Votre question

affichage psguard et Smitfraud.c

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Juillet 2005 17:30:20

Bonjour, j'ai le même problème que Marco55.
Affichage Psgard.
Ensuite, j'ai déjà passé Adaware, Spybot, A2, Antivir ... et je ne suis toujours pas débarassée de ce troyen html.Smitfraud.c. :-(

J'ai scanné mon ordi (en win98) avec Hijackthis.
Voilà le rapport: Pouvez vous me mettre sur la piste de résolution de ces problèmes.
Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 20:04:29, on 25/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVMAILCM.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVESVCM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\TEXTBRIDGE PRO 9.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TRUST\WIRELESS KEYBOARD + MOUSE 300KD\KEYBOARD\IKEYMAIN.EXE
C:\PROGRAM FILES\TRUST\WIRELESS KEYBOARD + MOUSE 300KD\MOUSE\AMOUMAIN.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\PNY ATTACHé\SHWICON.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FR\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\INTELL32.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVGCTRL.EXE
C:\PROGRAM FILES\FREEMEM PROFESSIONAL\FMEMPRO.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\ASHAMPOO\ASHAMPOO WINOPTIMIZER PLATINUM SUITE\POPUPKILLER.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE
C:\PROGRAM FILES\HAS\HAS.EXE
C:\PROGRAM FILES\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\1036\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMES_TELECHARGES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~3\POPUP.DLL
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAM FILES\GO!ZILLA\GOIEHLP.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ESSOLO] ESSOLO.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\TRUST\WIRELE~1\KEYBOARD\IKEYMAIN.EXE
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\TRUST\WIRELE~1\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AlfaMini] C:\WINDOWS\TEMP\ALFAMINI_V1.2.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Install_BlueDSL] H:\Install.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ShowIcon_PNY_PNY Attaché] "C:\Program Files\PNY Attaché\shwicon.exe" -t"PNY\PNY Attaché"
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONALPREMIUM\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AVMAILCSERVICE] "C:\PROGRA~1\AVPERS~2\AVMAILCM.EXE" /MIN
O4 - HKLM\..\RunServices: [AVEService] "C:\PROGRA~1\AVPERS~2\AVESVCM.EXE" /min
O4 - HKCU\..\Run: [FreeMem Pro] "C:\PROGRAM FILES\FREEMEM PROFESSIONAL\FMEMPRO.EXE" autostart
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRAM FILES\ASHAMPOO\ASHAMPOO WINOPTIMIZER PLATINUM SUITE\PopUpKiller.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HAS.exe] "C:\PROGRAM FILES\HAS\HAS.EXE" -m
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2_status_monitor\STMS.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAM FILES\GO!ZILLA\download-with-gozilla.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsdam.dll' missing
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www2.ac-nancy-metz.fr/qp2.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/s...
O16 - DPF: {72770C4F-967D-4517-982B-92D6B9015649} (DigWebHelper Class) - http://photos.msn.com/resources/neutral/controls/DigWeb...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

Autres pages sur : affichage psguard smitfraud

26 Juillet 2005 17:42:58

Bonjour,

voici la procédure a suivre:

procédure:
1/démarrer, puis cliquer sur rechercher (jusque là pas difficile...)=> tu recherche "wp", et tu supprime tout ce qu'il te trouve.

2/démarrer, cliquer sur "exécuter", dans la boite de dialogue qui s'ouvre, taper "regedt32". Il t'ouvre le registre. dans le registre, cliquer sur "edition" (à coté de "fichier"), puis cliquer sur "rechercher". dans le boite qui s'ouvre, taper "wp.exe", il te trouve une valeur => supprime-la, pour rechercher la valeur suivante, tu cliques sur F3, il te retrouve une valeur, supprime-la, et ainsi de suite...jusqu'a ce qu"ils te disent "recherche dans le registre terminée"
ensuite tu fais la même recherche, mais avec le fichier "wp.bmp".

3/ dans le registre, tu peux voir une collone de gauche avec des clés (avec l'icone d'un dossier)=>clique sur la clé "poste de travail" tout en haut, pour la sélectionner (elle se met en bleu). ferme maintenant le registre, puis r'ouvre le (demarrer, exécuter, taper "regedt32"). Tu peux vois que le registre est rangé.
maintenant pour se rendre à la clé indiquée,(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System), tu clique sur le "+" à côté de "HKEY_CURRENT_USER", ça t'ouvre ce qu'il y a dedans, ensuite clique sur le "+" à coté de "software", et même chose avec le reste des clés (entre parenthèses). Uns fois arrivé à "system", il n'y a plus de "+". clique donc une fois sur "system" pour la sélectionner, et à droite tu vois des valeurs marquées.
clique droit sur la valeur "WallpaperStyle", puis modifier, et tu entre "00000000" (8 zéro), et vérifie bien, dans cette boite de dialoque, que c'est "hexadécimale" qui est sélectionné. puis tu clique sur "ok".
tu fais la même chose avec la valeur "NoDispBackgroundPage" (clik droit, modifier => entre "00000000", sélectionne "hexadécimale", puis ok.
maintenant tu peux fermer le registre et tu retrouvera tous tes onglet dans les propriétés de bureau, en cliquant droit sur le bureau, puis "propriétés".
voilà !
26 Juillet 2005 18:54:28

Rebonjour.
Juste une question avant que je me lance dans toute la procédure.
J'ai déjà trouvé cette démarche décrite, sur ce forum sans doute.
En faisant rechercher "wp", il y a toute une série de fichiers contenant "wp", sont ils tous mauvais? Et il n'y a pas wp.exe, en tous cas pas avec Rechercher ...

Merci
Netnolo
26 Juillet 2005 19:02:46

Pour wp tu dois supprimer celui ou il y a écrit "wp" tout seul et rien d'autre (sans les guillemets)
Pour wp.exe puis ce que tu dois supprimer la valeur ca veut dire que c'est déja supprimé, donc, tu passe directement a la prochaine étape!
Tiens nous au courant!
26 Juillet 2005 20:32:18

Bonsoir, et merci pour vos réponses.
j'ai trouvé wp.bmp, que j'ai donc supprimé.
Me reste quelques questions.
1) Dans la recherche "wp", il y avait aussi un fichier wppp.html, a-t-il un rapport avec "wp"?
2) J'ai également remarqué 4 fichiers datant du même jour que wp.bmp: cutepdfw.wpx, wpxindex.lst, wpxerror.log, $10A15F0.wpx. Un rapport avec mes problèmes?

3) Chez moi c'était regedit et pas regedit32, je suppose que c'est OK (regedt32 est introuvable)
4) J'ai tapé dans le registre wp.exe pour trouver les valeurs, j'en ai supprimé une, mais ensuite avec F3, rien ne s'est passé.
5) J'ai vu smitfraud dans les valeurs ... mais ne l'ai pas supprimé, je suppose qu'il faut le faire?
6) En refaisant la recherche wp.exe, je suis tombée sur une clé avec ce nom (dans la colonne de gauche). Faut-il simplement supprimer la clé?
7) Dans votre N°3, j'ai bien vu NodispBackgroundPage et j'ai entré les 8 zéros. Par contre, pas de WallpaperStyle ... normal?
8) la fenêtre de psgard est toujours sur mon bureau.
Faut-il rebooter d'abord?

Merci d'avance.
26 Juillet 2005 20:42:47

reposte un log hijackthis pour voir les changement
26 Juillet 2005 21:30:31

bonsoir, voilà la photo!
Logfile of HijackThis v1.99.1
Scan saved at 21:23:56, on 26/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVMAILCM.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVESVCM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\TEXTBRIDGE PRO 9.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TRUST\WIRELESS KEYBOARD + MOUSE 300KD\KEYBOARD\IKEYMAIN.EXE
C:\PROGRAM FILES\TRUST\WIRELESS KEYBOARD + MOUSE 300KD\MOUSE\AMOUMAIN.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\PNY ATTACHé\SHWICON.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FR\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\INTELL32.EXE
C:\PROGRAM FILES\AVPERSONALPREMIUM\AVGCTRL.EXE
C:\PROGRAM FILES\FREEMEM PROFESSIONAL\FMEMPRO.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\ASHAMPOO\ASHAMPOO WINOPTIMIZER PLATINUM SUITE\POPUPKILLER.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\HAS\HAS.EXE
C:\PROGRAM FILES\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\1036\MSOFFICE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMES_TELECHARGES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~3\POPUP.DLL
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAM FILES\GO!ZILLA\GOIEHLP.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ESSOLO] ESSOLO.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\TRUST\WIRELE~1\KEYBOARD\IKEYMAIN.EXE
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\TRUST\WIRELE~1\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AlfaMini] C:\WINDOWS\TEMP\ALFAMINI_V1.2.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Install_BlueDSL] H:\Install.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ShowIcon_PNY_PNY Attaché] "C:\Program Files\PNY Attaché\shwicon.exe" -t"PNY\PNY Attaché"
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONALPREMIUM\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AVMAILCSERVICE] "C:\PROGRA~1\AVPERS~2\AVMAILCM.EXE" /MIN
O4 - HKLM\..\RunServices: [AVEService] "C:\PROGRA~1\AVPERS~2\AVESVCM.EXE" /min
O4 - HKCU\..\Run: [FreeMem Pro] "C:\PROGRAM FILES\FREEMEM PROFESSIONAL\FMEMPRO.EXE" autostart
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRAM FILES\ASHAMPOO\ASHAMPOO WINOPTIMIZER PLATINUM SUITE\PopUpKiller.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HAS.exe] "C:\PROGRAM FILES\HAS\HAS.EXE" -m
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2_status_monitor\STMS.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAM FILES\GO!ZILLA\download-with-gozilla.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES0521.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsdam.dll' missing
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www2.ac-nancy-metz.fr/qp2.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/s...
O16 - DPF: {72770C4F-967D-4517-982B-92D6B9015649} (DigWebHelper Class) - http://photos.msn.com/resources/neutral/controls/DigWeb...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

A bientôt
netnolo
26 Juillet 2005 21:41:08

Bonsoir

1-télécharge:
Ccleaner
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

SmitRem.zip
http://www.spywareedge.net/tools/smitRem.zip
Dézippes le sur le Bureau

Ad-Aware SE Personnal
http://www.lavasoftusa.com/default.shtml.fr
Installe le dans un répertoire dédié.
Fais les mises à jour

Ewido Free
http://www.ewido.net/fr/download/
Installe le dans un répertoire dédié.
Fais les mises à jour

Hoster - Toadbee
http://www.funkytoad.com/download/hoster.zip
Dézippes le sur le Bureau

2-Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3-Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~3\POPUP.DLL
O4 - HKCU\..\Run: [HAS.exe] "C:\PROGRAM FILES\HAS\HAS.EXE" -m
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe


4 Supprime les fichiers/dossiers incriminés (s'ils existent encoreet si tu les trouvent) :

c:\info6_s.cab
C:\Program Files\PSGuard
C:\WINDOWS\system32\spoolsrv32.exe
C:\WINDOWS\system32\P2P Networking
C:\WINDOWS\System32\deabdml.dll
C:\WINDOWS\System32\pkz.dll
C:\WINDOWS\System32\strmdlld.dll
C:\WINDOWS\System32\?hkntfs.exe


5 Ouvre Smitrem
Double clique sur RunThis.bat
Lance le nettoyage. Ecran et icones vont apparaitre et réapparaitre.
Cela peut durer un certain temps.

6 Lance AdAware
Supprimes tout ce qu'il trouve.

7 Lance Ewido
Fais un scan en mode complet
Sauvegarde le rapport.

8 Lance Hoster - Toadbee
Clique sur " Restore original Hosts "

9 Clique sur Démarrer
puis panneau de configuration, affichage, bureau, personnalisation du bureau, onglet web
Décoches Security Info s'il est présent

10 Lance et exécute CCleaner.

11 Redémarre normalement

12 Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activescan/fr/activescan_p...
Sauvegardes le rapport

13 Postes un nouveau rapport HijackThis
Avec le rapport de Panda et d'Ewido

27 Juillet 2005 00:22:46

Bonsoir

Hardware, que tu copie mes techniques, si cela peux servir, passe encore. :-x
Mais que tu le fasse en dépit du bon sens. :p an:
* Ewido ne marche pas sur Windows 98
* Hoster - Toadbee n'est pas utile ici, pas de lignes 01
* Tu as fais un copier/coller d'une de les intervention, mais tu n'as même pas changé les fichiers à supprimer.
* Tu fixes des lignes légitimes.1 Télécharge
CCleaner.[/b]
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

SmitRem.zip
http://www.spywareedge.net/tools/smitRem.zip
Dézippes le sur le Bureau

Ad-Aware SE Personnal
http://www.lavasoftusa.com/default.shtml.fr
Installe le dans un répertoire dédié.
Fais les mises à jour

LSPfix
http://www.cexx.org/lspfix.htm
Installes le sur le Bureau

2 Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais").
Sélectionne toutes les instances des dll suivantes

avsdam.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
Clique sur le bouton "Finish".

3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

4 Relance un scan HijackThis et coche les lignes ci-dessous :

F1 - win.ini: run=hpfsched
O4 - HKLM\..\Run: [Install_BlueDSL] H:\Install.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\intell32.exe
C:\Program Files\PSGuard

6 Ouvre Smitrem
Double clique sur RunThis.bat
Lance le nettoyage. Ecran et icones vont apparaitre et réapparaitre.
Cela peut durer un certain temps.

7 Lance AdAware
Supprimes tout ce qu'il trouve.

8 Clique sur Démarrer
puis panneau de configuration, affichage, bureau, personnalisation du bureau, onglet web
Décoches Security Info s'il est présent

9 Lance et exécute CCleaner.

10 Redémarre normalement

11 Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activescan/fr/activescan_p...
Sauvegardes le rapport

12 Postes un nouveau rapport HijackThis
Avec le rapport de Panda.
29 Juillet 2005 16:58:37

Bonjour, merci à tous les deux.

Là, je réponds à Hardware.

En fait, j'ai essayé de suivre les directives de Hardware et j'ai eu plusieurs problèmes.
En effet Ewido ne marche pas sur Win98
Les fichiers que tu m'as demandé de supprimer au point 4 ne se trouvaient pas dans system32, mais 2 d'entre eux se trouvaient dans system

au point 5. Pb: Violation de partage lecture sur lecteur C:


Pas pu faire le point 9

ton point 12. L'antivirus s'est bloqué et je n'ai pas pu faire de rapport.

Maintenant en relançant la machine, je n'arrive plus à accéder à Internet avec cet ordi (là je poste depuis mon portable).

Le message est le suivant: WININET.DLL n'a pas été trouvé.
C'est quoi ce fichier???

Ai-je une autre solution que de formater mon disque maintenant???

Merci d'avance.

netnolo
29 Juillet 2005 18:46:31

Bonjour,

1) Télécharge WININET.DLL ici tu l'enregistre le sur le burreau

2) Redémarre en mode sans échec, fait attention tu n'as pas accès à internet. Note bien se qu'il faut faire ou fait un copier coller.

Pour redémarrer en mode sans échec :
Démarre l'ordinateur, une fois le chargement du bios terminé, tapote sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de ton curseur (les flèches de ton clavier), selectionne le mode sans échec et appuye sur entrée. Ne pas selectionner le mode sans échec avec prise en charge réseau.

3) Fait un clique droit sur WININET.DLL que tu as télécharger et clic sur couper, ensuite tu vas ici :

Poste de travail --> Disque Local (C:)  --> WINDOWS --> double clic sur System32 -->

4) Tu fai clic droit dans le dossier Systèm32 puis coller.

5) Tu redémarre normalement,

- Tu fais un scan en ligne avec panda ici

- Tu fais un scan avec hiajckthis

6) Tu poste le rapport de hijackthis et de panda.


29 Juillet 2005 20:26:36

Merci Leitho,

J'ai téléchargé wininet.dll, d'après ton lien.
Je l'ai installé dans C:\windows\system32
Ca n'a pas marché. D'ailleurs dans system32, il n'y a que des drivers.
Donc je l'ai mis dans C:\windows\system
Au boot, toujours le même message qu'il ne trouve pas ce fichier.
La casse a-t-elle une importance? Car le fichier téléchargé est en minuscule alors que les autres DLL sont en majuscules. Il y a également là dedans en minuscule, un fichier wininit.ini, datant du 27/07, donc depuis que j'essaie de résoudre ce pb.

Au fait en faisant l'extraction du fichier zip, j'ai eu un message:"Warning garbage at the end of the zip file".

Autre question, le fait que j'aie téléchargé ce fichier à partir de mon ordi sous XP peut-il avoir une incidence sur le contenu de wininet.dll???

Donc, je suis toujours coincée ... et ne puis aller caresser le gentil Panda ;-)))

netnolo
29 Juillet 2005 23:59:09

J'ai déja fai télécharger se fichier a quelqu'un, et :

Il a suffi de l'enregistrer sur le bureau, de redémarrer en mode sans échec, de faire un double clic dessu, lors de l'ouverture de winrar ou winzip, couper le fichier, le coller dans le Système 32.

Et le problème était régler.

Si tu n'as pas effectué la manip comme sa, recommence. (en mode sans échec)

Sinon, attend l'aide de quelqu'un d'autre car je ne peu plus rien face a ton pb.
5 Septembre 2005 21:05:42

Pour retirer le virus si il est fréquent et qu'on a pas grand chose a perdre c bcp plus simple:

on va dans démaré puis ds accessoir, ensuite outils du systeme, puis restauration du systeme, puis restauration a une heure entèrieur et si on restaure assez loin le probleme est résolu :-)
5 Septembre 2005 21:58:51

Merci Hacker ...
J'ai essayé presque tout ce qu'on ma dit plus haut.
De plus c'était sur un poste avec Windows98, donc pas de point de restauration, à ma connaissance, comme sur XP.
J'ai fini par acheter un rack USB pour disques durs et je trie et sauvegarde les données via mon portable, et je vais reformater et réinstaller ensuite Windows ... et le reste ... quelques heures de boulot, mais ça sera propre.

Merci tout de même pour ta suggestion.
Netnolo
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS