Sujet Précédent Sujet Suivant

Rapport HIJACKTHIS

Sandrion -  
trombine40 Messages postés 836 Statut Membre -
Bonjour,
J'ai un probleme de virus
voici mon rapport avec hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:33, on 20/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\YACOU\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\Ecran.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Avg_AntiHost] "C:\WINDOWS\system32\THe Girls\Ecran.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA65AB52-5EBD-47A9-A96C-AEC60555193B}: NameServer = 206.82.130.195
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

17 réponses

Réponse 1 / 17
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

quelqu'un bidonne !

Sandrion poste en anonyme à 16 h 48 33

Il poste en inscrit à 17 H 04 19

Incognito poste en anonyme à 17 h 04 28 soit 9 sec après.

Si on regarde le contenu, à 19, il dit qu'il va faire. A 28 qu'il a fait. A peine le temps d'écrire le second message.

____________________

OK, quelqu'un a volontairement pourri le topic :

les rapports Hijackthis du post initial et du post 6 sont datés de la même heure :

Scan saved at 14:39:33, on 20/07/2008

Le second, posté par incognito, ajoute la ligne

O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"

La proposition d'utiliser Skype est postérieure au post 6 (c'est à dire à l'apparition de la ligne)

___________________________

Ceci ne change hélas rien au fait que trombine40 démontre, une fois de plus, que les diplômes informatiques ne servent pas à grand chose en matière de désinfection.
2
trombine40 Messages postés 836 Statut Membre 144
 
je veu bien admettre être mauvais pour desinfecter un pc mais que l'on m'accuse pas de choses que je n'ai pas faites. je n'ai jamais eu ce gars ou quiconque sur skype et quel aurait été l'intéret pour moi de faire un tel truc, je ne sai même pas ecrire en visual basic.
et puis .vir c'est con comme extension, ca ne s'exécute pas.

enfin comme l'a dit lyonnais92 il y a eu erreur sur la personne, je suis tombé sur "incognito" qui s'est apparemment bien moqué de moi. il sait très bien ce qu'il fait et a mis des lignes un peu trop pertinente pour avoir besoin de moi.
alors oui je veu bien qu'on previenne les modaux, parce que je veux pas passer pour ce que je ne suis pas et je n'aime pas qu'on se foute de moi comme ca.
0
miaouuuuuuuuu73 > trombine40 Messages postés 836 Statut Membre
 
coucou !!
et oui je suis la c moi !! je voudrai dire aux deux "je ne dirai pas quoi" que ce cher trombine est trop sympa de vouloir essayer de depanner des gens qu'il ne connait pas et que je ne vois pas l'interet de vouloir le foutre dans la merde meme si il a froissé l'ego de quelqu'un!!! continu comme ca trombine40!!!
courage
et n'oublie pas :"la bave du crapaud n'ateint pas la blanche colombe" ;-)
0
Réponse 2 / 17
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

trombine, mon analyse te blanchit totalement sur une intervention de ta part via Skype.

On peut même aller plus loin, celui qui a ouvert le topic et celui qui poste le rapport Hijackthis de Vista ne sont pas au même endroit.

Il y a 2 heures de décalage vers l'Est sur le post initial et, nécessairement, au moins une heure vers l'Ouest pour l'autre. Il suffit de comparer les heures d'exécution du programme et l"heure d'envoi du post.

Celui qui a fait ça est, en plus d'un pourri, un imbécile même pas capable de truander proprement.
2
trombine40 Messages postés 836 Statut Membre 144
 
merci beaucoup lyonnais92, j'avais pas fait gaffe à ces détails.
le probleme est que je soupçonne 2 personnes en fait d'avoir essayé de me truander
et j'ai ma petite idée même si je ne suis pas certain ; et je sais pas si j'ai le droit de balancer des noms de pseudos comme ca ...

par contre tes histoires d'horaires je ne comprend rien du tout.
je trouve sa bizarre que le pc sous xp soit en avance d'une journée et le pc sous vista en avance de plusieurs minutes...
0
Incognito > trombine40 Messages postés 836 Statut Membre
 
bonsoir

Afin de rassurrer Trombine,

Bien sur c est un canular

le but de cette opération étant de faire comprendre a cette personne que aider les gens dans le forum virus/securité nécessitent des connaissances

Je suis désolé de la tournure que ça a prit la n étais pas le but

le but est atteind car trombine a admis qu il n a pas encore toutes les connaissances

néanmoins je pense qu il va apprendre car c est son métier

donc trombine excuse moi pour cette sotise

bonne soirée a tous
0
trombine40 Messages postés 836 Statut Membre 144 > Incognito
 
espece d'en***

ca t'amuse Chiquitine29 ?? mais tu devais pas être tout seul je suppose, ou alors très bien organisé...

parce que toi tu te crois meilleur peut-être ? si t si bon t'as qu'à te faire payer
c'est pas parce que tu as une methode que celles des autres sont forcément mauvaises
si je te fai rire ben fou toi de moi mai fais le en silence
j'en ai dépanné d'autres de la sorte et sa sera pa le dernier que j'aide.
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Incognito
 
salut,

La modération appréciera.

Je préfère ne pas savoir qui tu es.

mais on a autre chose à faire qu'à monter des coups.
0
Réponse 3 / 17
Utilisateur anonyme
 
Donc pour t informer :

O17 - HKLM\System\CCS\Services\Tcpip\..\{63561919-890E-4056-AF5B-4­­­664EC7A0535}: NameServer = 85.255.115.28,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFEA1FB9-7D8F-44D3-96B9-7­­­5CE629EE413}: NameServer = 85.255.115.28,85.255.112.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.28 85.255.112.200

ça te remene en ukraine, infection wareout soigné par malewarebyte par la suppression de trojan dns changer

c:\users\alain\appdata\local\fumkdk.exe fumkdk

c est du navipromo (genere des pubs) navilog le supprime

O4 - HKCU\..\Run: [WinSpywareProtect] "C:\ProgramData\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe" /autorun

c est un rogue : malewarebyte le supprime

O4 - HKCU\..\Run: [dmqpp.tmp] C:\Windows\system32\dmqpp.tmp
O4 - HKCU\..\Run: [dmaok.tmp] C:\Windows\system32\dmaok.tmp
O4 - HKCU\..\Run: [dmydd.tmp] C:\Windows\system32\dmydd.tmp
O4 - HKCU\..\Run: [dmhnn.tmp] C:\Windows\system32\dmhnn.tmp
O4 - HKCU\..\Run: [dmdkj.tmp] C:\Windows\system32\dmdkj.tmp
O4 - HKCU\..\Run: [dmmmh.tmp] C:\Windows\system32\dmmmh.tmp
O4 - HKCU\..\Run: [dmpob.tmp] C:\Windows\system32\dmpob.tmp
O4 - HKCU\..\Run: [dmdpv.tmp] C:\Windows\system32\dmdpv.tmp
O4 - HKCU\..\Run: [dmrwa.tmp] C:\Windows\system32\dmrwa.tmp
O4 - HKCU\..\Run: [dmdzj.tmp] C:\Windows\system32\dmdzj.tmp
O4 - HKCU\..\Run: [dmgej.tmp] C:\Windows\system32\dmgej.tmp
O4 - HKCU\..\Run: [dmwjj.tmp] C:\Windows\system32\dmwjj.tmp
O4 - HKCU\..\Run: [dmrio.tmp] C:\Windows\system32\dmrio.tmp
O4 - HKCU\..\Run: [dmghj.tmp] C:\Windows\system32\dmghj.tmp
O4 - HKCU\..\Run: [dmmkn.tmp] C:\Windows\system32\dmmkn.tmp
O4 - HKCU\..\Run: [dmwdc.tmp] C:\Windows\system32\dmwdc.tmp
O4 - HKCU\..\Run: [dmksc.tmp] C:\Windows\system32\dmksc.tmp
O4 - HKCU\..\Run: [dmczp.tmp] C:\Windows\system32\dmczp.tmp
O4 - HKCU\..\Run: [dmcup.tmp] C:\Windows\system32\dmcup.tmp
O4 - HKCU\..\Run: [dmhyz.tmp] C:\Windows\system32\dmhyz.tmp
O4 - HKCU\..\Run: [dmwuc.tmp] C:\Windows\system32\dmwuc.tmp
O4 - HKCU\..\Run: [dmssf.tmp] C:\Windows\system32\dmssf.tmp
O4 - HKCU\..\Run: [dmipp.tmp] C:\Windows\system32\dmipp.tmp
O4 - HKCU\..\Run: [dmycw.tmp] C:\Windows\system32\dmycw.tmp
O4 - HKCU\..\Run: [dmsxi.tmp] C:\Windows\system32\dmsxi.tmp
O4 - HKCU\..\Run: [dmqod.tmp] C:\Windows\system32\dmqod.tmp
O4 - HKCU\..\Run: [dmedo.tmp] C:\Windows\system32\dmedo.tmp
O4 - HKCU\..\Run: [dmpzd.tmp] C:\Windows\system32\dmpzd.tmp
O4 - HKCU\..\Run: [dmmuc.tmp] C:\Windows\system32\dmmuc.tmp
O4 - HKCU\..\Run: [dmmor.tmp] C:\Windows\system32\dmmor.tmp
O4 - HKCU\..\Run: [dmcag.tmp] C:\Windows\system32\dmcag.tmp
O4 - HKCU\..\Run: [dmnbw.tmp] C:\Windows\system32\dmnbw.tmp
O4 - HKCU\..\Run: [dmqtf.tmp] C:\Windows\system32\dmqtf.tmp
O4 - HKCU\..\Run: [dmfnt.tmp] C:\Windows\system32\dmfnt.tmp
O4 - HKCU\..\Run: [dmdan.tmp] C:\Windows\system32\dmdan.tmp
O4 - HKCU\..\Run: [dmzhp.tmp] C:\Windows\system32\dmzhp.tmp
O4 - HKCU\..\Run: [dmcat.tmp] C:\Windows\system32\dmcat.tmp
O4 - HKCU\..\Run: [dmtbu.tmp] C:\Windows\system32\dmtbu.tmp
O4 - HKCU\..\Run: [dmbxl.tmp] C:\Windows\system32\dmbxl.tmp
O4 - HKCU\..\Run: [dmajk.tmp] C:\Windows\system32\dmajk.tmp
O4 - HKCU\..\Run: [dmqvx.tmp] C:\Windows\system32\dmqvx.tmp
O4 - HKCU\..\Run: [dmwnc.tmp] C:\Windows\system32\dmwnc.tmp
O4 - HKCU\..\Run: [dmlwq.tmp] C:\Windows\system32\dmlwq.tmp
O4 - HKCU\..\Run: [dmrab.tmp] C:\Windows\system32\dmrab.tmp
O4 - HKCU\..\Run: [dmbyl.tmp] C:\Windows\system32\dmbyl.tmp
O4 - HKCU\..\Run: [dmwnl.tmp] C:\Windows\system32\dmwnl.tmp
O4 - HKCU\..\Run: [dmpix.tmp] C:\Windows\system32\dmpix.tmp
O4 - HKCU\..\Run: [dmezt.tmp] C:\Windows\system32\dmezt.tmp
O4 - HKCU\..\Run: [dmgjw.tmp] C:\Windows\system32\dmgjw.tmp
O4 - HKCU\..\Run: [dmgia.tmp] C:\Windows\system32\dmgia.tmp
O4 - HKCU\..\Run: [dmcfb.tmp] C:\Windows\system32\dmcfb.tmp
O4 - HKCU\..\Run: [dmqay.tmp] C:\Windows\system32\dmqay.tmp
O4 - HKCU\..\Run: [dmxnv.tmp] C:\Windows\system32\dmxnv.tmp
O4 - HKCU\..\Run: [dmesa.tmp] C:\Windows\system32\dmesa.tmp
O4 - HKCU\..\Run: [dmkbf.tmp] C:\Windows\system32\dmkbf.tmp
O4 - HKCU\..\Run: [dmiii.tmp] C:\Windows\system32\dmiii.tmp
O4 - HKCU\..\Run: [dmsmu.tmp] C:\Windows\system32\dmsmu.tmp
O4 - HKCU\..\Run: [dmzlu.tmp] C:\Windows\system32\dmzlu.tmp
O4 - HKCU\..\Run: [dmxix.tmp] C:\Windows\system32\dmxix.tmp
O4 - HKCU\..\Run: [dmhpd.tmp] C:\Windows\system32\dmhpd.tmp
O4 - HKCU\..\Run: [dmcdq.tmp] C:\Windows\system32\dmcdq.tmp
O4 - HKCU\..\Run: [dmieb.tmp] C:\Windows\system32\dmieb.tmp
O4 - HKCU\..\Run: [dmqna.tmp] C:\Windows\system32\dmqna.tmp
O4 - HKCU\..\Run: [dmuoi.tmp] C:\Windows\system32\dmuoi.tmp
O4 - HKCU\..\Run: [dmiiy.tmp] C:\Windows\system32\dmiiy.tmp
O4 - HKCU\..\Run: [dmpnh.tmp] C:\Windows\system32\dmpnh.tmp
O4 - HKCU\..\Run: [dmtbp.tmp] C:\Windows\system32\dmtbp.tmp
O4 - HKCU\..\Run: [dmlmj.tmp] C:\Windows\system32\dmlmj.tmp
O4 - HKCU\..\Run: [dmfqu.tmp] C:\Windows\system32\dmfqu.tmp
O4 - HKCU\..\Run: [dmivp.tmp] C:\Windows\system32\dmivp.tmp
O4 - HKCU\..\Run: [dmpmx.tmp] C:\Windows\system32\dmpmx.tmp
O4 - HKCU\..\Run: [dmrjk.tmp] C:\Windows\system32\dmrjk.tmp
O4 - HKCU\..\Run: [dmkbh.tmp] C:\Windows\system32\dmkbh.tmp
O4 - HKCU\..\Run: [dmsuc.tmp] C:\Windows\system32\dmsuc.tmp
O4 - HKCU\..\Run: [dmbsj.tmp] C:\Windows\system32\dmbsj.tmp
O4 - HKCU\..\Run: [dmwta.tmp] C:\Windows\system32\dmwta.tmp
O4 - HKCU\..\Run: [dmjkl.tmp] C:\Windows\system32\dmjkl.tmp
O4 - HKCU\..\Run: [dmrrr.tmp] C:\Windows\system32\dmrrr.tmp
O4 - HKCU\..\Run: [dmfea.tmp] C:\Windows\system32\dmfea.tmp
O4 - HKCU\..\Run: [dmeow.tmp] C:\Windows\system32\dmeow.tmp
O4 - HKCU\..\Run: [dmzch.tmp] C:\Windows\system32\dmzch.tmp
O4 - HKCU\..\Run: [dmyyk.tmp] C:\Windows\system32\dmyyk.tmp
O4 - HKCU\..\Run: [dmktc.tmp] C:\Windows\system32\dmktc.tmp
O4 - HKCU\..\Run: [dmpts.tmp] C:\Windows\system32\dmpts.tmp
O4 - HKCU\..\Run: [dmfvt.tmp] C:\Windows\system32\dmfvt.tmp
O4 - HKCU\..\Run: [dmacf.tmp] C:\Windows\system32\dmacf.tmp
O4 - HKCU\..\Run: [dmsnw.tmp] C:\Windows\system32\dmsnw.tmp
O4 - HKCU\..\Run: [dmjni.tmp] C:\Windows\system32\dmjni.tmp
O4 - HKCU\..\Run: [dmigx.tmp] C:\Windows\system32\dmigx.tmp

combofix en fait qu une bouché a son premier passage

1
Réponse 4 / 17
trombine40 Messages postés 836 Statut Membre 144
 
démarre en mode sans echec
fixe cette ligne avec hijackthis
O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"

ensuite va supprimer le fichier C:\WINDOWS\system32\Win32.vbs
et fais une recherche au cas où il soit planqué ailleurs (recherche dans les dossiers systèmes)
ensuite redémarre sa devrais être bon :)
0
Sandrion Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
 
ok j'essaie tout de suite et je te tiens au courant...
0
Incognito
 
j ai fait ce que tu m as dit mais j ai encore des soucis , je comprend pas ........
0
trombine40 Messages postés 836 Statut Membre 144 > Incognito
 
si tu refais un hijackthis as tu toujours la même ligne, ou une ligne avec un fichier.vbs dedans ?
0
Incognito > trombine40 Messages postés 836 Statut Membre
 
oui help me
0
Incognito > Incognito
 
regarde :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:33, on 20/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\YACOU\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\Ecran.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [FIXEDFON.FON] "C:\WINDOWS\system32\Win32.vbs"
O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Avg_AntiHost] "C:\WINDOWS\system32\THe Girls\Ecran.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA65AB52-5EBD-47A9-A96C-A­EC60555193B}: NameServer = 206.82.130.195
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
Utilisateur anonyme
 
les croix rouge les croix jaune et les points d interrogation voila et tu fixes

VIVE LE ROBOT HIJACKTHIS

0
Réponse 6 / 17
Utilisateur anonyme
 
et j oubliai , y a rien qui te choque ???

O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"
0
trombine40 Messages postés 836 Statut Membre 144
 
je ne sais pas quelle manipulation il a fait, je n'y suis pour rien je n'ai aps touché à son pc ni envoyé le moindre script
je lui avai dis de cocher la ligne dans hijackthis et il m'a pondu ca, je sais oas d'où sa sort lol
enfin toi si tu sai comment ca a pu apparaitre je suis curieu de connaitre ton point de vue parce que c'est assez strange ^^
0
Réponse 7 / 17
Utilisateur anonyme
 
si c est comme ça que tu soignes ton parc de pc .........
0
Réponse 8 / 17
Utilisateur anonyme
 
ps : rassures toi je me suis occupé de "Incognito"
0
trombine40 Messages postés 836 Statut Membre 144
 
1) de quoi je me mele
2) kes ke tu veu dire ?
3) cette ligne ce n'est pas moi qui l'y ai mise je ne sai pas d'où elle vient

PS . tu compte me coller aux basques longtemps encore comme ca ?
0
Réponse 9 / 17
Utilisateur anonyme
 
pourquoi tu fixe ça :

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

???
0
trombine40 Messages postés 836 Statut Membre 144
 
ben parce que
1) c'est suspect
2) si c'était de windows sa ne serait présent qu"une seule fois
et vu le reste ça ne peut-être que suspect
0
Réponse 10 / 17
Utilisateur anonyme
 
donc si ça a une drole de tete tu fixes :

copie colle ceci : wpclsp.dll

dans search sur ce lien : http://www.castlecops.com/LSPs.html

ça c est quoi : c:\users\alain\appdata\local\fumkdk.exe fumkdk
0
Réponse 11 / 17
Utilisateur anonyme
 
O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir"

il faut formater ......
0
Réponse 12 / 17
vur
 
C'est pour ça que il faut ce faire désinfecter sur "infos du net" par les helpers qui sont cités en "post it"

...

Sur ce Trombine40 BIEN joué ! mais t'amuse pas longtemps à désinfecter les pc pour mieux les contaminer par tes saloperies...

ça pourrai te retomber dessus...
0
trombine40 Messages postés 836 Statut Membre 144
 
non mais arretez un peu les gars j'ai rien contaminé du tout bon sang lisez toute la discussion je ne lui ai jamais rien envoyé !!!
cette ligne trombine40 je ne sais pas d'où elle vien

arretez un peu vos betises

Incognito vient leur dire que je t rien envoyé stp ils ont pas lair de vouloir me croire
0
Réponse 13 / 17
vur
 
Moi je veux bien te croire mais tu as quand meme dis ça

" je vois que tu as skype peut-être pourrais-on en discuter en direct si t d'accord , pseudo très compliqué : trombine40 hihi "

Donc tu pourrai très bien l'avoir fais par skype...

Le plus étrange c'est que cette ligne

( O4 - HKLM\..\Run: [Trombine40] "C:\Program Files\Trombine40\Trombine40.vbs.vir" )

CONTIENT TON PSEUDO FORUM ET DE SKYPE

ET EN PLUS cette ligne viens juste après que tu es donné ton adresse skype

C'est drole quand meme...

Alors moi je dis pas nette tout ça je vais donc alerter un modo...
0
Réponse 14 / 17
vur
 
Voila un modo est prévenue !

Tu sais trombine40 j'espère que tu n'a rien fais mais sinon j'espère que les SANCTIONS SERONT LOURDE !

Mais comme j'ai dis j'espère que tu n'a rien fais

Mais je pense que c'est plus sage que un modo regarde !
0
Réponse 15 / 17
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

laisse la modération éclaircir la chose. Ne jette pas de noms en pâture.

Je n'avais pas remarqué la date du post initial, seulement l'heure. Je penche pour un mauvais réglage. Je ne crois pas qu'il soit possible qu'il soit, quelque part dans le monde, 14:39:33 le 20/07/2008 alors qu'il est (environ) le samedi 19 juillet 2008 à 16:48:33 à Paris.

un autre détail signe le bidonnage.

Post 20 : Scan saved at 14:39:33,Virus Alert on 20/07/2008

Non seulement l'ajoncrion de Virus Alert est suspect, mais, en plus, ne respecte pas les règles de ponctuation. On aurait du avoir :

Scan saved at 14:39:33, Virus Alert on 20/07/2008
0
Réponse 16 / 17
Yoan Messages postés 11905 Statut Modérateur 2 332
 
Sandrion n'a plus posté depuis le post numéro 2 (sous n'importe quel pseudo que ce soit).
Chiquitine29 est caché derrière incognito. Il y a bien eu manipulation, mais pas dans le sens que l'on aurait pu croire.

J'espère que ce genre de gaminerie aura vite fait de sortir des esprits. Si vous avez quelque chose à reprocher à quelqu'un faites-le honnêtement et en toute franchise. Ce genre d'hypocrisie n'est pas digne d'une communauté qui a pour vocation l'entraide. Là on est plutôt dans la course à la réputation.
0
trombine40 Messages postés 836 Statut Membre 144
 
un seul mot : MERCI
0
Réponse 17 / 17
vur
 
Je suis dsl trombine40 d'avoir douté de toi mais bon... c'était suspect quand meme

Mais en tout cas je pense que j'ai bien fait de prévenir un modo... pour que tout soit plus clair
0
trombine40 Messages postés 836 Statut Membre 144
 
je t'en veux pas, merci d'avoir prévenu un modérateur. mais bon t'aurais pu voir quand même que c'était suspect AVANT que je file mon adresse skype. enfin c'est pas grave.

bonne continuation ;)
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Problém affichage du tableau croisé dynamique
BK -
Raymond PENTIER -

2 réponses
Theme de rapport de stage option comptabilité
sana saydou -
Raymond PENTIER -

2 réponses