Merci d analyser ce log infester par psguard

bonsoir j'ai precedemment envoyer un message "au secours virus psguard" cet apres midi. je sui donc les conseils d'un membre du forum et vous envoi le copier coller de mon log hijackthis vous permettant de l'analyser si ce n'est pas trop vous demander. je vous remercie sincerement Logfile of HijackThis v1.99.1
Scan saved at 19:25:46, on 27/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\intell32.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\trang\Mes documents\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version2/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.c [...] 1/chat.cab
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/intdel.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/ac [...] 0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/ [...] nPUpld.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/10598/SEXE.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE5675E9-0B84-4ED8-88D5-603FD45875CE}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

T'aurais du le faire sur ton ancien message, ça évite d'avoir des doublons.

Maintenant, je laisse les experts parler.

Répondre à runy@IDN

Bonjour,

J'ai vu que tu étais bien infecté, surtout avec se fameux PSGuard. Je m'occupe de ton log, réponse d'ici 15 minutes minimum.

(Certain me dirons pourquoi se temp, ba tous simplement car je ne me fi pas au site de hijackthis. Et que il y a plusieurs manip et vérification a éffectué.

Répondre à leitho

Dsl, erreur d'idn. Se message s'est auto-reproduit. il doit être inséxué (auto-reproduction) pas besoin de deux cromozone :-D

Répondre à leitho

tu te remerci infiniement tu me sauve la vie pourrais tu egalement me donner la demarche a suivre apres ton analyse car je ne sais pas dutout quoi faire apres. je suis rentrer de vacances il y a deux heure tu comprend. merci vraiment merci

Répondre à fredoutille

Bonjour,

1) Télécharge CCleaner : ici

2) Télécharge A²Free : ici, install le puis met le à jour

3) Télécharge Ewido free : ici, installe le puis met le à jour

4) Télécharge l'utilitaire SmitfraudFix : ici,

Tu le décompresses tu double cliques dessus et tu choisis l’option 1, Cela va générer un rapport poste le.

5) Redémarre en mode sans échec, fait attention tu n'as pas accès à internet. Note bien se qu'il faut faire ou fait un copier coller.

Pour redémarrer en mode sans échec :

Démarre l'ordinateur, une fois le chargement du bios terminé, tapote sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de ton curseur (les flèches de ton clavier), selectionne le mode sans échec et appuye sur entrée.

Ne pas selectionner le mode sans échec avec prise en charge réseau.

6) Va dans l'utilitaire de désinstallation des programmes et désinstalle se programme si tu le trouve :

- PSGuard

7) Lance et exécute ses programmes :

- Lance SmitfraudFix, choisis cette fois l’option 2 et réponds oui à tout
- Lance Ewido free, supprime tous se qu'il te trouve.
- Lance a²Free, supprime tous se qu'il te trouve, copie/colle le rapport dans le bloc note,

- Enregistre sous le bloc note.

8) Lance un scan HijackThis et coche les lignes ci-dessous si elles sont toujours présente :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about :blank
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version2/Applet/wchatsign.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] eleir_cert .cab
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/intdel.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/10598/SEXE.exe
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe

Ferme toutes les fenêtres, sauf le logiciel HijackThis et clique sur Fix checked

9) Assure toi l'acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Active la case : Afficher les fichiers et dossiers cachés,
Désactive la case : Masquer les extensions des fichiers dont le type est connu,
Désactiver la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.

10) Recherche et supprime les fichiers et ou dossiers incriminés (si tu les trouves) :

- C:\WINDOWS\atlass.dll
- C:\WINDOWS\System32\intell32.exe
- C:\Program Files\PSGuard\PSGuard.exe
- C:\WINDOWS\System32\ALGU.EXE

- gxlib.exe (urilise l'utilitaire de recherche pour se fichier)

11) Assure toi de ne plus avoir acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Désactive la case : Afficher les fichiers et dossiers cachés,
Active la case : Masquer les extensions des fichiers dont le type est connu,
Active la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.

12) Lance CCleaner :

Clique sur analyser, puis sur lancer le nétoyage.

13) Redémarre normalement et :

- Va faire un scan en ligne avec panda ici

- Ton pc n'est pas à jour, pense à le mettre à jour sur le site de windows update ici

- Poste ici une autre analyse hijackthis avec le rapport de a²Free, le rapport du scan avec panda et celui de SmitfraudFix.

Ps, j'ai remarqué que tu as beaucoup d'active x malicieux, pour éviter d'en avoir, je te conseil de télécharger spywareblaster ici et de l'installer. Il te protégera automatiquement des mauvais actives x.

Répondre à leitho

bonjour leitho excuse de ne pas avoir repondu plus tot javais des truc a faire. je te transmet comme tu me la demandé le rapport smitfeudfix. je ne sais pas ce que tu vas en faire mais bon c pour toi.
SmitFraudFix v1.81

Rapport fait à 13:42:25,73 le 28/08/2005
Executé à partir de C:\Documents and Settings\trang\Mes documents\virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

C:\ntdetecd.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\trang\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 26/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

C:\AVG7DB_F.DAT
C:\ntdetecd.exe
C:\WINDOWS\wmsetup.log
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\gxlib.exe
C:\WINDOWS\system32\intell32.exe

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD Présent !

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1771-12FF

R‚pertoire de C:\WINDOWS\SYSTEM32

16/01/2004 07:00 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets

R‚pertoire de C:\WINDOWS\SYSTEM32\dllcache

16/01/2004 07:00 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Répondre à fredoutille

Continu les étapes suivantes, poste les autres rapport demandé.

SmitfraudFix est chargé de détecté l'infetion psguard dans se log. Et de le détruire.

Répondre à leitho

putain merci leitho trop puissant tout remarche parfaitement je sais pas comment tu t demerder pour trouver tous ca mais t un boss.

merci merci merci

Répondre à fredoutille

les autres rapports
SmitFraudFix v1.81

Rapport fait à 13:56:51,40 le 28/08/2005
Executé à partir de C:\Documents and Settings\trang\Mes documents\virus\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\ntdetecd.exe supprimé
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\intell32.exe supprimé
Problème suppression C:\WINDOWS\system32\oleext.dll
C:\WINDOWS\system32\wppp.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1771-12FF

R‚pertoire de C:\WINDOWS\SYSTEM32

16/01/2004 07:00 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets

R‚pertoire de C:\WINDOWS\SYSTEM32\dllcache

16/01/2004 07:00 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

Fichier trouvé : C:\WINDOWS\SYSTEM32\dllcache\wininet.dll
Version System : 6.0.2737.800
Version BackUp : 6.0.2737.800

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 17:57:20, 28/08/2005
+ Somme de contrôle: 438B5487

+ Résultats du scan:

HKLM\SOFTWARE\180solutions -> Spyware.180Solutions : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ADM4.ADM4 -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ADM4.ADM4\CurVer -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Spyware.Altnet : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{53CBEE82-D747-11D3-9ED0-005004189684} -> Spyware.UCmore : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1} -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8869786C-8E72-45DC-911D-AB3416AC1DF1} -> Spyware.DownloadReceiver : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E3D3AFEE-2172-4ef5-8509-1638AFFF0374} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{ED8DB0FD-D8F4-4B2C-BB5B-9EF040FE104D} -> Spyware.UCmore : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{0985C112-2562-46F2-8DA6-92648BA4630F} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{0B6EF17E-18E5-4449-86EA-64C82D596EAE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{339D8AFF-0B42-4260-AD82-78CE605A9543} -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564EA119} -> Spyware.CashBack : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{9388907F-82F5-434D-A941-BB802C6DD7C1} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{A36A5936-CFD9-4B41-86BD-319A1931887F} -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{AA4939C3-DECA-4A48-A454-97CD587C0EF5} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{B88A3AF1-4F1B-4400-8FFB-3FCB108CE115} -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Jao.jao -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Jao.jao\CLSID -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Jao.jao\CurVer -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{2CAADFB2-2CDC-46F9-BA22-2DD8160DD763} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{58634367-D62B-4C2C-86BE-5AAC45CDB671} -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{67907B3C-A6EF-4A01-99AD-3FCD5F526429} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27} -> Spyware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{D0288A41-9855-4A9B-8316-BABE243648DA} -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\eXactUtil -> Spyware.BargainBuddy : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{469C7080-8EC8-43A6-AD97-45848113743C} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{50AD557E-3426-41FD-AFDD-2AF39BB1C387} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{C771B05E-E725-4516-97A5-4CE5EB163CFB} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\HTASSstp -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\WTLBAstp -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\SideFind -> Spyware.SideFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E3D3AFEE-2172-4ef5-8509-1638AFFF0374} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/Downloaded Program Files/ISTactivex.dll -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ATLAssLib -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Nettoyer et sauvegarder
HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Nettoyer et sauvegarder
HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\localNRD -> Spyware.BetterInternet : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Microsoft\Internet Explorer\Explorer Bars\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{386A771C-E96A-421F-8BA7-32F1B706892F} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} -> Spyware.MoneyTree : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\PowerScan -> Spyware.PowerScan : Nettoyer et sauvegarder
HKU\S-1-5-21-730880973-79857088-3254181152-1005\Software\Updater -> Spyware.KeenValue : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\RemAEE.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem7CB.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem7DB.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem7D0.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem1B.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem27.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\Rem6.exe -> TrojanDownloader.Swizzor.d : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\remove.exe -> TrojanDownloader.Keenval.f : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\p2psetup.exe -> Spyware.P2PNetworking : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\asmfiles.cab/asm.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\asmfiles.cab/asmps.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\dia20D.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\diaB.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\upd5.tmp/ME.dll -> Spyware.MediaPops : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\__unin__.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\bb.exe -> Spyware.BargainBuddy.j : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\THI32FF.tmp\localNRD.dll -> Spyware.BiSpy : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Local Settings\Temp\THI32FF.tmp\preInsln.exe -> Spyware.BiSpy : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\trang\Cookies\trang@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\WINDOWS\SYSTEM32\exdl.exe -> Adware.eXact : Nettoyer et sauvegarder
C:\WINDOWS\SYSTEM32\exul.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder
C:\WINDOWS\SYSTEM32\bbchk.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder
C:\WINDOWS\SYSTEM32\apuc.dll -> Spyware.BargainBuddy : Nettoyer et sauvegarder
C:\WINDOWS\SYSTEM32\wppp.html -> Spyware.PSGuard : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\adm4.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\adm25.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\adm.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\admdata.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\admdloader.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\admfdi.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\admprog.dll -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\dmfiles.cab/AltnetUninstall.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\dmfiles.cab/asmend.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\pmexe.cab/Points Manager.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\pmfiles.cab/sysdetect.dll -> Adware.BrilliantDigital : Nettoyer et sauvegarder
C:\WINDOWS\Temp\Altnet\Setup.exe -> Spyware.Altnet : Nettoyer et sauvegarder
C:\WINDOWS\Temp\uninstall.dll -> Trojan.Delf.ff : Nettoyer et sauvegarder
C:\WINDOWS\localNRD.dll -> Spyware.BiSpy : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\rundlg32.dll -> Spyware.SBSoft : Nettoyer et sauvegarder
C:\WINDOWS\preInsln.exe -> Spyware.BiSpy : Nettoyer et sauvegarder
C:\WINDOWS\bbchk.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder
C:\WINDOWS\stlbd.dll -> Spyware.ToolBand : Nettoyer et sauvegarder
C:\System Volume Information\_restore{0DA4A7EF-B741-4D9A-A1F1-780CE13E0F9C}\RP498\A0072075.exe -> Trojan.Small.ev : Nettoyer et sauvegarder

::Fin du rapport

Répondre à fredoutille

bonsoir leitho
je suis tout nouveau, novice et ai de gros soucis avec psguard. Je voulais savoir si tu pouvais m'aider aussi. j'ai effectué un scan avec hijack, ai donc un rapport mais suis perdu maintenant et mon pc est cuit. Voila
si tu peux ...c'est très très cool

Répondre à steff21

ben fais ce que le mec a fait plus haut ! :-)
Sauf si ton PC est mort de chez mort...
et en mode sans échec ??

Répondre à OmaR

Bonsoir,
j'ai eu le meme problème: infectée par PSguard j'ai suivi vos indications ci-dessus, mais encore embetée, j'ai posté mon propre message avec mon log hijack, pouvez-vous svp l'analyser et me conseiller. Mon message (ds virus) s'appelle : "Virus PS guard + pb affichage fond d'écran"

Merci beaucoup!!

Répondre à veranda

Merci d analyser ce log infester par psguard

Forum Sécurité - Virus : Merci d analyser ce log infester par psguard

Attention