Log hijackthis à vérifier : Nsag.b et PSGuard
Antoine
-
Antoine -
Antoine -
Bonjour,
J'ai été vistime comme beaucoup d'autres de PSGuard et de Virus.win32.Nsag.b
J'ai annalyser le pc avec Hijackthis et voici les résultats :
"Logfile of HijackThis v1.99.1
Scan saved at 18:01:28, on 12/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\updatett.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
"
Pourriez vous me dire ce que je dois faire à présent svp ?
Merci
Antoine
J'ai été vistime comme beaucoup d'autres de PSGuard et de Virus.win32.Nsag.b
J'ai annalyser le pc avec Hijackthis et voici les résultats :
"Logfile of HijackThis v1.99.1
Scan saved at 18:01:28, on 12/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\updatett.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
"
Pourriez vous me dire ce que je dois faire à présent svp ?
Merci
Antoine
A voir également:
- Log hijackthis à vérifier : Nsag.b et PSGuard
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Verifier compatibilite windows 11 - Guide
- Vérifier version windows - Guide
- Vérifier température pc - Guide
- Vérifier si mot de passe piraté - Guide
24 réponses
Bonsoir
* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.
* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.
* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.
* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.
Voici donc le rapport de smitfraudix option 2
SmitFraudFix v1.84
Rapport fait à 10:22:44,07 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINDOWS\system32\oleext.dll
C:\Program Files\PSGuard\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll
C:\WINDOWS\system32\wininet.dll infecté !
Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est E0DE-B7C5
R‚pertoire de C:\WINDOWS\system32
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 19:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE
27/01/2005 18:12 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707-IE6-20040929.115007$
28/08/2001 12:00 598ÿ016 wininet.dll
1 fichier(s) 598ÿ016 octets
R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2737.800
Version BackUp : 6.0.2737.800
Remplacement wininet.dll (reboot necessaire)
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.84
Rapport fait à 10:22:44,07 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINDOWS\system32\oleext.dll
C:\Program Files\PSGuard\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll
C:\WINDOWS\system32\wininet.dll infecté !
Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est E0DE-B7C5
R‚pertoire de C:\WINDOWS\system32
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
R‚pertoire de C:\WINDOWS\system32\dllcache
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE
29/09/2004 19:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE
27/01/2005 18:12 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB834707-IE6-20040929.115007$
28/08/2001 12:00 598ÿ016 wininet.dll
1 fichier(s) 598ÿ016 octets
R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$
23/08/2004 18:16 588ÿ800 wininet.dll
1 fichier(s) 588ÿ800 octets
Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2737.800
Version BackUp : 6.0.2737.800
Remplacement wininet.dll (reboot necessaire)
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
ça c'est le premier rapport, avec l'option 1, même si je ne le poste que maintenant ! Je croyais l'avoir posté, mais ça n'a pas marché.
SmitFraudFix v1.84
Rapport fait à 9:56:39,73 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\oleext.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\Program Files\PSGuard\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD Présent !
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.84
Rapport fait à 9:56:39,73 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\oleext.dll PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\Program Files\PSGuard\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD Présent !
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 10:39:00, on 13/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\updatett.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Antoine\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
Logfile of HijackThis v1.99.1
Scan saved at 10:39:00, on 13/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\updatett.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Antoine\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
1 Va sur ce site
http://www.virustotal.com/xhtml/virustotal_en.html
Clique sur Parcourir et cherche ce fichier.
C:\WINDOWS\System32\syssafett.exe
Ensuite clique sur Send .
Si le fichier est reconnu comme infecté, tu fais la manip en entier. S'il est clean, tu le laisses tranquille.
Si tu as un doute, postes le rapport avant de continuer.
2 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. --> Si le fichier est néfaste.
Dans la liste des services, cherche et sélectionne
"syssafe" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\syssafett.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINDOWS\System32\syssafett.exe --> Si néfaste
gxlib.exe --> Probablement dans C:\WINDOWS\system32 ou C:\WINDOWS
8 Lance et exécute CCleaner
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
9 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
10 Redémarre normalement
Poste un nouveau log HijackThis avec le rapport de SmitfraudFix
1 Va sur ce site
http://www.virustotal.com/xhtml/virustotal_en.html
Clique sur Parcourir et cherche ce fichier.
C:\WINDOWS\System32\syssafett.exe
Ensuite clique sur Send .
Si le fichier est reconnu comme infecté, tu fais la manip en entier. S'il est clean, tu le laisses tranquille.
Si tu as un doute, postes le rapport avant de continuer.
2 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. --> Si le fichier est néfaste.
Dans la liste des services, cherche et sélectionne
"syssafe" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\syssafett.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: syssafe - Unknown owner - C:\WINDOWS\System32\syssafett.exe
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINDOWS\System32\syssafett.exe --> Si néfaste
gxlib.exe --> Probablement dans C:\WINDOWS\system32 ou C:\WINDOWS
8 Lance et exécute CCleaner
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
9 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
10 Redémarre normalement
Poste un nouveau log HijackThis avec le rapport de SmitfraudFix
Bonsoir,
Je te remercie pour tes précieux conseils :-)
1 Va sur ce site
http://www.virustotal.com/xhtml/virustotal_en.html
Clique sur Parcourir et cherche ce fichier.
C:\WINDOWS\System32\syssafett.exe
Ensuite clique sur Send .
Le fichier etait sans virus
2 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
OK
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
OK
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. --> Si le fichier est néfaste.
Dans la liste des services, cherche et sélectionne
"syssafe" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\syssafett.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
En fait, bien qu'il n'était
pas néfaste, j'ai quand même fait la manip... en lisant mal tes conseils qui pourtant le disent bien : " Si le fichier est néfaste!"
Désolé !
Dis moi, maintenant que c'est fait je retourne le réactiver ?
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: syssafe - Unknown owner -
OK
C:\WINDOWS\System32\syssafett.exe : celui je ne l'ai pas trouvé, c'est peut etre à cause de ma bétise d'avant non ?
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
OK
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
OK
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINDOWS\System32\syssafett.exe --> Si néfaste
gxlib.exe --> Probablement dans C:\WINDOWS\system32 ou C:\WINDOWS
en fait dans C:\WINDOWS\Prefetch de nom Gxlib.exe - 25774746.pf
je l'ai donc effacé.
8 Lance et exécute CCleaner
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
OK
9 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
Voila :
SmitFraudFix v1.84
Rapport fait à 23:08:11,78 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
SmitFraudFix v1.84
Rapport fait à 21:26:23,31 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
et voici le rapport de Hijackthis toujours en mode sans echec :
Logfile of HijackThis v1.99.1
Scan saved at 23:11:26, on 13/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Antoine\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
10 Redémarre normalement
Poste un nouveau log HijackThis avec le rapport de SmitfraudFix
C'est bon non ? Dis moi que c'est bon stp ?
Je te remercie pour tes précieux conseils :-)
1 Va sur ce site
http://www.virustotal.com/xhtml/virustotal_en.html
Clique sur Parcourir et cherche ce fichier.
C:\WINDOWS\System32\syssafett.exe
Ensuite clique sur Send .
Le fichier etait sans virus
2 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
OK
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
OK
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. --> Si le fichier est néfaste.
Dans la liste des services, cherche et sélectionne
"syssafe" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\syssafett.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
En fait, bien qu'il n'était
pas néfaste, j'ai quand même fait la manip... en lisant mal tes conseils qui pourtant le disent bien : " Si le fichier est néfaste!"
Désolé !
Dis moi, maintenant que c'est fait je retourne le réactiver ?
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: syssafe - Unknown owner -
OK
C:\WINDOWS\System32\syssafett.exe : celui je ne l'ai pas trouvé, c'est peut etre à cause de ma bétise d'avant non ?
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
OK
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
OK
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\WINDOWS\System32\syssafett.exe --> Si néfaste
gxlib.exe --> Probablement dans C:\WINDOWS\system32 ou C:\WINDOWS
en fait dans C:\WINDOWS\Prefetch de nom Gxlib.exe - 25774746.pf
je l'ai donc effacé.
8 Lance et exécute CCleaner
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
OK
9 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
Voila :
SmitFraudFix v1.84
Rapport fait à 23:08:11,78 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
SmitFraudFix v1.84
Rapport fait à 21:26:23,31 le 13/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
et voici le rapport de Hijackthis toujours en mode sans echec :
Logfile of HijackThis v1.99.1
Scan saved at 23:11:26, on 13/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Antoine\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy2\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: La Solution Enseignement Ciel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105311106369
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
10 Redémarre normalement
Poste un nouveau log HijackThis avec le rapport de SmitfraudFix
C'est bon non ? Dis moi que c'est bon stp ?
Je viens de m'appercevoir que PSGuard viens de revenir ! je crois avoir lu
sur un forum que lui et Nsag.b se protégeaient mutuellement, t'en enlèves un et le second le réinstale celui que tu viens d'installer , pareil en effaçant l'autre en premier. Tu confirmes ?
sur un forum que lui et Nsag.b se protégeaient mutuellement, t'en enlèves un et le second le réinstale celui que tu viens d'installer , pareil en effaçant l'autre en premier. Tu confirmes ?
j'ai donc relancé smitfraufix en option 1 et voici le rapport
SmitFraudFix v1.84
Rapport fait à 0:13:27,58 le 14/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.84
Rapport fait à 0:13:27,58 le 14/09/2005
Executé à partir de C:\Documents and Settings\Antoine\Bureau\SmitfraudFixdezip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Antoine\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Bonjour
Rien de trouvé avec SmitfraudFix.
Rien d'infectieux dans le rapport hijackThis.
Pourquoi dis tu qu'il est revenu ?
Fais une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Colle son rapport ici
Rien de trouvé avec SmitfraudFix.
Rien d'infectieux dans le rapport hijackThis.
Pourquoi dis tu qu'il est revenu ?
Fais une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Colle son rapport ici
Bonjour,
J'ai retrouvé PSGuarard dans démarrer/tous les programmes, alors qu'il avait disparu c'est pour ça. Par ailleurs je n'ai plus mon d'écran original, il est remplacé par un fond bleu.
voici le rapprot de kaspersky pour "crictical areas" :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 14, 2005 17:51:29
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/09/2005
Kaspersky Anti-Virus database records: 140299
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\Antoine\LOCALS~1\Temp\
Scan Statistics:
Total number of scanned objects: 16583
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 1199 sec
No malware has been detected. The sections that have been scanned are CLEAN.
Scan process completed.
J'ai retrouvé PSGuarard dans démarrer/tous les programmes, alors qu'il avait disparu c'est pour ça. Par ailleurs je n'ai plus mon d'écran original, il est remplacé par un fond bleu.
voici le rapprot de kaspersky pour "crictical areas" :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 14, 2005 17:51:29
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 14/09/2005
Kaspersky Anti-Virus database records: 140299
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\Antoine\LOCALS~1\Temp\
Scan Statistics:
Total number of scanned objects: 16583
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 1199 sec
No malware has been detected. The sections that have been scanned are CLEAN.
Scan process completed.
Re
Kaspersky n'a rien trouvé.
As tu supprimer PSGuard s'il est encore présent ?
Pour le fond d'écran
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
Kaspersky n'a rien trouvé.
As tu supprimer PSGuard s'il est encore présent ?
Pour le fond d'écran
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
Re,
je viens de faire une recherche avec démérrer/rechercher PSGuard, et il n'est présent que dans le menu démarrer.
Pour le fond d'écran c'est bien pareil que sur ton image.
J'iamgine donc que mon PC est clean et je t'en remercie sincèrement.
Bonne soirée
Antoine
je viens de faire une recherche avec démérrer/rechercher PSGuard, et il n'est présent que dans le menu démarrer.
Pour le fond d'écran c'est bien pareil que sur ton image.
J'iamgine donc que mon PC est clean et je t'en remercie sincèrement.
Bonne soirée
Antoine
Bien, télécharge Registry Search
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe le sur le bureau et double-clique sur regsrch.vbs
copie colle le nom PSGuard dans la zone de recherche et clique sur OK
Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
Sauvegarde le résultat pour le mettre dans ton prochain post.
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe le sur le bureau et double-clique sur regsrch.vbs
copie colle le nom PSGuard dans la zone de recherche et clique sur OK
Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
Sauvegarde le résultat pour le mettre dans ton prochain post.
Bonjour,
j'ai fait la recherche, et voici le résultat : 33 instances of "PSGuard" found.
Mais par contre, j'ai le message d'erreur suivant " la point d'entrée de procédure SHRegGetValueW est introuvable dans la biblitothèque de liaison dynamique SHLWAPI.dll.
Je ne peut donc pas obtenir de rapport détaillé.
j'ai fait la recherche, et voici le résultat : 33 instances of "PSGuard" found.
Mais par contre, j'ai le message d'erreur suivant " la point d'entrée de procédure SHRegGetValueW est introuvable dans la biblitothèque de liaison dynamique SHLWAPI.dll.
Je ne peut donc pas obtenir de rapport détaillé.
voila :
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 20:46:14 for strings:
; 'psguard'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 116"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 119"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 110"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 127"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 114"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 106"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll, 101"
[HKEY_USERS\S-1-5-21-1004336348-1682526488-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="PSGuard"
[HKEY_USERS\S-1-5-21-1004336348-1682526488-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PSGuard spyware remover]
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 20:46:14 for strings:
; 'psguard'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 116"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 119"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 110"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 127"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 114"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}\InprocServer32]
@="C:\\Program Files\\PSGuard\\Core.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\Core.dll, 106"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}\InprocServer32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}\ToolboxBitmap32]
@="C:\\Program Files\\PSGuard\\WndSystem.dll, 101"
[HKEY_USERS\S-1-5-21-1004336348-1682526488-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="PSGuard"
[HKEY_USERS\S-1-5-21-1004336348-1682526488-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PSGuard spyware remover]
; End Of The Log...
Bonsoir
On va donc nettoyer le registre.
Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)
-----------------------------------------------------------------------------------
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}]
----------------------------------------------------------------------------------
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.
On va donc nettoyer le registre.
Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)
-----------------------------------------------------------------------------------
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}]
----------------------------------------------------------------------------------
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.
