Tom's Guide > Forum > Sécurité - Virus > Virus PSGuard - Informations

Virus PSGuard - Informations

Forum Sécurité - Virus : Virus PSGuard - Informations

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
bazou@IDN   16-08-2005 à 19:24:44

Bonjour,

Et oui, voici une victime de plus de PSguard. Pourriez-vous, svp, m'indiquer une procédure afin de nettoyer mon portable.

Voici un rapport à partir de SmitfraudFix:

Un grand merci d'avance.

Rapport fait à 12:29:09,62 le jeu. 04/08/2005
Executé à partir de C:\Documents and Settings\Administrator\Desktop\SmitfraudFix\SmitfraudFixOS:
Microsoft Windows 2000 [Version 5.00.2195]»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNTC:\WINNT\uninstIU.exe PRESENT !»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNT\system»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\WINNT\Web»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNT\system32C:\WINNT\system32\intell32.exe PRESENT !C:\WINNT\system32\oleext.dll PRESENT !C:\WINNT\system32\wppp.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNT\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\Documents and Settings\Administrator\Application Data»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\Program FilesC:\Program Files\PSGuard\ PRESENT!»»»»»»»»»»»»»»»»»»»»»»»»

Recherche fichiers créés le 04/08/2005!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\DataC:\pagefile.sysC:\ProgramC:\q626464.exeC:\WINNTRapport fait à 12:29:09,62 le jeu. 04/08/2005Executé à partir de C:\Documents and Settings\Administrator\Desktop\SmitfraudFix\SmitfraudFixOS: Microsoft Windows 2000 [Version 5.00.2195]»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNTC:\WINNT\uninstIU.exe PRESENT !»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\WINNT\system»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\WINNT\Web»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\WINNT\system32C:\WINNT\system32\intell32.exe PRESENT !C:\WINNT\system32\oleext.dll PRESENT !C:\WINNT\system32\wppp.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\WINNT\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»»
Recherche C:\Documents and Settings\Administrator\Application Data»»»»»»»»»»»»»»»»»»»»»»»»

Recherche C:\Program FilesC:\Program Files\PSGuard\ PRESENT!»»»»»»»»»»»»»»»»»»»»»»»»

Recherche fichiers créés le 04/08/2005!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!C:\DataC:\pagefile.sysC:\ProgramC:\q626464.exeC:\WINNTC:\WINNT\.C:\WINNT\..C:\WINNT\DebugC:\WINNT\DownloadedC:\WINNT\SchedLgU.TxtC:\WINNT\setupapi.logC:\WINNT\ShellIconCacheC:\WINNT\system32C:\WINNT\uninstIU.exeC:\WINNT\system32\.C:\WINNT\system32\..C:\WINNT\system32\FNTCACHE.DATC:\WINNT\system32\intell32.exeC:\WINNT\system32\mhjk.dllC:\WINNT\system32\outpostupdate.exeC:\WINNT\system32\updatewizard.logC:\WINNT\system32\wppp.htmlC:\WINNT\system32\wininet.dll infecté !»»»»»»»»»»»»»»»»»»»»»»»»

Recherche wininet.dll de remplacement Volume in drive C has no label. Volume Serial Number is 2C21-1D0B Directory of C:\WINNT\system3208/05/2001 14:00 467ÿ728 wininet.dll 1 File(s) 467ÿ728 bytes Directory of C:\WINNT\system32\dllcache08/05/2001 14:00 467ÿ728 wininet.dll 1 File(s) 467ÿ728 bytes»»»»»»»»»»»»»»»»»»»»»»»»

Fin du rapport

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
alessio@IDN   16-08-2005 à 19:31:29
- 0 +

fait cette manip ici

et si sa marche as telecharge hijacthis et poste un rapport

Répondre à alessio@IDN
bazou@IDN   17-08-2005 à 00:38:59
- 0 +

Bonsoir,

Merci pour la procédure proposée.

J'ai encore en bas de mon écran à droite un icône rouge avec un point d'exclamation qui propose de lance PCguard ("Your computer is infected" ). J'ai pu modifier le fond d'écran et désinstaller PCguard ainsi qu' nlevere le message en rouge sur le fond d'écran.

Merci de votre aide.

Voici le résultat de HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 00:28:52, on 08/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\WINNT\System32\intell32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {F49F16DF-7E93-466A-A0B7-7DF48A70624B} - C:\WINNT\System32\mhjk.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CleanRegPath] C:\PROGRA~1\ADSLMO~1\CleanReg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\System32\intell32.exe
O4 - HKCU\..\Run: [outpostupdate] C:\WINNT\System32\outpostupdate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 6791550772
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Filter: text/html - {F3BDE70D-C387-4034-8615-A2D22675FE17} - C:\WINNT\System32\mhjk.dll
O18 - Filter: text/plain - {F3BDE70D-C387-4034-8615-A2D22675FE17} - C:\WINNT\System32\mhjk.dll
O21 - SSODL: WinZip - {7CF353A0-3A49-04F6-9C1B-D3F22ABB6300} - c:\program files\winzip\winetbx32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

Répondre à bazou@IDN
chercheur_   17-08-2005 à 01:45:37
- 0 +

Bonsoir

Je ne vois pas de protection sur ton PC. Pas d'antivirus, pas de parefeu.
Les mises à jour non faites....

Tu te protèges, et ensuite tu fais les manipulations de nettoyage.

Tu as le choix en gratuit.
Par exemple

Citation :

- 1 (et 1 seul) pare-feu bien paramétré, gratuit
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1

- 1 (et 1 seul) antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE
http://www.avast.com/eng/down_home.html
avec inscription obligatoire
http://www.avast.com/i_kat_207.php?lang=ENG
et son tutorial
http://www.pcentraide.com/index.php?showtopic=120



Pour les mises à jour
Pour Windows et Internet Explorer
http://update.microsoft.com

Répondre à chercheur_
chercheur_   17-08-2005 à 01:48:24
- 0 +

Re

Maintenant que tu es protègé.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

About Buster
http://www.malwarebytes.biz/index.php?page=downloads
Une fois téléchargé,tu le dézippe,et tu mets un raccourci sur le bureau.

SmitfraudFix de S!Ri
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
Supprimes la version que tu as.

2 Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

4 Double clique sur About:Buster.
Clique sur Begin Removal
Un scan est exécuté.
Refaire un second scan.
Poste le rapport ici.

5 Lances un scan minutieux avec l'antivirus

6 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

7 Lance et exécute CCleaner.

8 Redémarre normalement

9 Communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis et le rapport d'About:Buster.

Répondre à chercheur_
bazou@IDN   21-08-2005 à 16:35:35
- 0 +

Bonsoir,

Merci pour la procédure.

Tout semble OK, me reste à faire les updates MSN.

Voici les rapports:

Logfile of HijackThis v1.99.1
Scan saved at 16:29:22, on 12/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Atiptaxx.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\System32\rundll32.exe
C:\Program Files\Save\Save.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)
O2 - BHO: (no name) - {F49F16DF-7E93-466A-A0B7-7DF48A70624B} - C:\WINNT\System32\mhjk.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CleanRegPath] C:\PROGRA~1\ADSLMO~1\CleanReg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [smitfraudfix] C:\fixclean.cmd
O4 - HKCU\..\Run: [outpostupdate] C:\WINNT\System32\outpostupdate.exe
O4 - Startup: UControl.lnk = C:\Documents and Settings\Administrator\Local Settings\Temp\500.WUT\UControl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menus [...] CPXXXXXX59
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 6791550772
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Filter: text/html - {F3BDE70D-C387-4034-8615-A2D22675FE17} - C:\WINNT\System32\mhjk.dll
O18 - Filter: text/plain - {F3BDE70D-C387-4034-8615-A2D22675FE17} - C:\WINNT\System32\mhjk.dll
O21 - SSODL: WinZip - {7CF353A0-3A49-04F6-9C1B-D3F22ABB6300} - c:\program files\winzip\winetbx32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


SmitFraudFix v1.7

Rapport fait à 16:19:28,89 le ven. 12/08/2005
Executé à partir de C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\system32\intell32.exe supprimé
Problème suppression C:\WINNT\system32\oleext.dll


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.


Répondre à bazou@IDN
esteban54   21-08-2005 à 22:38:14
- 0 +

Citation :

Tout semble OK, me reste à faire les updates MSN.



** ATTENTION **

tes rapports ne sont pas encore propres...

Répondre à esteban54
alessio@IDN   21-08-2005 à 22:45:59
- 0 +

comme l a dis esteban ton rapport n es pas propre


coche ses lignes

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [outpostupdate] C:\WINNT\System32\outpostupdate.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

supprime les fichier suivent

C:\WINNT\System32\outpostupdate.exe
C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
C:\Program Files\Save\Save.exe"
C:\Program Files\WhenUSearch\search.dll

utilise LSPFix

redemare et reposte un log hijacthis

Répondre à alessio@IDN
esteban54   21-08-2005 à 23:27:24
- 0 +

j'ai bien peur que cela ne suffise pas ce que propose alessio

1/ Télécharge :
http://www.new.net/support/uninstall6_76.exe
LSPfix.exe
SpSeHjfix

2/ Redémarre en mode sans échec

3/ Lancer SpSeHjfix
clique sur le bouton "start disinfection"
en cas d'infection, l'ordinateur redémarrera.
Si c'est le cas, redémarre à nouveau en mode sans échec.

4/ Désinstalle les programmes suivants si possible, par Ajout/suppression de programmes :

C:\Program Files\MySearch
C:\Program Files\NewDotNet
C:\Program Files\WhenUSearch
C:\Program Files\Save

5/ Lance Hijackthis et fixe les lignes suivantes :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)
O2 - BHO: (no name) - {F49F16DF-7E93-466A-A0B7-7DF48A70624B} - C:\WINNT\System32\mhjk.dll (file missing)

O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [outpostupdate] C:\WINNT\System32\outpostupdate.exe

O4 - Startup: UControl.lnk = C:\Documents and Settings\Administrator\Local Settings\Temp\500.WUT\UControl.exe

O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menus [...] CPXXXXXX59
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

6/ Lance uninstall6_76.exe

7/ Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers et dossiers cachés"->coché
"Masquer les extensions des fichiers dont le type est connu"->décoché
"Masquer les fichiers protégés du système d'exploitation->décoché)

8/ ensuite supprime les fichiers et/ou dossiers suivants (s'ils sont encore là) :

C:\Documents and Settings\Administrator\Local Settings\Temp\ --> vide ce dossier
C:\Program Files\MySearch\ --> supprime ce dossier
C:\Program Files\NewDotNet\ --> supprime ce dossier
C:\Program Files\WhenUSearch\ --> supprime ce dossier
C:\WINNT\System32\mhjk.dll --> supprime ce fichier
C:\Program Files\Save\ --> supprime ce dossier
C:\WINNT\System32\outpostupdate.exe --> supprime ce fichier

9/ Lance AboutBuster.exe
Clique sur Begin Removal

10/ Relance AboutBuster.exe une deuxième fois et clique à nouveau sur Begin Removal

11/ Et comme il reste oleext.dll d'après le rapport de SmitFraudFix v1.7 :
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l’option 2, réponds oui à chaque question
Sauvegarde le rapport.

12/ Redémarre normalement
Si tu as perdu l’accès à internet (dû à la suppression de NewDotNet)
Lance LSPfix
Coche la case "I know what I'm doing"
Clique sur le bouton "Finish"
Redémarre normalement

13/ puis fais un scan en ligne sur Panda >>ici<<

14/ Colle son rapport ici + le rapport de SmitFraudFix + un nouveau log HijackThis

Répondre à esteban54
bazou@IDN   23-08-2005 à 01:13:24
- 0 +

Bonsoir,

J'ai appliqué vos procédures.

Voici les rapports demandés.

Encore des nettoyages à opérer?

Merci.

SmitFraudFix v1.7

Rapport fait à 0:29:16,34 le dim. 14/08/2005
Executé à partir de C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Panda

Incident Statut Analyse

Virus:Trj/Sapilayr.A Désinfecté Système d’exploitation
Adware:adware/imgiant No Désinfecté C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DESKTOP\Download Movies.url
Adware:adware/whenusearch No Désinfecté C:\DOCUMENTS AND SETTINGS\ALL USERS\DESKTOP\Toolbar.lnk
Spyware:spyware/new.net No Désinfecté C:\WINNT\NDNuninstall6_38.exe
Adware:adware/savenow No Désinfecté Registre Windows
Spyware:Spyware/New.net No Désinfecté C:\Documents and Settings\Administrator\Desktop\uninstall6_76.exe
Virus:Trj/Sapilayr.A Désinfecté C:\Documents and Settings\Administrator\Local Settings\Temp\F5.tmp
Virus:Trj/Sapilayr.A Désinfecté C:\Program Files\ewido\security suite\wmeayl32.dll
Adware:Adware/StartPage.AES No Désinfecté C:\q626464.exe
Spyware:Spyware/New.net No Désinfecté

HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 01:08:40, on 14/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\Atiptaxx.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\WINNT\explorer.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.lu/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CleanRegPath] C:\PROGRA~1\ADSLMO~1\CleanReg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/ [...] scan60.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 6791550772
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O21 - SSODL: WinZip - {7CF353A0-3A49-04F6-9C1B-D3F22ABB6300} - c:\program files\winzip\winetbx32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Répondre à bazou@IDN
esteban54   23-08-2005 à 02:17:59
- 0 +

Fixe la ligne :
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)

Supprime ces fichiers et c bon :

C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DESKTOP\Download Movies.url
C:\DOCUMENTS AND SETTINGS\ALL USERS\DESKTOP\Toolbar.lnk
C:\WINNT\NDNuninstall6_38.exe
C:\Documents and Settings\Administrator\Desktop\uninstall6_76.exe
C:\q626464.exe

Répondre à esteban54
bazou@IDN   24-08-2005 à 19:30:33
- 0 +

Ai réalisé les manipulations.

Encore merci.

Répondre à bazou@IDN
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Virus PSGuard - Informations
Aller à :

Il y a 2536 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,364 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens