Rapport HIJACKTHIS

Sandrion -  
trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
J'ai un probleme de virus
voici mon rapport avec hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:33, on 20/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\YACOU\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\Ecran.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Avg_AntiHost] "C:\WINDOWS\system32\THe Girls\Ecran.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA65AB52-5EBD-47A9-A96C-AEC60555193B}: NameServer = 206.82.130.195
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7421 bytes
Configuration: Windows XP
Internet Explorer 6.0

17 réponses

Résumé de la discussion

Un rapport HijackThis signale une possible infection virale et met en évidence des éléments suspects dans les entrées de démarrage et les paramètres réseau du système. Des entrées suspectes apparaissent notamment dans les lignes O4 Run et des valeurs NameServer modifiées indiquent une éventuelle compromission DNS, ce qui peut rediriger le trafic et masquer des programmes malveillants. Pour remettre les choses en ordre, plusieurs intervenants recommandent d’effectuer une désinfection complète par des outils reconnus comme Malwarebytes, corriger les entrées O4 et O17, et remplacer les DNS non autorisés. En parallèle, des anomalies d’horodatage et des échanges d’usages anonymes alimentent la prudence quant à l’intégrité des rapports et à la nécessité de vérifier les postes et les zones compromises.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    quelqu'un bidonne !

    Sandrion poste en anonyme à 16 h 48 33

    Il poste en inscrit à 17 H 04 19

    Incognito poste en anonyme à 17 h 04 28 soit 9 sec après.

    Si on regarde le contenu, à 19, il dit qu'il va faire. A 28 qu'il a fait. A peine le temps d'écrire le second message.

    ____________________

    OK, quelqu'un a volontairement pourri le topic :

    les rapports Hijackthis du post initial et du post 6 sont datés de la même heure :

    Scan saved at 14:39:33, on 20/07/2008

    Le second, posté par incognito, ajoute la ligne

    O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"

    La proposition d'utiliser Skype est postérieure au post 6 (c'est à dire à l'apparition de la ligne)

    ___________________________

    Ceci ne change hélas rien au fait que trombine40 démontre, une fois de plus, que les diplômes informatiques ne servent pas à grand chose en matière de désinfection.
    2
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      je veu bien admettre être mauvais pour desinfecter un pc mais que l'on m'accuse pas de choses que je n'ai pas faites. je n'ai jamais eu ce gars ou quiconque sur skype et quel aurait été l'intéret pour moi de faire un tel truc, je ne sai même pas ecrire en visual basic.
      et puis .vir c'est con comme extension, ca ne s'exécute pas.

      enfin comme l'a dit lyonnais92 il y a eu erreur sur la personne, je suis tombé sur "incognito" qui s'est apparemment bien moqué de moi. il sait très bien ce qu'il fait et a mis des lignes un peu trop pertinente pour avoir besoin de moi.
      alors oui je veu bien qu'on previenne les modaux, parce que je veux pas passer pour ce que je ne suis pas et je n'aime pas qu'on se foute de moi comme ca.
      0
      1. miaouuuuuuuuu73 > trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention  
         
        coucou !!
        et oui je suis la c moi !! je voudrai dire aux deux "je ne dirai pas quoi" que ce cher trombine est trop sympa de vouloir essayer de depanner des gens qu'il ne connait pas et que je ne vois pas l'interet de vouloir le foutre dans la merde meme si il a froissé l'ego de quelqu'un!!! continu comme ca trombine40!!!
        courage
        et n'oublie pas :"la bave du crapaud n'ateint pas la blanche colombe" ;-)
        0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    trombine, mon analyse te blanchit totalement sur une intervention de ta part via Skype.

    On peut même aller plus loin, celui qui a ouvert le topic et celui qui poste le rapport Hijackthis de Vista ne sont pas au même endroit.

    Il y a 2 heures de décalage vers l'Est sur le post initial et, nécessairement, au moins une heure vers l'Ouest pour l'autre. Il suffit de comparer les heures d'exécution du programme et l"heure d'envoi du post.

    Celui qui a fait ça est, en plus d'un pourri, un imbécile même pas capable de truander proprement.
    2
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      merci beaucoup lyonnais92, j'avais pas fait gaffe à ces détails.
      le probleme est que je soupçonne 2 personnes en fait d'avoir essayé de me truander
      et j'ai ma petite idée même si je ne suis pas certain ; et je sais pas si j'ai le droit de balancer des noms de pseudos comme ca ...

      par contre tes histoires d'horaires je ne comprend rien du tout.
      je trouve sa bizarre que le pc sous xp soit en avance d'une journée et le pc sous vista en avance de plusieurs minutes...
      0
      1. Incognito > trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention  
         
        bonsoir

        Afin de rassurrer Trombine,

        Bien sur c est un canular

        le but de cette opération étant de faire comprendre a cette personne que aider les gens dans le forum virus/securité nécessitent des connaissances

        Je suis désolé de la tournure que ça a prit la n étais pas le but

        le but est atteind car trombine a admis qu il n a pas encore toutes les connaissances

        néanmoins je pense qu il va apprendre car c est son métier

        donc trombine excuse moi pour cette sotise

        bonne soirée a tous
        0
      2. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148 > Incognito
         
        espece d'en***

        ca t'amuse Chiquitine29 ?? mais tu devais pas être tout seul je suppose, ou alors très bien organisé...

        parce que toi tu te crois meilleur peut-être ? si t si bon t'as qu'à te faire payer
        c'est pas parce que tu as une methode que celles des autres sont forcément mauvaises
        si je te fai rire ben fou toi de moi mai fais le en silence
        j'en ai dépanné d'autres de la sorte et sa sera pa le dernier que j'aide.
        0
      3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Incognito
         
        salut,

        La modération appréciera.

        Je préfère ne pas savoir qui tu es.

        mais on a autre chose à faire qu'à monter des coups.
        0
  3. Utilisateur anonyme
     
    Donc pour t informer :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{63561919-890E-4056-AF5B-4­­­664EC7A0535}: NameServer = 85.255.115.28,85.255.112.200
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EFEA1FB9-7D8F-44D3-96B9-7­­­5CE629EE413}: NameServer = 85.255.115.28,85.255.112.200
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200

    ça te remene en ukraine, infection wareout soigné par malewarebyte par la suppression de trojan dns changer

    c:\users\alain\appdata\local\fumkdk.exe fumkdk

    c est du navipromo (genere des pubs) navilog le supprime

    O4 - HKCU\..\Run: [WinSpywareProtect] "C:\ProgramData\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe" /autorun

    c est un rogue : malewarebyte le supprime

    O4 - HKCU\..\Run: [dmqpp.tmp] C:\Windows\system32\dmqpp.tmp
    O4 - HKCU\..\Run: [dmaok.tmp] C:\Windows\system32\dmaok.tmp
    O4 - HKCU\..\Run: [dmydd.tmp] C:\Windows\system32\dmydd.tmp
    O4 - HKCU\..\Run: [dmhnn.tmp] C:\Windows\system32\dmhnn.tmp
    O4 - HKCU\..\Run: [dmdkj.tmp] C:\Windows\system32\dmdkj.tmp
    O4 - HKCU\..\Run: [dmmmh.tmp] C:\Windows\system32\dmmmh.tmp
    O4 - HKCU\..\Run: [dmpob.tmp] C:\Windows\system32\dmpob.tmp
    O4 - HKCU\..\Run: [dmdpv.tmp] C:\Windows\system32\dmdpv.tmp
    O4 - HKCU\..\Run: [dmrwa.tmp] C:\Windows\system32\dmrwa.tmp
    O4 - HKCU\..\Run: [dmdzj.tmp] C:\Windows\system32\dmdzj.tmp
    O4 - HKCU\..\Run: [dmgej.tmp] C:\Windows\system32\dmgej.tmp
    O4 - HKCU\..\Run: [dmwjj.tmp] C:\Windows\system32\dmwjj.tmp
    O4 - HKCU\..\Run: [dmrio.tmp] C:\Windows\system32\dmrio.tmp
    O4 - HKCU\..\Run: [dmghj.tmp] C:\Windows\system32\dmghj.tmp
    O4 - HKCU\..\Run: [dmmkn.tmp] C:\Windows\system32\dmmkn.tmp
    O4 - HKCU\..\Run: [dmwdc.tmp] C:\Windows\system32\dmwdc.tmp
    O4 - HKCU\..\Run: [dmksc.tmp] C:\Windows\system32\dmksc.tmp
    O4 - HKCU\..\Run: [dmczp.tmp] C:\Windows\system32\dmczp.tmp
    O4 - HKCU\..\Run: [dmcup.tmp] C:\Windows\system32\dmcup.tmp
    O4 - HKCU\..\Run: [dmhyz.tmp] C:\Windows\system32\dmhyz.tmp
    O4 - HKCU\..\Run: [dmwuc.tmp] C:\Windows\system32\dmwuc.tmp
    O4 - HKCU\..\Run: [dmssf.tmp] C:\Windows\system32\dmssf.tmp
    O4 - HKCU\..\Run: [dmipp.tmp] C:\Windows\system32\dmipp.tmp
    O4 - HKCU\..\Run: [dmycw.tmp] C:\Windows\system32\dmycw.tmp
    O4 - HKCU\..\Run: [dmsxi.tmp] C:\Windows\system32\dmsxi.tmp
    O4 - HKCU\..\Run: [dmqod.tmp] C:\Windows\system32\dmqod.tmp
    O4 - HKCU\..\Run: [dmedo.tmp] C:\Windows\system32\dmedo.tmp
    O4 - HKCU\..\Run: [dmpzd.tmp] C:\Windows\system32\dmpzd.tmp
    O4 - HKCU\..\Run: [dmmuc.tmp] C:\Windows\system32\dmmuc.tmp
    O4 - HKCU\..\Run: [dmmor.tmp] C:\Windows\system32\dmmor.tmp
    O4 - HKCU\..\Run: [dmcag.tmp] C:\Windows\system32\dmcag.tmp
    O4 - HKCU\..\Run: [dmnbw.tmp] C:\Windows\system32\dmnbw.tmp
    O4 - HKCU\..\Run: [dmqtf.tmp] C:\Windows\system32\dmqtf.tmp
    O4 - HKCU\..\Run: [dmfnt.tmp] C:\Windows\system32\dmfnt.tmp
    O4 - HKCU\..\Run: [dmdan.tmp] C:\Windows\system32\dmdan.tmp
    O4 - HKCU\..\Run: [dmzhp.tmp] C:\Windows\system32\dmzhp.tmp
    O4 - HKCU\..\Run: [dmcat.tmp] C:\Windows\system32\dmcat.tmp
    O4 - HKCU\..\Run: [dmtbu.tmp] C:\Windows\system32\dmtbu.tmp
    O4 - HKCU\..\Run: [dmbxl.tmp] C:\Windows\system32\dmbxl.tmp
    O4 - HKCU\..\Run: [dmajk.tmp] C:\Windows\system32\dmajk.tmp
    O4 - HKCU\..\Run: [dmqvx.tmp] C:\Windows\system32\dmqvx.tmp
    O4 - HKCU\..\Run: [dmwnc.tmp] C:\Windows\system32\dmwnc.tmp
    O4 - HKCU\..\Run: [dmlwq.tmp] C:\Windows\system32\dmlwq.tmp
    O4 - HKCU\..\Run: [dmrab.tmp] C:\Windows\system32\dmrab.tmp
    O4 - HKCU\..\Run: [dmbyl.tmp] C:\Windows\system32\dmbyl.tmp
    O4 - HKCU\..\Run: [dmwnl.tmp] C:\Windows\system32\dmwnl.tmp
    O4 - HKCU\..\Run: [dmpix.tmp] C:\Windows\system32\dmpix.tmp
    O4 - HKCU\..\Run: [dmezt.tmp] C:\Windows\system32\dmezt.tmp
    O4 - HKCU\..\Run: [dmgjw.tmp] C:\Windows\system32\dmgjw.tmp
    O4 - HKCU\..\Run: [dmgia.tmp] C:\Windows\system32\dmgia.tmp
    O4 - HKCU\..\Run: [dmcfb.tmp] C:\Windows\system32\dmcfb.tmp
    O4 - HKCU\..\Run: [dmqay.tmp] C:\Windows\system32\dmqay.tmp
    O4 - HKCU\..\Run: [dmxnv.tmp] C:\Windows\system32\dmxnv.tmp
    O4 - HKCU\..\Run: [dmesa.tmp] C:\Windows\system32\dmesa.tmp
    O4 - HKCU\..\Run: [dmkbf.tmp] C:\Windows\system32\dmkbf.tmp
    O4 - HKCU\..\Run: [dmiii.tmp] C:\Windows\system32\dmiii.tmp
    O4 - HKCU\..\Run: [dmsmu.tmp] C:\Windows\system32\dmsmu.tmp
    O4 - HKCU\..\Run: [dmzlu.tmp] C:\Windows\system32\dmzlu.tmp
    O4 - HKCU\..\Run: [dmxix.tmp] C:\Windows\system32\dmxix.tmp
    O4 - HKCU\..\Run: [dmhpd.tmp] C:\Windows\system32\dmhpd.tmp
    O4 - HKCU\..\Run: [dmcdq.tmp] C:\Windows\system32\dmcdq.tmp
    O4 - HKCU\..\Run: [dmieb.tmp] C:\Windows\system32\dmieb.tmp
    O4 - HKCU\..\Run: [dmqna.tmp] C:\Windows\system32\dmqna.tmp
    O4 - HKCU\..\Run: [dmuoi.tmp] C:\Windows\system32\dmuoi.tmp
    O4 - HKCU\..\Run: [dmiiy.tmp] C:\Windows\system32\dmiiy.tmp
    O4 - HKCU\..\Run: [dmpnh.tmp] C:\Windows\system32\dmpnh.tmp
    O4 - HKCU\..\Run: [dmtbp.tmp] C:\Windows\system32\dmtbp.tmp
    O4 - HKCU\..\Run: [dmlmj.tmp] C:\Windows\system32\dmlmj.tmp
    O4 - HKCU\..\Run: [dmfqu.tmp] C:\Windows\system32\dmfqu.tmp
    O4 - HKCU\..\Run: [dmivp.tmp] C:\Windows\system32\dmivp.tmp
    O4 - HKCU\..\Run: [dmpmx.tmp] C:\Windows\system32\dmpmx.tmp
    O4 - HKCU\..\Run: [dmrjk.tmp] C:\Windows\system32\dmrjk.tmp
    O4 - HKCU\..\Run: [dmkbh.tmp] C:\Windows\system32\dmkbh.tmp
    O4 - HKCU\..\Run: [dmsuc.tmp] C:\Windows\system32\dmsuc.tmp
    O4 - HKCU\..\Run: [dmbsj.tmp] C:\Windows\system32\dmbsj.tmp
    O4 - HKCU\..\Run: [dmwta.tmp] C:\Windows\system32\dmwta.tmp
    O4 - HKCU\..\Run: [dmjkl.tmp] C:\Windows\system32\dmjkl.tmp
    O4 - HKCU\..\Run: [dmrrr.tmp] C:\Windows\system32\dmrrr.tmp
    O4 - HKCU\..\Run: [dmfea.tmp] C:\Windows\system32\dmfea.tmp
    O4 - HKCU\..\Run: [dmeow.tmp] C:\Windows\system32\dmeow.tmp
    O4 - HKCU\..\Run: [dmzch.tmp] C:\Windows\system32\dmzch.tmp
    O4 - HKCU\..\Run: [dmyyk.tmp] C:\Windows\system32\dmyyk.tmp
    O4 - HKCU\..\Run: [dmktc.tmp] C:\Windows\system32\dmktc.tmp
    O4 - HKCU\..\Run: [dmpts.tmp] C:\Windows\system32\dmpts.tmp
    O4 - HKCU\..\Run: [dmfvt.tmp] C:\Windows\system32\dmfvt.tmp
    O4 - HKCU\..\Run: [dmacf.tmp] C:\Windows\system32\dmacf.tmp
    O4 - HKCU\..\Run: [dmsnw.tmp] C:\Windows\system32\dmsnw.tmp
    O4 - HKCU\..\Run: [dmjni.tmp] C:\Windows\system32\dmjni.tmp
    O4 - HKCU\..\Run: [dmigx.tmp] C:\Windows\system32\dmigx.tmp

    combofix en fait qu une bouché a son premier passage

    1
  4. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
     
    démarre en mode sans echec
    fixe cette ligne avec hijackthis
    O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"

    ensuite va supprimer le fichier C:\WINDOWS\system32\Win32.vbs
    et fais une recherche au cas où il soit planqué ailleurs (recherche dans les dossiers systèmes)
    ensuite redémarre sa devrais être bon :)
    0
    1. Sandrion Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      ok j'essaie tout de suite et je te tiens au courant...
      0
    2. Incognito
       
      j ai fait ce que tu m as dit mais j ai encore des soucis , je comprend pas ........
      0
    3. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148 > Incognito
       
      si tu refais un hijackthis as tu toujours la même ligne, ou une ligne avec un fichier.vbs dedans ?
      0
    4. Incognito > trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention  
       
      oui help me
      0
    5. Incognito > Incognito
       
      regarde :


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:39:33, on 20/07/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\ATK0100\HControl.exe
      C:\Program Files\Wireless Console 2\wcourier.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\System32\WScript.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
      C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Documents and Settings\YACOU\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
      C:\WINDOWS\ATK0100\ATKOSD.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      C:\Program Files\Skype\Plugin Manager\skypePM.exe
      C:\WINDOWS\system32\Ecran.exe
      C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
      O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
      O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"
      O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Avg_AntiHost] "C:\WINDOWS\system32\THe Girls\Ecran.exe"
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Dos Optimizer.pif = ?
      O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
      O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CA65AB52-5EBD-47A9-A96C-A­EC60555193B}: NameServer = 206.82.130.195
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    les croix rouge les croix jaune et les points d interrogation voila et tu fixes

    VIVE LE ROBOT HIJACKTHIS

    0
  7. Utilisateur anonyme
     
    et j oubliai , y a rien qui te choque ???

    O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      je ne sais pas quelle manipulation il a fait, je n'y suis pour rien je n'ai aps touché à son pc ni envoyé le moindre script
      je lui avai dis de cocher la ligne dans hijackthis et il m'a pondu ca, je sais oas d'où sa sort lol
      enfin toi si tu sai comment ca a pu apparaitre je suis curieu de connaitre ton point de vue parce que c'est assez strange ^^
      0
  8. Utilisateur anonyme
     
    si c est comme ça que tu soignes ton parc de pc .........
    0
  9. Utilisateur anonyme
     
    ps : rassures toi je me suis occupé de "Incognito"
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      1) de quoi je me mele
      2) kes ke tu veu dire ?
      3) cette ligne ce n'est pas moi qui l'y ai mise je ne sai pas d'où elle vient

      PS . tu compte me coller aux basques longtemps encore comme ca ?
      0
  10. Utilisateur anonyme
     
    pourquoi tu fixe ça :

    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

    ???
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      ben parce que
      1) c'est suspect
      2) si c'était de windows sa ne serait présent qu"une seule fois
      et vu le reste ça ne peut-être que suspect
      0
  11. Utilisateur anonyme
     
    donc si ça a une drole de tete tu fixes :

    copie colle ceci : wpclsp.dll

    dans search sur ce lien : http://www.castlecops.com/LSPs.html

    ça c est quoi : c:\users\alain\appdata\local\fumkdk.exe fumkdk
    0
  12. Utilisateur anonyme
     
    O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"

    il faut formater ......
    0
  13. vur
     
    C'est pour ça que il faut ce faire désinfecter sur "infos du net" par les helpers qui sont cités en "post it"

    ...

    Sur ce Trombine40 BIEN joué ! mais t'amuse pas longtemps à désinfecter les pc pour mieux les contaminer par tes saloperies...

    ça pourrai te retomber dessus...
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      non mais arretez un peu les gars j'ai rien contaminé du tout bon sang lisez toute la discussion je ne lui ai jamais rien envoyé !!!
      cette ligne trombine40 je ne sais pas d'où elle vien

      arretez un peu vos betises

      Incognito vient leur dire que je t rien envoyé stp ils ont pas lair de vouloir me croire
      0
  14. vur
     
    Moi je veux bien te croire mais tu as quand meme dis ça

    " je vois que tu as skype peut-être pourrais-on en discuter en direct si t d'accord , pseudo très compliqué : trombine40 hihi "

    Donc tu pourrai très bien l'avoir fais par skype...

    Le plus étrange c'est que cette ligne

    ( O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir" )

    CONTIENT TON PSEUDO FORUM ET DE SKYPE

    ET EN PLUS cette ligne viens juste après que tu es donné ton adresse skype

    C'est drole quand meme...

    Alors moi je dis pas nette tout ça je vais donc alerter un modo...
    0
  15. vur
     
    Voila un modo est prévenue !

    Tu sais trombine40 j'espère que tu n'a rien fais mais sinon j'espère que les SANCTIONS SERONT LOURDE !

    Mais comme j'ai dis j'espère que tu n'a rien fais

    Mais je pense que c'est plus sage que un modo regarde !
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    laisse la modération éclaircir la chose. Ne jette pas de noms en pâture.

    Je n'avais pas remarqué la date du post initial, seulement l'heure. Je penche pour un mauvais réglage. Je ne crois pas qu'il soit possible qu'il soit, quelque part dans le monde, 14:39:33 le 20/07/2008 alors qu'il est (environ) le samedi 19 juillet 2008 à 16:48:33 à Paris.

    un autre détail signe le bidonnage.

    Post 20 : Scan saved at 14:39:33,Virus Alert on 20/07/2008

    Non seulement l'ajoncrion de Virus Alert est suspect, mais, en plus, ne respecte pas les règles de ponctuation. On aurait du avoir :

    Scan saved at 14:39:33, Virus Alert on 20/07/2008
    0
  17. Yoan Messages postés 11905 Statut Modérateur 2 356
     
    Sandrion n'a plus posté depuis le post numéro 2 (sous n'importe quel pseudo que ce soit).
    Chiquitine29 est caché derrière incognito. Il y a bien eu manipulation, mais pas dans le sens que l'on aurait pu croire.

    J'espère que ce genre de gaminerie aura vite fait de sortir des esprits. Si vous avez quelque chose à reprocher à quelqu'un faites-le honnêtement et en toute franchise. Ce genre d'hypocrisie n'est pas digne d'une communauté qui a pour vocation l'entraide. Là on est plutôt dans la course à la réputation.
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      un seul mot : MERCI
      0
  18. vur
     
    Je suis dsl trombine40 d'avoir douté de toi mais bon... c'était suspect quand meme

    Mais en tout cas je pense que j'ai bien fait de prévenir un modo... pour que tout soit plus clair
    0
    1. trombine40 Messages postés 843 Date d'inscription   Statut Membre Dernière intervention   148
       
      je t'en veux pas, merci d'avoir prévenu un modérateur. mais bon t'aurais pu voir quand même que c'était suspect AVANT que je file mon adresse skype. enfin c'est pas grave.

      bonne continuation ;)
      0