Problème avec PSGUARD [résolu]

Bonjour,
Je rencontre depuis quelques jours des pbs avec un invité-surprise du nom de PSGUARD, qui se régénère systématiquement chaque jour au lancement de mes accès internet. J'arrive à le détecter et à le supprimer avec Spybot, mais il revient toujours.
Merci si des spécialistes peuvent m'aider à me débarrasser de lui.
Cordialement
Patrick

Bonjour Esteban54, merci de votre aide, voici le premier rapport. Cordialement- Patrick

SmitFraudFix v1.8

Rapport fait à 14:21:23,70 le mar. 23/08/2005
Executé à partir de C:\Documents and Settings\p_mathieu\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

C:\WINNT\system32\intell32.exe PRESENT !
C:\WINNT\system32\oleext.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\p_mathieu\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\PSGuard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 23/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\PAGEFILE.SYS
C:\AVG7DB_F.DAT
C:\WINNT\system32\intell32.exe

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !

C:\WINNT\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1C33-16E5

R‚pertoire de C:\WINNT\system32

30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets

R‚pertoire de C:\WINNT\system32\dllcache

30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets

R‚pertoire de C:\WINNT\ServicePackFiles\i386

19/06/2003 21:05 470ÿ800 wininet.dll
1 fichier(s) 470ÿ800 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Pour Esteban, ci-dessous le second rapport

Pour Alessia, je suis désolé mais je ne sais pas ce qu'est un log "hijacthis"
Merci

SmitFraudFix v1.8

Rapport fait à 14:34:33,44 le mar. 23/08/2005
Executé à partir de C:\Documents and Settings\p_mathieu\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\system32\intell32.exe supprimé
C:\WINNT\system32\oleext.dll supprimé

C:\Program Files\PSGuard\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Teste la présence de HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !
Création clé temporaire
Sauvegarde clé temporaire
Suppression clé temporaire
Fusion clé temporaire
Suppression clé ShudderLTD
problèle suppression HKLM\SOFTWARE\SHUDDERLTD

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINNT\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1C33-16E5

R‚pertoire de C:\WINNT\system32

30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets

R‚pertoire de C:\WINNT\system32\dllcache

30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets

R‚pertoire de C:\WINNT\ServicePackFiles\i386

19/06/2003 21:05 470ÿ800 wininet.dll
1 fichier(s) 470ÿ800 octets

Fichier trouvé : C:\WINNT\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Esteban,
Suite au reboot de tout à l'heure à la suite du second rapport Smitfraudix, c'est un peu la panique, notre ami PSGuard est revenu en force, puisqu'il m'a en plus noirçi mon fond d'écran avec un joli message en rouge "Warning, your computer is infected, etc..."
J'ai lancé un petit Spybot pour constater les dégats et j'ai 70 problèmes :
- PSGuard.msmsgs 2 éléments
- PSGuard 65 éléments
- Desktop.DisplayProperties 3 éléments
Dois-je faire un "Corriger les problèmes" dans Spybot avant de lancer le HIJACKTHIS, ou bien dois-je lancer HIJACKTHIS en conservant les problèmes ?
Merci de votre aide Cordialement Patrick

Esteban,
J'ai Corrigé les 70 pbs dans Spybot, écran tjs noir avec message, icone rouge ronde PSguard dans la barre en bs à droite, par contre l'icone PSGuard du bureau s'est effacée...
Ci-joint le rapport Hijackthis Merci bcp Patrick

Logfile of HijackThis v1.99.1
Scan saved at 15:38:28, on 23/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\system32\tp4mon.exe
C:\WINNT\system32\wuauclt.exe
C:\OfficeScan NT\pccntmon.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\internat.exe
C:\OfficeScan NT\pccntupd.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\web.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\p_mathieu\Bureau\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Internet Explorer Hot Fix - {D4919C29-9422-482B-8555-C3F72B06B4F9} - C:\WINNT\system32\nwcsw.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [dflnl.exe] C:\WINNT\system32\dflnl.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = apsara.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{188536EC-FC6B-44AD-B754-FFFA7FC5F5D7}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{28835D77-762F-40BE-BD43-B569A3882B22}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0EA5F4A-92EA-44AE-93C7-A7BD019A0B9D}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = apsara.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{188536EC-FC6B-44AD-B754-FFFA7FC5F5D7}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = apsara.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{188536EC-FC6B-44AD-B754-FFFA7FC5F5D7}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Scannage en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe

Je suis revenu plus tôt que prévu...

1/ Télécharge et installe CCleaner

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

3/ Lance Hijackthis et fixe les lignes suivantes :

O2 - BHO: Internet Explorer Hot Fix - {D4919C29-9422-482B-8555-C3F72B06B4F9} - C:\WINNT\system32\nwcsw.dll (file missing)

O4 - HKLM\..\Run: [dflnl.exe] C:\WINNT\system32\dflnl.exe

O4 - HKLM\..\Run: [vmcleaner] gxlib.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

4/ Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers et dossiers cachés"->coché
"Masquer les extensions des fichiers dont le type est connu"->décoché
"Masquer les fichiers protégés du système d'exploitation->décoché)

5/ Ensuite supprime les fichiers et/ou dossiers suivants

C:\WINNT\system32\nwcsw.dll
C:\WINNT\system32\dflnl.exe
gxlib.exe --> fais une recherche sur ton PC, sans doute localisé dans C:\WINDOWS\System32 ou C:\WINDOWS
C:\WINNT\web\related.htm

6/ Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l’option 2, réponds oui à chaque question
Sauvegarde le rapport.

7/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

8/ Redémarre normalement puis fais un scan en ligne sur Panda >>ici<<

9/ Poste le rapport de SmitfraudFix, celui de Panda et un nouveau rapport Hijackthis.

tu lances HijackThis
puis --> Do a system scan only
tu coches les lignes indiquées
puis --> Fix checked
puis oui à la question de confirmation

les fenêtres sont-elles du genre Internet Explorer ou boîtes de dialogues windows ?

Pour ces fenêtres fais ceci :

Désactiver le service d'affichage des messages :
Démarrer --> Exécuter --> taper services.msc puis OK
Dans la liste, chercher la ligne "Affichage des messages" puis double-cliquer dessus.
Régler le "type de démarrage" sur "Désactiver"
Pour le statut du service, cliquer sur le bouton Arrêter
puis cliquer sur Appliquer.

je reviens de suite...

J'ai désactivé le service d'affichage des messages, je pourrai vous dire d'ici quelques minutes si les messages n'apparaissent plus.
Et pour le rapport Panda qui ne semblait pas très encourageant, qu'en pensez-vous Docteur Esteban ?

Bon voilà tout à l'air d'être rentré dans l'ordre, j'avoue ne pas avoir tout compris, mais je suis très impressionné et je vous remercie beaucoup de votre aide.
J'ai maintenant pas mal de programmes téléchargés sur mon vieux pc, et cela rame un peu... Que dois-je garder parmi CCleaner, HijackThis, Smitfraud et aussi Panda qui a dû m'installer pas mal de trucs ActiveX?
En général j'utilise le Spybot et le AVGFree.
Avant d'en appeler à vos services, j'avais aussi télécharger le Microsoft AntiSpyware (dois-je le garder?)
Et mauvaise nouvelle, je n'ai pas eu le temps de finir ma réponse qu'un message habituel "SYSTEM à ALERT etc.." vient de revenir...
Si vous êtes encore là, je reste à votre écoute
Merci

OK, merci pour les infos, je viens de telecharger ZoneAlarm
Une dernière question si je peux abuser, dans Panda, il a detecté un numéroteur/dialer : doit-on l'eradiquer ou ce n'est pas genant ?
Et que pensez-vous du MicrosoftSpywareAlert, cela sert-il à quelque chose ?
Merci

OK c'est fait.
Merci pour tout, vous avez été vraiment top.
Comment je fais pour marquer que c'est résolu ?
Cordialement Patrick