[malware.psguard] infecté

Résolu
mathieu1 Messages postés 90 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
J'ai un problème avec un virus, enfin je pense, quand je scan avec AD-Adware, il me sort un rapport :

Malware.Psguard Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\psguard.com

A chaque fois il me le trouve mais il ne parvient pas à le supprimer.
Pourriez m'apporter une solution, j ai essayé plein de chose, mais rien n'y fait.

Merci d'avance,
cordialement
MATHIEU
Configuration: Windows XP

40 réponses

  • 1
  • 2
Résumé de la discussion

Problème récurrent sur Windows XP : un rapport signale Malware.Psguard avec la clé de registre HKEY_LOCAL_MACHINE et l’entrée software\psguard.com, et la détection persiste malgré les tentatives de suppression. Des solutions proposées incluent l’utilisation de SmitFraudFix v2.11 pour nettoyer les entrées de registre et les fichiers infectés, puis un nouveau scan pour vérifier les éléments résiduels. Des rapports avaient aussi mentionné des éléments potentiels tels que des fichiers système dans C:\Windows\system32 et des composants de démarrage à examiner, puis la suppression de débris via Spy Doctor ou outils similaires. En cas de progression partielle, il demeure nécessaire de vérifier les clés HKLM et la suppression des éléments résiduels afin d’éviter les réinfections et d’assurer la stabilisation du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Télécharge ceci: (merci a S!RI pour ce petit programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    ++
    0
  2. mathieu
     
    Rebonjour,
    Merci pour votre aide, j'ai telecharger smitfraud comme vous me l'avez demandé, mais je ne peux pas executer smitfraudfix.cmd, cela m'indique que le fichier process.exe est inéxistant.
    Je ne comprends pas trop pourquoi, il aparait pourtant bien dans les fichiers...

    Merci d'avance,
    Mathieu
    0
  3. Utilisateur anonyme
     
    salut

    il faut que tu le dezippe
    lorsque tu le telecharges, clik droit et extraire tout

    a+
    0
  4. Mathieu
     
    Merci pour votre conseil, j ai pu ouvrir smitfraud et je vais m'en occuper ce soir, je vous tiendrai au courant du bon avancement, merci beaucoup pour tout,
    cordialement
    Mathieu
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Mathieu
     
    SmitFraudFix v2.11

    Rapport fait à 15:23:52,25 le 03/01/2006
    Executé à partir de C:\Documents and Settings\Pascal\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\ot.ico PRESENT !
    C:\WINDOWS\system32\ts.ico PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Pascal\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    HKLM\SOFTWARE\PSGuard.com Présent !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
    Voici le rapport smitfraud en prenant l'option 1:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    A Bientot pour l'option 2...

    Cordialement
    0
  7. Utilisateur anonyme
     
    D'accord

    a+
    0
    1. mathieu
       
      Bonjour,
      voici le rapport de smitfraud avec l'option 2 :

      SmitFraudFix v2.11

      Rapport fait à 15:32:17,31 le 03/01/2006
      Executé à partir de C:\Documents and Settings\Pascal\Bureau\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\WINDOWS\system32\ot.ico supprimé
      C:\WINDOWS\system32\ts.ico supprimé


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      HKLM\SOFTWARE\PSGuard.com supprimé

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

      Apparemment ca va mieux, mais j'ai l'impression qu'il reste encore quelques cochonnerie de cachées parci parla...

      Encore merci,
      Mathieu
      0
  8. Utilisateur anonyme
     
    lol

    tu voudrais peux etre que jte fasse le grand nettoyage de ton pc?
    0
    1. mathieu
       
      Lol,
      je voudrais pas abuser...
      Tu m as deja beaucoup aidé, j'ose pas trop utiliser certains logiciel, c'est tellement poussé que j'ai peur de faire une connerie et d'effacer des trucs auxquels il ne faudrait pas toucher...

      Deja une bonne chose, j'ai rescanné avec Ad-Aware et il ne m a rien trouvé, mais j'ai refais un test avec Spy Doctor (pour voir, je n'ai qu une version d'évaluation) et la il me trouve plein de trucs...

      S'en vouloir abuser, si tu as une idée...
      Merci...
      Mathieu
      0
  9. Utilisateur anonyme
     
    Re,
    bon sans abuser, on va faire le grand menage, t es ok ou pas?

    télécharge HijackThis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
    1. mathieu
       
      Merci de bien vouloir continuer à m'assister...
      Voici le rapport HijackThis :

      Logfile of HijackThis v1.99.1
      Scan saved at 13:29:49, on 04/01/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\system32\PDFCreatorMessages.exe
      C:\Program Files\Spyware Doctor\sdhelp.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
      C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
      C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\SYSTEM32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Apoint\Apoint.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\system32\ICO.EXE
      C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
      C:\Program Files\Sony\HotKey Utility\HKserv.exe
      C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
      C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\lrho\pteu.exe
      C:\Program Files\Spyware Doctor\swdoctor.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Apoint\Apntex.exe
      C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Program Files\Sony\VAIO Launcher\Launcher.exe
      C:\Program Files\Sony\HotKey Utility\HKWnd.exe
      C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
      C:\WINDOWS\system32\msiexec.exe
      C:\DOCUME~1\Pascal\LOCALS~1\Temp\Rar$EX00.777\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
      O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
      O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
      O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
      O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
      O4 - HKLM\..\Run: [PDService.exe] C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [PDFCreatorClient] C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Wbca] "C:\Program Files\lrho\pteu.exe" -vt ndrv
      O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
      O4 - Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
      O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
      O15 - Trusted Zone: *.sony-europe.com
      O15 - Trusted Zone: *.sonystyle-europe.com
      O15 - Trusted Zone: *.vaio-link.com
      O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - AppInit_DLLs: PAVWAIT.DLL
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
      O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
      O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
      O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
      O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
      O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
      O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
      O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
      O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
      O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
      O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
      O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

      J'espére que ça pourra te permettre de déceler les quelques trucs pas trés saint qui ne devraient pas être la...

      Je te remercie encore du temps que tu me consacre,
      cordialement,
      Mathieu
      0
    2. mathieu
       
      Encore juste une ptite question, qu'est ce que c'est que TrayApp?
      Au redemarrage de windows, un message me dis que windows installe TrayApp, et qu'il me faut le CD-ROM pour le faire, je suis obligé de faire un Ctrl Alt+Suppr pour arreter cette application...

      Si ca te dis quelque chose...
      Merci
      Mathieu
      0
  10. Utilisateur anonyme
     
    Re,

    commence par ceci
    Rend toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche ceci :
    C:\Program Files\lrho\pteu.exe
    Clik send et colle le rapport stp

    puis dans demarer < tous les programmes < demarrage, clik droit sur tout et supprimer

    A+
    0
    1. mathieu
       
      Re bonjour,
      voici le rapport que tu m as demandé...
      Je c pas tro koi en dire



      Virus Total
      _______________________________________________

      Scan results
      File: pteu.exe
      Date: 01/04/2006 14:32:43 (CET)
      ----
      AntiVir 6.33.0.74/20060104 found nothing
      Avast 4.6.695.0/20060103 found nothing
      AVG 718/20060103 found nothing
      Avira 6.33.0.74/20060104 found nothing
      BitDefender 7.2/20060104 found nothing
      CAT-QuickHeal 8.00/20060103 found nothing
      ClamAV devel-20051123/20060104 found nothing
      DrWeb 4.33/20060104 found nothing
      eTrust-Iris 7.1.194.0/20060104 found [Win32/Clspring.Variant!Trojan]
      eTrust-Vet 12.4.1.0/20060104 found [Win32/Clspring!generic]
      Ewido 3.5/20060103 found nothing
      Fortinet 2.54.0.0/20060104 found [suspicious]
      F-Prot 3.16c/20060102 found nothing
      Ikarus 0.2.59.0/20060103 found nothing
      Kaspersky 4.0.2.24/20060104 found nothing
      McAfee 4666/20060103 found nothing
      NOD32v2 1.1351/20060103 found [probably a variant of Win32/Adware.MediaTickets
      ]
      Norman 5.70.10/20061231 found nothing
      Panda 9.0.0.4/20060103 found nothing
      Sophos 4.01.0/20060104 found nothing
      Symantec 8.0/20060104 found nothing
      TheHacker 5.9.2.067/20060102 found nothing
      UNA 1.83/20060102 found nothing
      VBA32 3.10.5/20060104 found [suspected of Backdoor.Rbot.2]

      _______________________________________________


      merci, j'avais encore jamais utilisé ce site... on en apprend tous les jours ici...
      Mathieu
      0
  11. Utilisateur anonyme
     
    Re,

    t as pas finis d en apprendre...

    relance hijack this, coche la case devant

    O4 - HKCU\..\Run: [Wbca] "C:\Program Files\lrho\pteu.exe" -vt ndrv

    puis sur fix checked

    puis supprime ceci
    C:\Program Files\lrho

    a+
    0
    1. mathieu
       
      Bonjour,
      merci pour tout, j'ai enfin réussi à supprimer le dossir lrho, ca faisait longtemps que j'étais dessus et je comprenais pas ce qu'il faisait la ni comment le supprimer...
      En refaisant un scan avec spy doctor, il y a encore 2 3 conneries qui reviennent, mais je pense qu'il n y a plus grand chose de méchant...

      Spy Doctor me les classe comme :
      -CARPE DIEM
      -TROJAN.POPUPER
      -Wierd On the Web
      -Tracking Cookies

      ex : HKLM\Software\classes\CLSID...
      HKCR\CLSID...
      HKLM\Software\altpayments...
      HKCR\Typelib...
      HKCR\Interface...
      HKCR\AppID\AMNotifier.EXE
      HKCR\AMNotifier.HUBAWindow...
      et aussi un cookie qui revient tjrs...

      Tu m'auras vraiment aidé, trop dur d'apprendre seul,
      Merci, si tu vois quelques chose à faire...
      Mathieu
      0
  12. Utilisateur anonyme
     
    Salut

    tu peux pas me fournir le rapport complet?

    a+
    0
    1. mathieu
       
      Rebonjour,
      pour le rapport, je ne vais pas pouvoir, spy doctor est payant et je ne peux pas récupérer le rapport en copie/colle...

      Comment faire?
      Je regarde ce que je peux faire et je te tiens o courant...
      Merci,
      Mathieu
      0
  13. Utilisateur anonyme
     
    re

    essai ceci
    ctlr+a = tout selectionner
    ctlr+c = copier
    ctlr+v = coller

    a+
    0
    1. mathieu
       
      j'ai peu etre trouvé une solution, j ai des fichiers log dans le dossier spy doctor, mais ils sont en extensions .sdl, je ne peux pas les ouvrir et il me semble que se sont les rapports des scans effectués.
      Comment ouvrir ses dossiers, stp?

      Dis moi ce que tu en penses,
      Merci
      Mathieu
      0
  14. mathieu
     
    Merci a vous tous Régis et Marie,
    je scan avec ewido, je vous fais passer le rapport dès que je l'ai, pour spy doctor, est ce qu'il y a un moyen pour vous laisser une capture écran (Imprecran), je peux rien selectionner dans le rapport...

    Merci,
    Bizzzzz a vous deux
    Mathieu
    0
  15. Utilisateur anonyme
     
    Re,
    Oui c est possible, passons par ewido d abord

    a+
    0
  16. mathieu
     
    Salut,
    Je continue le scan de ewido, mais j'ai enfin trouvé le moyen de copier/coller le rapport de spy doc, le voici :

    Scan Results:
    scan start: 05/01/2006 11:44:43
    scan stop: 05/01/2006 12:07:49
    scanned items: 98719
    found items: 74
    found and ignored: 0
    tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner

    Infection Name Location Risk
    Carpe Diem HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\EC77857721E7DFB88A5881AA4BB23151D82DE208 High
    Carpe Diem HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\EC77857721E7DFB88A5881AA4BB23151D82DE208## High
    Carpe Diem HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\EC77857721E7DFB88A5881AA4BB23151D82DE208##Blob High
    Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta High
    Trojan.Popuper HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta## High
    Weird On The Web HKCR\AMNotifier.HUBAWindow Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow## Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow\CLSID Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow\CLSID## Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow\CurVer Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow\CurVer## Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow.1 Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow.1## Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow.1\CLSID Medium
    Weird On The Web HKCR\AMNotifier.HUBAWindow.1\CLSID## Medium
    Weird On The Web HKCR\AppID\{7911272A-A32A-404E-8A51-EE18B99B18C4} Medium
    Weird On The Web HKCR\AppID\{7911272A-A32A-404E-8A51-EE18B99B18C4}## Medium
    Weird On The Web HKCR\AppID\AMNotifier.EXE Medium
    Weird On The Web HKCR\AppID\AMNotifier.EXE## Medium
    Weird On The Web HKCR\AppID\AMNotifier.EXE##AppID Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC} Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}## Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\ProxyStubClsid Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\ProxyStubClsid## Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\ProxyStubClsid32 Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\ProxyStubClsid32## Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\TypeLib Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\TypeLib## Medium
    Weird On The Web HKCR\Interface\{CF1E4638-637F-499D-8309-FD71B9750ABC}\TypeLib##Version Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE} Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}## Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0 Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0## Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0\0 Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0\0## Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0\FLAGS Medium
    Weird On The Web HKCR\TypeLib\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}\1.0\FLAGS## Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments## Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##PROV Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##Product Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##ProductFamily Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##TRAFFIC_TYPE Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##InstallTime Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##GUID Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments##METADATA Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG## Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##url Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##domain Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##tracker Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##updates Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##val1 Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##val2 Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##val3 Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##val4 Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##activity Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##last Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\CONFIG##freeze Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\UPDATE Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\UPDATE## Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\UPDATE##Module Medium
    Weird On The Web HKLM\SOFTWARE\AltPayments\UPDATE##Config Medium
    Weird On The Web HKCR\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A} Medium
    Weird On The Web HKCR\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\ProgID Medium
    Weird On The Web HKCR\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\Programmable Medium
    Weird On The Web HKCR\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\TypeLib Medium
    Weird On The Web HKCR\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\VersionIndependentProgID Medium
    Weird On The Web HKLM\Software\Classes\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A} Medium
    Weird On The Web HKLM\Software\Classes\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\ProgID Medium
    Weird On The Web HKLM\Software\Classes\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\Programmable Medium
    Weird On The Web HKLM\Software\Classes\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\TypeLib Medium
    Weird On The Web HKLM\Software\Classes\CLSID\{7BF58804-E672-4B96-8EEC-BFCCE6492C9A}\VersionIndependentProgID Medium
    PurityScan C:\WINDOWS\system32\wnscpcc.exe High

    C cool, je pensais pas y arriver...
    A+ et merci
    Mathieu
    0
  17. mathieu
     
    Et voici le rapport ewido...

    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 12:40:24, 05/01/2006
    + Somme de contrôle: 2E9F33EC

    + Résultats du scan:

    C:\Documents and Settings\Invité\Cookies\invité@2o7[2].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@ehg-francetel.hitbox[1].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@hitbox[2].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@overture[1].txt -> Spyware.Cookie.Overture : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\Invité\Cookies\invité@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    C:\Documents and Settings\Pascal\Cookies\pascal@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
    C:\Program Files\AVPersonal\INFECTED\pteu.VIR -> Downloader.PurityScan.ax : Nettoyer et sauvegarder

    ::Fin du rapport

    Voili voilou...
    Merci boucoup... lol
    Mathieu
    0
  18. Utilisateur anonyme
     
    salut

    dis moi, spybot est clean?

    a+
    0
  19. mathieu
     
    ReSalut,
    j'ai scanné avec Spybot, il est clean, il ne detecte rien...

    A+
    Mathieu
    0
  • 1
  • 2