[Résolu] Psguard retirer- 0 malware- mais IE 6 encore infecté
Forum Sécurité - Virus : [Résolu] Psguard retirer- 0 malware- mais IE 6 encore infecté
Bonjour voila j'ai suivi pas a pas la procedure pour retirer psguard et les malwares avec pas de soucis tout est parti mon anti virus (KAV) ne vois plus rien
CCLEANER non plus A²Free non plus Ewido non plus Stinger non plus Ad Aware idem.
Mais un truc reste malgré mes delete avec HijackThis , je vous explique :
Je lance IE 6 avec sa page d'acceuil www.google.fr mais quand je lance ne fait jai pas google mais toujours le meme site www.system2k.net (une page qui a abuse de la skin du centre de securité WINDOWS centre de sécurité) ca me dit que j'ai des malware qui attaque mon pc et que si je veux plus en avoir je doit acheter PSGUARD.
Quand je fait une erreur de frappe idem au lieu daller vers msnsearch il me balance sur www.system2k.net.
Quand je veux aller sur un site qui demande un activeX (comme panda antivirus ou rueducommerce) meme chose direct je vais sur www.system2k.net.
J'ai delete la clé qui semblai poser soucis dans HijackThis le prob elle revient a chaque fermeture de session et je trouve pas ce qui controle ca.
Voici le rapport HijackThis
********************************
Logfile of HijackThis v1.99.1
Scan saved at 18:55:16, on 20/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\nvctrl.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Program Files\Microsoft Hardware\Mouse\point32.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\Program Files\MSI\Live Update 3\LMonitor.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\MSI\Core Center\CoreCenter.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Outlook Express Launcher\OELauncher.exe
D:\Program Files\Outlook Express\msimn.exe
D:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ArGo Software Design\Mail Server\mailserver.exe
D:\Documents and Settings\Ade\Bureau\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - D:\WINDOWS\system32\hp4DC5.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] D:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RunOdigo] D:\Program Files\Odigo\Bin\Odigo.exe -m
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LiveMonitor] D:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: CoreCenter.lnk = D:\Program Files\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2EEA30-EE67-45DF-B4CC-62F0FA9A6EDD}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
*********************************
On peux remarque que le O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - D:\WINDOWS\system32\hp4DC5.tmp
Est en partie fautif le soucis je le delete et il revient donc y a surement un truc plus haut qui le reinstalle
je vous met egalement SmitfraudFix
*************************************
SmitFraudFix v1.84
Rapport fait à 18:56:59,92 le 20/09/2005
Executé à partir de D:\Documents and Settings\Ade\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32
D:\WINDOWS\system32\hp????.tmp PRESENT !
D:\WINDOWS\system32\oleext32.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Documents and Settings\Ade\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Documents and Settings\Ade\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
*****************************
Donc chapeau a la personne qui arrivera a eradiquer ma modif du IE6
Merci par avance
Bonsoir,
D:\WINDOWS\system32\nvctrl.exe --> très suspect
1/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
2/ Lance Hijackthis et fixe les lignes suivantes :
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - D:\WINDOWS\system32\hp4DC5.tmp
3/ Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
4/ Ensuite supprime le fichier suivant :
D:\WINDOWS\system32\nvctrl.exe
5/ Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l’option 2, réponds oui à chaque question
Sauvegarde le rapport.
6/ Redémarre normalement. Poste le rapport de SmitfraudFix et un nouveau rapport Hijackthis.
J'ai que une chose a dire : Félicitations ( le nvctrl je pensai vraiment que cetait un logiciel nvidia)
*************************
SmitFraudFix v1.84
Rapport fait à 3:15:04,59 le 21/09/2005
Executé à partir de D:\Documents and Settings\Ade\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
**************
et
****************
Logfile of HijackThis v1.99.1
Scan saved at 03:18:07, on 21/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\CTHELPER.EXE
D:\Program Files\Microsoft Hardware\Mouse\point32.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\Program Files\MSI\Live Update 3\LMonitor.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\MSI\Core Center\CoreCenter.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Ade\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] D:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RunOdigo] D:\Program Files\Odigo\Bin\Odigo.exe -m
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LiveMonitor] D:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: CoreCenter.lnk = D:\Program Files\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB2EEA30-EE67-45DF-B4CC-62F0FA9A6EDD}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{031F03DC-ABAF-44C9-81AD-29FD9041E8FB}: NameServer = 80.10.246.1,80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
*******************
C'est ce que on apelle du talent bravo et Merci esteban54 !
Il y a 689 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
