PSGuard et certainement d'autres virus

Bonjour à tous ceux qui liront ce message,

Mon PC était (où est encore) infecté de ce virus qui semble avoir la côte auprès des forumeurs que nous sommes. J'ai suivit la méthode que proposait Alessio de suivre dans le Message de Bazou: "Virus PSGuard - informations".
J'ai donc suivis les étapes demandées dans le lien. Un gros nettoyage en effet à déjà été effectué mais tout n'est pas rentré dans l'ordre. Lors de la dernière étape, celui de lancer Panda et autres logiciels, un seul à semblé fonctionner correctement. Il m'a trouvé un virus (TSPY_ALEMOD.A) mais n'a pu me l'éliminer car il était en cours d'execution (enfin, à ce que j'ai compris mais vu mon niveau d'anglais...)
J'ai donc fait un log hijacthis.
PSGuard semble avoir disparu, j'ai pu retrouver ma page de garde mais un problème nouveau est apparu, je ne peux plus aller sur certains liens comme je ne peux pas aller sur Hotmail , ni même créer un nouveau message sur le forum, rien ne s'ouvre. Je suis obliger d'utiliser un autre ordi pour vous envoyer ce message. De plus, le point d'exclamation rouge à disparu mais j'ai un jaune maintenant qui apparait de temps en temps et qui offre les mêmes options que le rouge mais plus pour PSGuard.

Voilà grosso modo les soucis que je rencontre maintenant. Le plus pratique serait de tout fomater mais si je pouvais éviter et ainsi apprendre les gestes qui sauvent ;-) merci d'avance.

Voici mon log:

Logfile of HijackThis v1.99.1
Scan saved at 18:20:51, on 26/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\msole32.exe
C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe
C:\Documents and Settings\Administrateur\Mes documents\laurie\msn+\MsgPlus.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\utilitaire\Skype\Skype.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS.0\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Mes documents\Sylvain\Antivirus\security suite\ewidoctrl.exe
C:\Documents and Settings\Administrateur\Mes documents\Sylvain\Antivirus\security suite\ewidoguard.exe
C:\WINDOWS.0\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS.0\Explorer.EXE
C:\Documents and Settings\Administrateur\Mes documents\Sylvain\Antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp8049.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Administrateur\Mes documents\laurie\msn+\MsgPlus.exe"
O4 - HKLM\..\Run: [Microsoft Update 32] jrvdzmhp.exe
O4 - HKLM\..\Run: [Microsoft Update 33] zudwsjgg.exe
O4 - HKLM\..\Run: [ntxw32.exe] C:\WINDOWS.0\system32\ntxw32.exe
O4 - HKLM\..\Run: [apptm.exe] C:\WINDOWS.0\apptm.exe
O4 - HKLM\..\Run: [mfcqk.exe] C:\WINDOWS.0\system32\mfcqk.exe
O4 - HKLM\..\Run: [d3rm32.exe] C:\WINDOWS.0\system32\d3rm32.exe
O4 - HKLM\..\Run: [crbz32.exe] C:\WINDOWS.0\system32\crbz32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS.0\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] jrvdzmhp.exe
O4 - HKLM\..\RunServices: [Microsoft Update 33] zudwsjgg.exe
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\utilitaire\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Documents and Settings\Administrateur\Mes documents\laurie\msn+\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Administrateur\Mes documents\Sylvain\Antivirus\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\Administrateur\Mes documents\Sylvain\Antivirus\security suite\ewidoguard.exe

Dans l'attente de bonnes nouvelles, je vous souhaite un bon week-end.

salut telecharge cc cleaner et mets le de coter
desistalle msn plus et reinstalle le sans les sponsort

coche ses lignes en demarrent en mode sans echec

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS.0\system32\crjzk.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R3 - Default URLSearchHook is missing
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS.0\System32\hp8049.tmp (file missing)
O4 - HKLM\..\Run: [Microsoft Update 32] jrvdzmhp.exe
O4 - HKLM\..\Run: [Microsoft Update 33] zudwsjgg.exe
O4 - HKLM\..\Run: [ntxw32.exe] C:\WINDOWS.0\system32\ntxw32.exe
O4 - HKLM\..\Run: [apptm.exe] C:\WINDOWS.0\apptm.exe
O4 - HKLM\..\Run: [mfcqk.exe] C:\WINDOWS.0\system32\mfcqk.exe
O4 - HKLM\..\Run: [d3rm32.exe] C:\WINDOWS.0\system32\d3rm32.exe
O4 - HKLM\..\Run: [crbz32.exe] C:\WINDOWS.0\system32\crbz32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS.0\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] jrvdzmhp.exe
O4 - HKLM\..\RunServices: [Microsoft Update 33] zudwsjgg.exe
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\delus.exe
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=about :blank

assure toi d avoir acces au fichier cacher

demarrer/poste de travail/outils/option des dossier /cocher les fichier cacher

supprime ses fichier

jrvdzmhp.exe
zudwsjgg.exe
C:\WINDOWS.0\system32\ntxw32.exe
C:\WINDOWS.0\apptm.exe
C:\WINDOWS.0\system32\mfcqk.exe
C:\WINDOWS.0\system32\d3rm32.exe
C:\WINDOWS.0\system32\crbz32.exe
C:\WINDOWS.0\System32\msmsgs.exe
C:\Program Files\PSGuard\PSGuard.exe
jrvdzmhp.exe
zudwsjgg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\delus.exe
C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

lance et execute cc cleaner

redemare et reposte un log

EDIT:arnauds il faut finir le travail en suppriment les fichier infecter et non pas q en cochant sinom les lignes revienne

je t explique ce site est un robot et n est pas mis a jour je vois que tu l utilise vu que tu me fait la reflection donc ecoute bien

le site hijacthis.de est un robot qui n est pas fiable car il confond des lignes legitime avec des lignes nefaste et vice versa et ne se mets pas a jour donc ne sais pas relever les nouvelle lignes nefaste

j espere d avoir eclairer

Bonsoir,

Pense à mettre ton système à jour via http://windowsupdate.microsoft.com/
Tu es très en retard...

Pense à installer un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.
Et un antivirus est fortement recommandé...

1/ Télécharge et installe CCleaner

2/ Télécharge >>SmitfraudFix<<
Dézippes-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

4/ Désinstalle les prog que tu trouves dans la liste ci-dessous, via Ajout/suppresion de Prog :

WildTangent

5/ Lance Hijackthis et fixe les lignes suivantes :

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll"

O4 - HKLM\..\Run: [Microsoft Update 33] lmyycgib.exe
O4 - HKLM\..\RunServices: [Microsoft Update 33] lmyycgib.exe

6/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés"->coché
"Masquer les extensions des fichiers dont le type est connu"->décoché
"Masquer les fichiers protégés du système d'exploitation->décoché)

7/ Ensuite supprime les fichiers et/ou dossiers suivants si encore présents :
pour les fichiers dont le chemin n'est pas précisé, fais une recherche sur le PC --> ils sont sans doute localisés dans C:\WINDOWS\System32 et/ou C:\WINDOWS

C:\Program Files\WildTangent\ --> supprime ce dossier
lmyycgib.exe

8/ Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

9/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

10/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix ainsi qu'un nouveau log HijackThis pour vérification.