[résolu]ProcessGuard en force

[Thanos]

salut Tesgaz,re Queruak,Mégataupe

 

ce brave Docteur Watson (encore un mouchard de Billou icon_evil.gif ) qui n'a pas droit de cité dans ma liste d'applis protégées :

 

Tiens c'est marrant,moi chez moi non plus

Par contre le scan en ligne n'est pas beau.

 

Comment ca pas beau? ca fait plusieurs mois que j'héberge ces bestiolles

C'est quoi ce programme microantispy ???

 

Il s'agit d'un logiciel que je me suis empressé de virer tant il laissait passer un tas de

 

daubes! C'est Crosoft Antispyware!! Le problème c'est que je l'avais viré à

 

l'époque et que le nettoyage n'avait pas été fait à fond (où j'ai dû faire une Restau et

 

récupérer le tout), je vais éliminer ce qui reste du registre car je ne l'utilise plus.

 

process guard est un excellent programme, le seul inconvéniant, c'est qui faut l'installer sur un pc nickel, sinon, c'est pas la peine

Vous avez raison, mais au moment où j'ai installé PG,les différents scan antivirus

 

ne m'avait rien trouvé de douteux

 

Merki @ tous pour votre aide, je vais refaire un scan pour être tranquille!

[queruak]

Rebonsoir à tous,

 

As tu viré les fichiers que je t'ai indiqué ?

Si tu as un quelconque doute,tu peux toujours poster un rapport hijackthis,aujourd'hui c'est ma tournée.lol

[Thanos]

oui , j'ai bien suivi ta procédure et viré tous les trucs suspects!

 

Un petit log? si c'est toi qui paie la tournée

 

Logfile of HijackThis v1.99.1

Scan saved at 21:15:05, on 08/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\photoshop\PhotoshopElementsFileAgent.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\dcsuserprot.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\pgaccount.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\WINDOWS\System32\hphmon05.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

D:\help\downloads\Spy\Spybot - Search & Destroy\TeaTimer.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\procguard.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Firefox CE\firefox.exe

D:\help\downloads\internet security\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\help\DOWNLO~1\Spy\SPYBOT~1\SDHelper.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [!1_pgaccount] "D:\help\downloads\internet security\Processguard\ProcessGuard\pgaccount.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [bDSwitchAgent] c:\progra~1\softwin\bitdef~1\bdswitch.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\RunServices: [Microsoft Java Virtual Machine] javavm.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\help\downloads\Spy\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "D:\help\downloads\internet security\Processguard\ProcessGuard\procguard.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD55B61-1C7F-45DC-9962-502CFBC0811B}: NameServer = 80.118.196.36 80.118.192.100

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - E:\photoshop\PhotoshopElementsFileAgent.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - D:\help\downloads\internet security\Processguard\ProcessGuard\dcsuserprot.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

voilà ,voilà ,qu'en dis tu?

[queruak]

Rebonsoir,

 

voilà ,voilà ,qu'en dis tu?

Je dis qu'on a bien fait de demander un rapport hijackthis.

 

Tu"fixes" ces lignes(désactive Tea Timer de Spybot auparavant.Activé il empeche les corrections)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\RunServices: [Microsoft Java Virtual Machine] javavm.exe

<--Added by a variant of the WIN32.RBOT WORM!

http://www3.ca.com/securityadvisor/virusin...s.aspx?id=39437

 

-En affichant tous les fichiers,tu supprimes le fichier

C:\WINDOWS\system32\javavm.exe<-le fichier

 

-Vide la corbeille.

 

-Redémarre et poste un nouveau log Hijackthi pour vérification.

[Thanos]

re queruak

 

voilà la suite:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:58:48, on 08/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

E:\photoshop\PhotoshopElementsFileAgent.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\dcsuserprot.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\pgaccount.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\WINDOWS\System32\hphmon05.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

D:\help\downloads\internet security\Processguard\ProcessGuard\procguard.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

D:\help\downloads\internet security\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\help\DOWNLO~1\Spy\SPYBOT~1\SDHelper.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [!1_pgaccount] "D:\help\downloads\internet security\Processguard\ProcessGuard\pgaccount.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [bDSwitchAgent] c:\progra~1\softwin\bitdef~1\bdswitch.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\help\downloads\Spy\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "D:\help\downloads\internet security\Processguard\ProcessGuard\procguard.exe" -minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by21fd.bay21.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD55B61-1C7F-45DC-9962-502CFBC0811B}: NameServer = 80.118.196.36 80.118.192.100

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - E:\photoshop\PhotoshopElementsFileAgent.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - D:\help\downloads\internet security\Processguard\ProcessGuard\dcsuserprot.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

Un peu avant que tu ne me le dise, j'ai fais un scan chez securiser.com et il m'a

 

effectivement détecté et delete:BKDR-WOOTBOT-I WORM-RBOT.ABG-

 

WORM-RBOT.AEB et javavm.exe a disparu du log hijack.

 

Merci mon zami

 

nb:hijack n'a pas détecté javavm.exe comme dangereux

[queruak]

Rebonsoir à tous,

Un peu avant que tu ne me le dise, j'ai fais un scan chez securiser.com et il m'a

effectivement détecté et delete:BKDR-WOOTBOT-I WORM-RBOT.ABG-

WORM-RBOT.AEB  et javavm.exe a disparu du log hijack.

Merci mon zami

514652[/snapback]

 

De rien

Je l'ai vu avant secuser. lol

 

nb:hijack n'a pas détecté javavm.exe comme dangereux

 

Tu me parles du "robot" ?

[Thanos]

Je l'ai vu avant secuser. lol icon_lol.gif

 

Machine-man

 

oui , c'est terrible de voir que le log que j'ai fait analyser chez Hijackthis.de

 

ne me l'ai pas signalé comme dangereux d'où l'interêt de ton intervention salutaire

 

Va falloir que j'apprenne à décripter tout ça!!

 

Merci encore et bonne soirée, je vais bosser(vive les 3x8 )!!

[ipl_001]

Bonsoir charles ingals, queruak, megataupe, bonsoir à tous,

 

D:\help\microantispy

Je ne crois pas que ce soit la restauration système qui t'ait ramené ce répertoire !

[queruak]

Rebonoir,

 

c'est terrible de voir que le log que j'ai fait analyser chez Hijackthis.de ne me l'ai pas signalé comme dangereux

D'ou notre insistance à toujours se faire conseiller par une personne avertie.

 

De rien,content de t'avoir aidé !

 

Bonne soirée à toi aussi,bonne soirée à tous,

 

Edit:Bonsoir ipl

Tu décryptes tout

Modifié le 8 juin 2005 par queruak

[Thanos]

Je ne crois pas que ce soit la restauration système qui t'ait ramené ce répertoire !

 

les voies du pc sont impenetrables j'ai du merder quelque part!

 

merci à vous tous-@+ (question bête: on fait comment pour mettre "résolu?)