Infos sur PSGuard
Forum Sécurité - Virus : Infos sur PSGuard
Bonjour,
Je reprends ci-dessous le message envoyé hier car il n'a pas eu de réponse.
J'en profite pour compléter mes questions :
- je suis sur le pc infecté sous windows 98 SE or j'ai cru comprendre en lisant certains messages qu'il était plutôt question des dernières versions de windows. windows XP...
- je ne connais pas hijackthis, j'ai voulu voir et l'adresse donnée était en .de or j'ai vu dans un message que cette adresse n'était pas sûre !
- il fait quoi hijackthis et c'est pour tous les systèmes ?
- sur google est donnée une adrresse PSGuard Removal sur free-scanner.com c'est sérieux ?
-et une autre encore plus douteuse : psguard.com
Cette dernière n'est-elle pas justement l'endroit où on se choppe ce genre de problème ?
Je rappelle do,nc maintenant mon message resté sans réponse :
Je viens de découvrir sur mon portable PSGuard.
J'ai lu ce que j'ai trouvé sur ce forum mais je me demande :
- quel est le danger réel de PSGuard (en bref que fait-il ?)
- comment s'installe-t-il ? (Je n'ai ni cliqué sur un lien inconnu ni lancé un exe attaché - de plus j'ai un firewall matériel (sur routeur Netgear) qui m'a donné depuis 2 ans toute satisfaction - aucune attaque-
- je n'ai pas trop le temps justement en ce moment alors je me demande si je peux reporter sans risque le nettoyage du PC
Merci de vos infos et conseils.
PS : suis étonné de ne rien trouver à son sujet sur les sites des éditeurs d'antivirus.
Cordialement
Si tu est ifecté passe un copup de avast adaware et de spybot. Après cela va souvent beacoup mieu !
Salut,
HijackThis est un programme qui permet de faire un diagnostic afin de déterminer les infections et de les supprimer.
Télécharge >>Hijackthis 1.99.1<<
Dézippe-le et mets le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )
Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
Bonjour,
Avant de recevoir le message ci-dessus et poursuivant mes recherches j'ai réussi en partie (me semble-t-il) à éradiquer ce PS Guard.
Avec des suppressions sous Dos et d'autres par mon antivirus AVP (qui pourtant ne m'avait pas prévenu, petit pb de mise à jour car j'utilisais peu ces jours derniers mon portable !)
Il me reste (en apparence) comme problème que le fond d'écran du bureau que j'espère récupérer d'après une sauvegarde, un peu ancienne toutefois.
Mon écran ne clignote plus, l'icône en bas d'écran a disparu, ne reste donc que le fond noir avec le message warning sous mes icônes de bureau.
J'ai téléchargé donc hijackthis et je donne le rapport ci-dessous.
Avec la question pour m'assurer : comment s'appelle le fichier donnant le fond d'écran du bureau ?
Et voici le rapport.
Merci !
Logfile of HijackThis v1.99.1
Scan saved at 15:54:54, on 16/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\CPQDIAG\CPQDFWAG.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\ATIPTAAB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WLANSTA.EXE
C:\WINDOWS\UDETECT.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\PROGRAM FILES\OFFICE97\OFFICE\OSA.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\PROGRAM FILES\ANTIVIRAL TOOLKIT PRO\AVPM.EXE
C:\OPLIMIT\OCRAWR32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\PROGRAM FILES\NETGEAR\MA111 CONFIGURATION UTILITY\WLANCFG4.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts [...] C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interpc.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts [...] C&s=search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts [...] C&s=search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tjdo.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts [...] y=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IETracker Class - {4178A354-348B-11D3-9AB2-00805F1A0ADB} - C:\CPQS\QUICKSR\HTMLS\QRSCRIPT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiGart] c:\Ati\Gart\AtiGart.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [USRSTA.EXE] USRSTA.EXE START
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [USBDetector] c:\windows\UDetect.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [vmtuner] gglib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Office97\Office\OSA.EXE
O4 - Startup: OCRAWARE.LNK = C:\OPLIMIT\OCRAWARE.EXE
O4 - Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\WLANCFG.EXE
O4 - User Startup: Démarrage d'Office.lnk = C:\Program Files\Office97\Office\OSA.EXE
O4 - User Startup: OCRAWARE.LNK = C:\OPLIMIT\OCRAWARE.EXE
O4 - User Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - User Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\WLANCFG.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .Aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {FF690DE1-27F6-11D4-91BD-0048546A1450} (acx_install Class) - http://download.oreka.com/installer/httpload.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
Il reste bcp de trucs à virer.
Là je dois m'absenter. Je repasserai ce soir à moins que qq'un ait pris le relais.
a+
Bernard M à Esteban54
Moi je me suis absenté aussi ... et commme personne n'a pris le relais je serai heureux de ton aide.
Pour le moment le PC fonctionne correctement mais c'est certain qu'il y a du ménage à faire.
Alors j'attends tes conseils.
Pense à mettre à jour Internet Explorer via windows update
1/ Télécharge SmitRem.zip
http://www.spywareedge.net/tools/smitRem.zip
Dézippes-le sur le bureau
2/ Desinstalle PsGuard dans Ajout/Suppression de programmes si tu le trouves
3/ Redémarre en mode sans échec (en tapotant F8 au démarrage).
4/ Lance Hijackthis et fixe les lignes suivantes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tjdo.com/searchbar.html
O2 - BHO: IETracker Class - {4178A354-348B-11D3-9AB2-00805F1A0ADB} - C:\CPQS\QUICKSR\HTMLS\QRSCRIPT.DLL
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [vmtuner] gglib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
5/ Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers et dossiers cachés"->coché
"Masquer les extensions des fichiers dont le type est connu"->décoché
"Masquer les fichiers protégés du système d'exploitation->décoché)
ensuite supprime les fichiers et/ou dossiers suivants :
gglib.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Program Files\PSGuard
6/ Ouvre Smitrem et lance RunThis.bat
7/ Redémarre normalement puis fais un scan en ligne sur Panda >>ici<<
8/ Colles son rapport ici avec un nouveau log HijackThis
** Cette procédure est inspirée de chercheurPCA **
Bernard M à Esteban54
Bonsoir,
Tu as écrit :
Pense à mettre à jour Internet Explorer via windows update
<BM> En fait j'utilise aussi Firefox.
Je garde une vieille version d'I.E pour des tests et puis je n'aime pas trop aller chez Microsoft mais si c'est indispensable ...
1/ Télécharge SmitRem.zip
http://www.spywareedge.net/tools/smitRem.zip
Dézippes-le sur le bureau
<BM> Je l'ai extrait sur le bureau mais ... voir plus loin
2/ Desinstalle PsGuard dans Ajout/Suppression de programmes si tu le trouves
<BM> était déjà désinstallé
3/ Redémarre en mode sans échec (en tapotant F8 au démarrage).
<BM> Je me suis demandé pourquoi en mode sans échec vu que cela marchait mais je me suis mis dans ce mode, docilement.
Le problème c'est que là je n'avais plus tout
4/ Lance Hijackthis et fixe les lignes suivantes :
<BM> je n'ai pas trouvé toutes les lignes demandées (la première et la dernière R1)
J'ai fixé les autres
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tjdo.com/searchbar.html
Puis tu as écrit :
ensuite supprime les fichiers et/ou dossiers suivants :
gglib.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Program Files\PSGuard
<BM> tout cela était déjà supprimé
6/ Ouvre Smitrem et lance RunThis.bat
<BM> Ne l'avais plus sur le bureau (en sans échec)
J'ai redémarré en normal et lancé RunThis.bat
7/ Redémarre normalement puis fais un scan en ligne sur Panda >>ici<<
<BM> C'est fait mùais pas le scan en ligne car il est tard et j'ai sommeil. En revanche j'ai scanné avec AVP qui m'a signalé (l'avait déjà signalé tout à l'heure que wininet.dll est infecté par win32.Nsag.b
Je peux le virer ce wininet.dll ou bien je dois en chercher un propre pour le remplacer ?
Je ferai demain un scan Panda et un Hijackthis et te les enverrai.
Merci et bonne nuit
8/ Colles son rapport ici avec un nouveau log HijackThis
| Citation : gglib.exe
|
T'es sûr ? Avais-tu bien accès aux fichiers cachés ?
(et pour gglib.exe fais une recherche sur ton PC)
| Citation : wininet.dll est infecté par win32.Nsag.b |
--> c'est encore ce fichu SmitFraud
mais ne supprime pas brutalement wininet.dll
car il faudra le remplacer par un propre
Bernard M à Esteban54
Bonjour
Tu as écrit :
gglib.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Program Files\PSGuard
<BM> tout cela était déjà supprimé
T'es sûr ? Avais-tu bien accès aux fichiers cachés ?
(et pour gglib.exe fais une recherche sur ton PC)
<BM> Oui oui je fais toujours apparaître tous les fichiers.
J'ai supprimé soit sous Dos soit à l'invite de mon antivirus (AVP/KAV)
wininet.dll est infecté par win32.Nsag.b
--> c'est encore ce fichu SmitFraud
mais ne supprime pas brutalement wininet.dll
car il faudra le remplacer par un propre
<BM> OK , je le prends où ce wininet.dll ?
Je l'ai sur au moins un autre disque qui lui est sous Windows Me, est-ce le même (l'infecté est sous 98 SE) ?
Je l'ai aussi sur un disque externe mais ne peux le regarder maintenant car il est connecté sur le portable...
Ce dernier est en analyse Panda en ce moment. Aïe c'est long ! et pour faire bonne mesure comme je n'avais pas déconnecté mon disque USB qui a une bonne partie en double du premier j'imagine que l'analyse va se faire aussi sur ce second disque !
Heureusement que j'ai plusieurs ordinateurs et une connexion ADSL/Wifi !
A propos de l'analyse Panda j'ai eu quelques soucis :
- premier essai avec I.E plantage de l'ordi (écran bleu bien connu)
- 2e essai avec Firefox qui a buté sur je ne sais quoi et n'a pas voulu aller plus loin
- 3e essai (en ce moment) cela n'avance pas vite mais cela avance. A un moment il y eut un arrêt et puis c'est reparti. J'espère que cela va aller jusqu'au bout. 1 logiciel espion signalé (j'espère qu'il y a un rapport plus explicite à la fin)
Donc à un peu plus tard, au rythme où l'analyse avance ce ne sera pas avant plusieurs heures.
Merci encore
BM
PS : je n'ai pas désactivé AVP avant de lancer l'analyse Panda mais cela ne semble pas perturber.
AVP m'a seulement informé du pb wininet.dll infecté
| Citation : <BM> OK , je le prends où ce wininet.dll ? |
Regarde ici mais c'est pas gagné... :-? :-?
(essaie la manip sous DOS pour copier le fichier wininet.dll de l'archive WIN98_42.CAB dans c:\windows\system car en mode sans échec ça n'a pas l'air de marcher)
Sinon plus bas dans la discussion balltrap34 parle d'un patch pour restaurer le bon wininet.dll :
http://www.microsoft.com/technet/s [...] 5-025.mspx
Je ne peux pas t'aider plus 
BM à Esteban54
J'abandonne le scan sur Panda
- cela s'arrête de suite quand je suis sous firefox
- l'ordi plante au bout d'un temps variable sous I.E
Mon AVP ne me donne comme pb que le Wininet, je vais voir les infos que tu m'indiques et j'essaierai sous DOS
j'ai relancé hijackthis (en mode normal pas en sans échec et j'ai trouvé une ligne que je n'avais pas vue hier (une seule, pas deux !)
J'ai fixé et refait des rapports.
Je t'en envoie trois :
- un hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:01:09, on 17/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\CPQDIAG\CPQDFWAG.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\ATIPTAAB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\WINDOWS\SYSTEM\WLANSTA.EXE
C:\WINDOWS\UDETECT.EXE
C:\PROGRAM FILES\OFFICE97\OFFICE\OSA.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\OPLIMIT\OCRAWR32.EXE
C:\PROGRAM FILES\ANTIVIRAL TOOLKIT PRO\AVPM.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\PROGRAM FILES\NETGEAR\MA111 CONFIGURATION UTILITY\WLANCFG4.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts [...] C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interpc.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts [...] C&s=search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts [...] C&s=search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiGart] c:\Ati\Gart\AtiGart.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [USRSTA.EXE] USRSTA.EXE START
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [USBDetector] c:\windows\UDetect.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Office97\Office\OSA.EXE
O4 - Startup: OCRAWARE.LNK = C:\OPLIMIT\OCRAWARE.EXE
O4 - Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\WLANCFG.EXE
O4 - User Startup: Démarrage d'Office.lnk = C:\Program Files\Office97\Office\OSA.EXE
O4 - User Startup: OCRAWARE.LNK = C:\OPLIMIT\OCRAWARE.EXE
O4 - User Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - User Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\WLANCFG.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .Aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {FF690DE1-27F6-11D4-91BD-0048546A1450} (acx_install Class) - http://download.oreka.com/installer/httpload.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
- un rapport AVP
AVP32 Scan 17/08/05 00:56:18
C:\Windows\system\SIntf16.dll endommagé.
C:\Windows\system\WININET.DLL infecté: Virus.Win32.Nsag.b
C:\Windows\system\WININET.DLL Echec en désinfection: Virus.Win32.Nsag.b
C:\Windows\system\WININET.DLL problème d'I/O
C:\Windows\Temporary Internet Files\Content.IE5\ONM5SLUN\index[1].txt endommagé.
Scan effectué.
# mercredi 17 août 2005 00:56
mercredi 17 août 2005 00:56 Antiviral Toolkit Pro demarré:
______________________________________________________________________
Scannés
Secteurs ciblés : 0
Fichiers : 8940
Répertoires : 413
Archivés : 36
Compressés : 198
Trouvés
Virus connus: 1
Occurences de virus : 1
Désinfectés : 0
Effacés : 0
ALERTES : 0
Suspects : 0
Altérés : 2
Problèmes d'I/O : 2
Vitesse de Scan (Ko/sec) : 410
Durée 19:02
______________________________________________________________________
mercredi 17 août 2005 01:15 Antiviral Toolkit Pro terminé:
- un rapport de plantage avec Firefox
Microsoft VBScript runtime error '800a01a8'
Object required: 'selectednode.selectSingleNode(...)'
/activescan/activescan/tratarxml.asp, line 44
Merci tout plein !
BM à ESteban
| Citation :
|
Je parlais de la discussion >>là<<
post 115 à 123
Le patch se trouverait donc sur la page suivante :
http://www.microsoft.com/technet/s [...] 5-025.mspx
mais en fait en survolant je ne vois rien pour windows 98 SE :-o
(c écrit --> Review the FAQ section of this bulletin for details about this version)
Il y a 3251 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
