psguard

[kynis]

Bonjour,

depuis quelques jours je macharne sur mon ordinateur pour essayer de regler mon probleme. Pendant que je surfait sur internet mon antivirus ma signalé une multitude de virus ke jai supprimé, puis PSGuard s'est installé a mon insu sur mon system, il monopolise mon fond d'écran (auquel je n'ai plus acces par le clique droit/propiété il ne figure seulement "ecran de veille et parametre ") par une alerte antivirus permanente dans la barres des taches a coté de l'heure qui me redirige vers leur site, mon fond d'ecran a changer il est noir avec une phrase et un lien me conduisant aussi vers leur site. Ce n'est pa un gros probleme mais sa commence a me taper sur les nerfs !!!! j'ai essayer de supprimer PSGuard a partir du panneau de configuration mais en vain. j'ai fais des recherches sur different forum et apperement pour l'instant j'ai rien trouvé personne n'en n'ai arrivé a bout à ma connaissance.

 

SVP Jai besoin daide.

 

voila mon scan...

 

Logfile of HijackThis v1.99.1

Scan saved at 20:05:10, on 21/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\intell32.exe

C:\WINDOWS\system32\outpostupdate.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\outpostupdate.exe

C:\Program Files\Venturi2\Configurator\ventcfg.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Venturi2\Client\ventc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\eMule\eMule.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrateur\Mes documents\logiciels\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7875FF1A-3809-4551-8294-141B84F9807B} - C:\WINDOWS\system32\mgam.dll (file missing)

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe

O4 - HKLM\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKLM\..\RunServices: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Venturi 2.lnk = ?

O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4621A1C2-48F5-49B2-AFC1-BD8F7B6C3B77}: NameServer = 212.27.32.176,212.27.32.177

O18 - Filter: text/html - {18E0FF70-9CD1-4C7F-BF36-A775513BF129} - C:\WINDOWS\system32\mgam.dll

O18 - Filter: text/plain - {18E0FF70-9CD1-4C7F-BF36-A775513BF129} - C:\WINDOWS\system32\mgam.dll

O21 - SSODL: Adobe Acrobat 5.0 - {D7DBF770-B24A-5E5C-43E6-82F9E75C1A2E} - c:\program files\adobe\acrobat 5.0\reader\wxawk32.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

[megataupe]

Bonjour Kynis et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir désinstaller ce fléau vecteur de cochonneries en tout genre :

 

C:\Program Files\eMule\eMule.exe

 

et ensuite, de mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[ipl_001]

Bonsoir kynis, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

 

---édition :

Après les instructions données par megataupe...

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Décompresse le, double-clique et choisis l'option 1

Poste le rapport généré

 

Relance le programme et choisis cette fois l'option 2 et réponds oui à tout

Redemarre et donne le nouveau rapport

 

Complète par un scan HijackThis que tu posteras aussi

[kynis]

bon bien deja dans un premier ce que megataupe m'a dit de faire donc voila mon scan...

 

Logfile of HijackThis v1.99.1

Scan saved at 08:59:25, on 22/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe

O4 - HKLM\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Venturi 2.lnk = ?

O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4621A1C2-48F5-49B2-AFC1-BD8F7B6C3B77}: NameServer = 212.27.32.176,212.27.32.177

O21 - SSODL: Adobe Acrobat 5.0 - {D7DBF770-B24A-5E5C-43E6-82F9E75C1A2E} - c:\program files\adobe\acrobat 5.0\reader\wxawk32.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

 

le probleme est tjs la

[kynis]

voila par rapport a ipl_001

 

donc...

- option 1

 

SmitFraudFix v1.7

 

Rapport fait à 9:10:02,15 le 22/08/2005

Executé à partir de C:\Documents and Settings\Administrateur\Mes documents\logiciels\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\uninstIU.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\intell32.exe PRESENT !

C:\WINDOWS\system32\oleext.dll PRESENT !

C:\WINDOWS\system32\wppp.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

C:\Program Files\PSGuard\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 18/08/2005

!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

 

C:\WINDOWS\inf

C:\WINDOWS\uninstIU.exe

C:\WINDOWS\system32\intell32.exe

C:\WINDOWS\system32\updatewizard.log

 

C:\WINDOWS\system32\wininet.dll infecté !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 0C10-6C06

 

R‚pertoire de C:\WINDOWS\system32

 

04/08/2004 00:54 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\system32\DllCache

 

04/08/2004 00:54 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

- option 2

 

 

SmitFraudFix v1.7

 

Rapport fait à 9:13:48,65 le 22/08/2005

Executé à partir de C:\Documents and Settings\Administrateur\Mes documents\logiciels\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\uninstIU.exe supprimé

C:\WINDOWS\system32\intell32.exe supprimé

Problème suppression C:\WINDOWS\system32\oleext.dll

C:\WINDOWS\system32\wppp.html supprimé

 

C:\Program Files\PSGuard\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

 

C:\WINDOWS\system32\wininet.dll infecté !

 

Recherche d'une copie de secours (backup) de wininet.dll...

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 0C10-6C06

 

R‚pertoire de C:\WINDOWS\system32

 

04/08/2004 00:54 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

R‚pertoire de C:\WINDOWS\system32\DllCache

 

04/08/2004 00:54 660ÿ480 wininet.dll

1 fichier(s) 660ÿ480 octets

 

Fichier trouvé : C:\WINDOWS\system32\DllCache\wininet.dll

Version System : 6.0.2900.2180

Version BackUp : 6.0.2900.2180

 

Remplacement wininet.dll (reboot necessaire)

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

le scan

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:19:24, on 22/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Venturi2\Configurator\ventcfg.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Venturi2\Client\ventc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKLM\..\RunServices: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Venturi 2.lnk = ?

O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4621A1C2-48F5-49B2-AFC1-BD8F7B6C3B77}: NameServer = 212.27.32.176,212.27.32.177

O21 - SSODL: Adobe Acrobat 5.0 - {D7DBF770-B24A-5E5C-43E6-82F9E75C1A2E} - c:\program files\adobe\acrobat 5.0\reader\wxawk32.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

[kynis]

avec la 2e solution mon probleme semble etre resolu j'ai redemarré et ca reste comme ca mon fond d'ecran noir inchangeable a disparu le message en bas a droite a coté de l'heure ne figure plus j'ai de nouveau acces au propriété d'affichage (Theme, bureau apparences)

 

je peu a nouveau choisir ma page de demarage qui etait : about:blank

(la page blanche)

 

hé ben qu'est-ce qu'on dit ?? Merci Zebulon , a ipl_001 et a megataupe.

 

 

eradication de psguard

 

merci

Modifié le 22 août 2005 par kynis

[ipl_001]

Bonjour kynis, bonjour à tous,

 

Je suis content que tu sois sorti de l'auberge !

 

 

 

Pourtant... Je vois encore des choses qui ne vont pas dans ton rapport HijackThis !

 

R1 (sérieux !)

O21 (pas grave)

 

Est-ce que tu surfes toujours avec ta connexion Administrateur ???

 

Pas bon çà !

Je suis désolé de ne pas pouvoir analyser ton problème (je suis au travail)...

A bientôt !

[Invité Stonangel]

Bonjour, télécharge:

 

EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

 

SpSeHjfix de Seeker:

http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

 

. vider les fichiers Temp, le cache d'IE

. lancer SpHjfix à partir d'un répertoire alloué

.. cliquer sur le bouton "start disinfection"

.. en cas d'infection sp.exe, l'ordinateur est redémarré

.. SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

. examiner, communiquer le fichier log généré

. lancer SSD pour compléter la désinfection.

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Administrateur\Local Settings\Temp\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.exe

 

O21 - SSODL: Adobe Acrobat 5.0 - {D7DBF770-B24A-5E5C-43E6-82F9E75C1A2E} - c:\program files\adobe\acrobat 5.0\reader\wxawk32.dll (file missing)

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\DOCUME~1\Administrateur\Local Settings\Temp\< le contenu du dossier

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.