ce thread parce que c’est ce que j’ai… Une variante du VX2 et aucun, aucun soft ne parvient à le virer.

J’ai pas de pop-ups gonflant, juste une toolbar sans nom quand je fais hijackthis, ainsi qu’un plantage de msn (ça c’est depuis que je trifouille la base de registre) au lancement, mais surtout un plantage d’explorer en quittant. Je me suis replongé dans l’extermination de cet abruti car il me pourri ma barre des tâches qui fonctionne mal. C’est un vieux truc d’il ya des mois et il est toujours là. Chuis vert.

J’ai tout essayé, tout les antispyware et antivirus que je pouvais. Pour tous ou presque (le scan online de Panda me dit que je suis infecté), je suis clean. Les modes sans echec et les reboot sont inutiles, le lascard a les droits d’admin et fait ce qu’il veut. En même temps ça fait gagner du temps :stuck_out_tongue:

J’ai trouvé la méthode en 12/13 étapes, je l’ai exécuté mais apparemment c’est une vrai saloperie le truc; j’arrive pas à localiser le process lançé. Un moment il utilisais rundll.exe c’était relativement facile de le chopper, là je le soupçonne de se cacher, peut-être sous msn (que j’ai retiré du démarrage et qui revient). Depuis rundll.exe n’est plus exécuté mais j’ai pas confiance… Je vais refaire un scan Panda.

L’analyse de log me permet de voir que tout les process lançés d’explorer, sont signés xpsp_sp2… Une variante de ce vers aurais t-elle réussi à se faire passer pour un process authentifié ?

Voilà en fait ma question :stuck_out_tongue:

Je colle la méthode qui fait quand même bien le ménage.

[code]VX2 does the following to your system:

  1. can create the file c:\windows\system32\guard.tmp
  2. also creates random .dll files in c:\windows\system32
    -fortunately they are the same file size and will have
    todays date so they’re easy to spot
  3. upon shutdown, rebooting will generate new random .dll files
    -it uses only 1 random .dll file at a time, it will create an
    extra one that will become the new .dll file to be used by
    RunDll32.exe on the next boot. When you reboot, another .dll file
    is created for when you reboot again. See how sneaky it is.
  4. Look in processes and you will see RunDll32.exe running
    -hit ctrl + alt + delete and click processes to look for it
    -You can end the RunDll32.exe process but it will come back, over
    and over
  5. attaches itself to the winlogon process used by windows
    -therefore can run in safe mode as well, doh!
  6. Pops up spyware windows occasionally from the RunDll32.exe process

Software you will need. Do a search online for these:

  1. VX2Finder.exe
  2. Hijackthis
  3. Process Viewer (http://downloads.subratam.org/pv.zip)
  4. Killbox.exe
  5. Ad-Aware SE
  6. Spybot
  7. CWShredder

Here is the trick to removing this nasty spyware.

  1. run the runme.bat file in the Process Viewer folder
    -should be located on the Tech Bench Tools cd in sftw fixes\spyware.

-use option 5, a log file should be created in notepad. Next use
option3. You should have two logfiles opened.

-look through these log files for any entries that do not have the
words « xp » out to the far right. exclude COMRes.dll,OLEAUT32.dll,CLBCAT­Q.dll,
or any others that tell you exactly who the publisher is.

  1. Now that you have the proper files pinpointed, run killbox.exe
    -should be located on the Tech Bench Tools cd in sftw fixes\spyware.

Copy/paste the location of the file into the text input box. Select the option to delete on reboot. Hit yes when prompted if ok to delete, but hit no when asked to reboot. Repeat this for all other suspected files.

  1. navigate to c:\windows and delete the file named wininit.ini if it
    exists.
    -This is commonly used by spyware to rename itself upon windows
    restarting. Windows also uses it for its own purposes as well.
    Don’t  worry, when windows needs it, it will recreate the file.

  2. Run Hijack This and delete any suspected entries

  3. Now reboot your computer and boot back in regular mode again

  4. If you did it correctly, you should not get any errors upon booting
    in windows. Also, RunDll32.exe should not be running in
    processes(double check this).

  5. Next, navigate to c:\windows\system32 and in the view menu choose
    detailed view. Choose to arrange icons by date modified. Look for todays or
    yesterdays date. Look for any random .dll files around these dates that should
    all be around the same file size. There could even be some that are before
    yesterdays date if the machine has been infected long enough. To be
    safe stick with todays date and yesterday. DO NOT DELETE WPA.DBL, this is
    the windows product activation database (WPA) file. It has a tendency to
    have a current date modified. Only delete the proper .dll files.

  6. Clear all temp folders. There is a clear_temp_files.bat file on the
    Tech Bench Tools cd in sftw fixes\spyware

  7. Run the VX2Finder.exe app and run a scan. Click on the « Open regedit » button.
    Click on each key and on the right look at the DllName entry, look
    for a random .dll name. Google a dll if you are unsure. Delete the key on the left
    if any suspecting keys are found. Back to the VX2Finder app, click each of
    the 3 buttons on the right labeled « Restore Policy », « User Agent$ », « Guardian
    .reg » but choose not to restart computer.

  8. Run a winsock fix to reset the hosts file, your machine should restart at this point.

  9. Now run Ad-Aware SE, Spybot, Hijack This, CWShredder, and BHODemon

  10. Double check in msconfig for any bad entries and run asviewer.exe
    (located on Tech Bench Tools cd in misc\Startup Viewer). Delete any suspicious
    entries.

  11. reboot computer final time, all should be done .

You should be clean of VX2 now. This has got to be the hardest spyware
ever to remove because it attaches itself to the winlogon process and in the Notify key in the registry.[/code]

Non je ne veux pas réinstaller. Pas encore B)