La quatrième dimension

[jal]

Salut Malekal_morte .

Que de bizarreies depuis 3 jours c'est incroyable!
Je croyais à une blague ,mais il semble que non ?

As-tu déjà vu ceci ?


hijackthis
Logfile of HijackThis vl.99.1 Scan saved at 18:41:26, on 07/01/2008 Platform: Windows XP SP2 (winNT 5.01.2600) MSIE: internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\wiNDOWS\System32\smss.exe
C:\WlNDOWS\system32\wi niogon.exe
C:\wiNDOWS\system32\servi ces.exe
C:\WlNDOWS\system32\lsass.exe
C:\wiNDOWS\system32\Ati 2evxx.exe
C:\WlNDOWS\system32\svchost.exe
C:\wiNDOWS\System32\sychost.exe
C:\Program Fi les\Fi chiens communs\Symantec Shared\ccProxy.exe
C:\Program Fi les\Fi chiens communs\Symantec Shared\ccSetMgr.exe
C:\wiNDOWS\system32\Ati 2evxx.exe
c:\wiNDOWS\Explorer.EXE
C:\Program Fi les\Fi chiens communs\symantec Shaned\ccEvtMgn.exe
C:\Pnognam Files\Alwil softwane\Avast4\aswUpdSv.exe
C:\Pnognam Files\Alwil softwane\Avast4\ashsenv.exe
C:\WlNDOWS\system32\spoolsv.exe
C:\PROGRA~l\FICHIE~l\AOL\ACS\AOLacsd.6X6
c:\APPS\Powenci nema\Kennel\TV\CLCapSvc.exe
C:\Pnognam Fi 1es\CybenLi nk\shaned Fi 1es\CLML_NTSenvi ce\CLMLSenven.exe
C:\Pnognam Fi 1es\CybenLi nk\shaned Fi 1es\CLML_NTSenvi ce\CLMLSenvi ce.exe
C:\Pnognam Files\ESET\ESET NOD32 Antivinus\eknn.exe
C:\APPS\HIDSERVICE\HIDSERVICE.6X6
C:\Pnognam Files\Nonton intennet secunity\Nonton Antivinus\navapsvc.exe
c:\wiNDOWS\system32\HPZi pm!2.exe
C:\WlNDOWS\system32\sychost.exe
C:\Pnognam Files\Fichiens communs\ulead Systems\DVD\ULCDRSvn.exe
c:\APPS\Powenci nema\Kennel\7V\CLSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATi contnol Panel\atiptaxx.exe
c:\Pnognam Files\ZTE Conponation\zxDSL852\cnxDslTb.exe
C:\PROGRA~l\ALWlLS~l\Avast4\ashDi sp.exe
C:\Pnognam Files\Sony Enicsson\Mobile2\Application Launchen\Application
Launchen.exe
C:\Pnognam Files\Fichiens communs\Real\Update_OB\nealsched.exe
C:\Pnognam Fi 1es\Jaya\j nel.6.0_02\bi n\j usched.exe
C:\Pnognam Files\QuickTime\qttask.exe
C:\Pnognam Files\Adobe\Photoshop Album Edition Decouvente\3.0\Apps\apdpnoxy.exe
C:\WINDOWS\system32\neqboot.exe
C:\wiNDOWS\system32\ctfmon.exe
c:\Pnognam Files\Fichiens communs\Teleca shaned\CapabilityManagen.exe
C:\Pnognam Fi 1es\Google\GoogleToolbanNoti fi en\GoogleToolbanNotifi en.exe
C:\Pnognam Files\windows Live\Messengen\msnmsgn.exe
c:\Pnognam Files\Alwi1 softwane\Avast4\ashMaiSv.exe
C:\Pnognam Files\Spybot - seanch & Destnoy\TeaTimen.exe
c:\Pnognam Files\Alwil softwane\Avast4\ashwebsv.exe
C:\WlNDOWS\system32\wuauclt.exe
c:\Pnognam Files\Fichiens communsYfeleca shaned\Genenic.exe
C:\Pnognam Files\Sony Enicsson\Mobile2\Mobile Phone Moniton\epmwonken.exe
D:\DOCUME~l\guinos\LOCALS~l\Temp\Repentoine temponaine 1 poun
hi j ackthi s.zi p\Hi jackThis.exe
RO - HKCU\Softwane\Micnosoft\intennet Explonen\wain,stant Page =
http://www.wanadoo.fn
Ri - HKLM\S9ftwane\Micnosoft\intennet Explonen\Main,Default_Page_URL =
http://go.mi cnosoft.com/fwli nk/?Li nkld=69157
Ri - HKLM\Softwane\Micnosoft\lntennet Exp1onen\Main,Default_seanch_URL =
http : //go. mi cnosof t. com/fwl i nk/?l_i nkld=54896
Ri - HKLMXsçftwaneXMi cnosoft:\lntennet Explonen\Main, Seanch page =
http : //go. mi cnosof t. com/fwl i nk/?l_i nkld=54896
RO - HKLM\Softwane\Micnosoft:\intennet Explonen\Main,Stant Page =
http : //go. mi cnosof t. com/fwl i nk/?l_i nkld=69157
RO - HKCU\Softwane\Micnosoft\lntemet Explonen\Toolban,LinksFoldenName = Liens
R3 - URLSeanchHook: (no name) - {9CB65206-89c4-402c-BA80-02D8c59F9BlD} -

hiiackthis
C:\Program Fi 1es\AskTBar\SrchAstt\l.bin\A5SRCHAS.DLL F3 - REG.-win.ini: load=C:\WlNDOWS\system32\pmnno.exe
02 - BHO: Yahoo! Tool bar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -C:\Program Fi 1es\Yahoo!\Companion\lnstal1s\cpnO\yt.dl1 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BEOB3}
- C:\Program Files\Adobe\Acrobat 7.0\Activex\AcroiEHelper.dll
02 - BHO: (no name) - {2B3CBDC2-8AB6-45B1-B59E-7BODEE595917} -
C:\wiNDOWS\system32\qommnlk.dll
02 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~l\SPYBOT~l\SDHelper.dll
02 - BHO: SSVHelper Class - {761497BB-D6FO-462C-B6EB-D4DAF1D92D43} - C:\Program
Fi 1es\Java\j rel.6.0_02\bi n\ssv.dl1
02 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
02 - BHO: Ask Search Assistant BHO - {9CB65201-89c4-402c-BA80-02D8C59F9BlD} -
C:\Program Fi 1es\AskTBar\SrchAstt\l.bin\A5SRCHAS.DLL
O2 - BHÇ: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDFl699El} - C:\Program
Files\Fichiers communs\symantec shared\AdBlocking\NisshExt.dll
02 - BHO: Google Toolbar Helper - {AA58ED58-OlDD-4d91-8333-CFl0577473F7} -
c:\program fi Tes\google\googietoolbar2.dl1
02 -- BHO: Goçqle Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-Œ66B5AD205D} -
C:\Program Fi 1es\Google\GoogleToolbarNoti fi er\2.0.301.7164\swg.dl1
02 - BHO: CNavExtBho Class : {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton Internet Security\Norton Antivirus\NavShExt.dll
02 - BHO: (no name) - {ee3b5e65-eOb6-4b!3-baa5-a8b93190a445} -
-4ECO-403e-8DD8-394C54984B2C} - C:\Program
C:\wiNDOWS\system32\spmgtj i j.dll
2 - BHO: Ask Toolbar BHO - {FE063DBl-<
Fi 1es\AskTBar\bar\l.bi n\ASKTBAR.DLL
3 - Toolbar: Norton Internet Security - {OB53EAC3-8D69-4b9e-9Bl9-A37C9A5676A7}
- C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NlSShExt.dll
O3 • Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DFOOB1D6} -
C:\Program Files\Norton internet Security\Norton Antivirus\NavshExt.dll
03 - Toolbar: Ask Toolbar - {FE063DB9-4ECO-403e-8DD8-394C54984B2C} - C:\Program Fi 1es\AskTBar\bar\l.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2Bl-4965-lld4-9Bl8-009027A5CD4F} - c:\program fi 1es\google\gooqletoolbar2.dl1
3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\Program Fi 1es\Yahoo!\Companion\lnstal1s\cpnO\yt.dl1
4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATl Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [GnxDslTaskBar] "c:\Program Files\ZTE
Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
04 - HKLM\..\Run: [avast!] C:\PROGRA~l\ALWlLS~l\Avast4\ashDisp.exe
04 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony
Ericsson\Mobile2\Application Launcher\Appïication Launcher.exe" /startoptions
04 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\update_OB\realsched.exe"" -osboot
04 - HKLM\..\Run: [SunJayaUpdateSched] "C:\Program
Fi 1es\Java\j rel.6.0_02\bi n\jusched.exe"
04 - HKLM\. .\Riin: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
04 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop
Album Edition Decouverte\3.0\Apps\apdproxy.exe"
04 - HKLM\..\Run: O4 - HKLM\..\Run: O4 - HKCU\..\Rirn: 04 - HKCU\..\Run:
Registry Boot] regboot.exe
>8977flf] rundll32.exe "C:\WlNDOWS\system32\jciiwbaa.dll",b
'ctfmon.exe] C:\wiNDOWs\system32\ctfmon.exe
^updateMgr] C:\Program Files\Adobe\Acrobat
7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Pr9gram
Fi 1es\Google\GoogleToolbarNoti fi er\Googl eToolbarNoti fi er.exe
04 - HKCU\..\Rirn: [ccleaner] "c:\Program Files\ccleaner\ccleaner.exe" /AUTO
04 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows
Live\Messenger\msnmsgr.exe" /background
04 -- HKCU\..\Run: [SpybotSD TeaTimer] c:\Program Files\Spybot - search &
Dest roy\TeaTi mer.exe
04 - Global Startup: Lancement rapide d1Adobe Reader.Ink = C:\Program
Fi 1es\Adobe\Acrobat 7.0\Reader\reader_sl.exe
09 - Extra button: (no name) {08BOE5CO-4FCB-11CF-AAA5-00401C608501} -
C:\Program Fi 1es\Java\jrel.6.0_02\bin\ssv.dll
Page 2

hijackthis
09 - Extra 'Tools' menuitem: Console Java (Sun) -{08BOE5CO-4FCB-11CF-AAA5-00401C608501} - C:\Program Fi 1es\Java\j rel.6.0_02\bi n\ssv.dl1
09 - Extra button: (no name) - {85dlf590-48f4-lld9-9669-0800200c9a66} -%windir%\bdoscandel.exe (file missing)
09 - Extra 'Tools' menuitem: uninstaîl BitDefender Online Scanner v8 -{85dlf590-48f4-lld9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 09 - Extra button: Real.com - {CD67F990-D8E9-lld2-98FE-OOCOF0318AFE} -C:\wiNDOWS\system32\shdocvw.dl1
09 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -%windir%\Network Diagnostic\xpnetdiag.exe (file missing) 09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
09 :- Extra button: Messenger - {FB5Fl910-FllO-lld2-BB9E-OOC04F795683} -C:\Program Fi 1es\Messenger\msmsgs.exe O9 - Extra 'Tools1 menuitem: Windows Messenger -
{FB5Fl910-FllO-lld2-BB9E-OOC04F795683} - C:\Program Files\Messenger\msmsgs.exe Oïl - Options group: [INTERNATIONAL] international* O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\lE\offline\fr.htm 016 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -http://download.bi tdefender.com/resources/scan8/oscan8.cab 018 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -C:\PROGRA~l\WIlF86~l\MESSEN~l\MSGRAP~l.DLL
018 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -C:\PROGRA~l\WIlF86~l\MESSEN~l\MSGRAP~l.DLL O20 - winlogon Notify: qommnlk - c:\WlNDOWS\SYSTEM32\qomrnnlk.dll
20 - Winlogon Notify: wgaLogon - C:\WlNDOWS\SYSTEM32\WgaLogon.dll
21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45BO-95D7-94D524869DB5} -
C:\WINDOWS\system32\WPDShseryi ceObj.dl1
023 - Service: AOL connectivity Service (AOL ACS) - America Online, Inc. -
C:\PROGRA~l\FICHIE~l\AOL\ACS\AOLacsd.exe
023 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software -
C:\Program Files\Alwil software\Avast4\aswupdSv.exe
023 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\wiNDOWS\system32\Ati 2evxx.exe
O23 - Service: avast! Antivirus - ALWIL software - c:\Program Files\Alwil
Software\Ayast4\ashServ.exe
023 - Service: avast! Mail scanner - unknown owner - c:\Program Files\Alwil
Software\Ayast4\ashMaisv.exe" /service (file missing)
023 - Service: avast! web Scanner - unknown owner - C:\Program Files\Alwil
Software\Ayast4\ashwebsv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
023 - Service: Symantec Network proxy (ccProxy) - Symantec corporation -
c:\Program Files\Fichiers communs\symantec shared\ccProxy.exe
023 •- Service: Symantec Password validation (ccPwdSvc) - Symantec corporation -
c:\Program Files\Fichiers communs\symantec shared\ccPwdSvc.exe
023 - Service: Symantec Settings Manager (ccsetMgr) - Symantec Corporation -
C:\Program Files\Fichiers communs\symantec shared\ccSetMgr.exe
023 - Service: CyberLink Background Capture service (CBCS) (CLCapSvc) - unknown
owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
023 •- Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner -
c:\APPS\Powerci nema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyber!ink - C:\Program
Fi 1es\CyberLink\Shared Files\CLML_NTServi ce\CLMLServer.exe
023 •- Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET
NOD32 Antivirus\EHttpSrv.exe
O23 -- service: Eset service (ekrn) - ESET - c:\Program Files\ESET\ESET NOD32
Anti vi rus\ekrn.exe
O23 - Service: Generic service for HID Keyboard Input collections
(GenericHidService) - unknown owner - c:\APPS\HlDSERViCE\HlDSERVlCE.exe
023 - Service: Google updater Service (gusvc) - Google - c:\Program
Fi 1es\Google\common\Google updater\Googleupdaterservice.exe
023 - Service: InstallDriver Table Manager (iDriverT) - Macrovision Corporation
- C:\Program Files\Fichiers communs\lnstallshield\Driver\ll\lntel
32\lDriverT.exe
O23 - Service: is Service (ISSVC) - unknown owner - C:\Program Files\Norton
Page 3

hijackthis
internet Security\issvc.exe (file missing) O23 - Service: Mysqllnventime - Unknown owner -C:\Apps\INVENT~l\mysql\bi n\mysqld-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton Anti Vi rus\navapsvc.exe
023 - Service: NMlndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMlndexingservice.exe (file missing) 023 - Service: Pml Driver HPZ12 - HP - C:\WlNDOWS\system32\HPZipml2.exe 023 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet security\Norton Antivirus\SAVScan.exe (file missing)
023 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe 023 -- Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\symantec shared\SPBBC\SPBBCSvc.exe
023 - service: Ulead Burning Helper (uleadBurningHelper) - Ulead Systems, inc. -C:\Program Files\Fichiers communs\Ulead systems\DVD\ULCDRSvr.exe O23 - Service: Windows Live Setup service (WLSetupSvc) - Unknown owner -C:\Program Fi 1es\windows Live\installer\WLSetupSvc.exe
J'ai une petite idée ouais mais est-ce vraiment à ce point ?

Tu y vois quoi toi.
Evidemment j'ai demandé de réinstaller correctement Higjts et j'attends le résultât demain

[VertigO]

Salut,

Tu y vois quoi toi.

Moi, beaucoup de chose et pas tellement en fait.

Pas tellement: rapport presque illisible.
Beaucoup : c'est une blague ce rapport ?

[Malekal_morte]

Salut,

Infection virtumonde, par contre ton rapport a des retours à la ligne bizaroïdes.
Pas très pratique pour lire..

-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Coche dans la liste "Afficher les fichiers cachés"
-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.


Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier :
C:\WlNDOWS\system32\pmnno.exe (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> pmnno.exe )
Ne touche pas au champs "Choisir le dossier de destination"
Clic sur envoyer fichier


Tu as deux antivirus... Norton et Avast!

Tu as plusieurs logiciels de protections (antivirus ou antispywares).
Pour rappel : un seul antivirus et un seul antispyware par ordinateur

Cela ne te protège pas forcemment mieux mais ce qui est certains c'est que ça te ralenti l'ordinateur voir peu occasionner des plantages, plus d'infos : http://forum.malekal.com/phenomene-de-s ... t4650.html

Désinstalle les deux, ils ne sont pas très performants.


Ensuite
Désactive les logiciels de protection puis :

Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

[jal]

Ouais j'ai pas indiqué mon nom complet Xcuse.
Jalobservateur.

Ceci est un cas que je viens de recevoir.
Et comme moi aussi je le pensais ... Mais je lui ai demandé de s'inscrire et elle a fait.
Donc C,est ok .
Mais ceci est un rapport de la machine de son amie.
Et elle va refaire ou tenter de refaire un log chez-elle demain.
Mais ce que je me demande: Est-ce vraiment à ce point les infections de début d'année ,Vubdo/Virtumonde et compagnie ?
Si c'est le cas, on va avoir du plaisir non ?
J'ai de la difficulté à le croire ...

[Malekal_morte]

Faudrait préciser que c'est pas une désinfection.
Précise aussi que ce sont des questions...

Poste plutôt dans la partie sécurité que Virus..

Je déplace le sujet.

Sinon j'ai pas compris ta question.. des virtumonde ça fait depuis 2005 qu'il y en a et il y en aura encore.

[VertigO]

Salut Jalobservateur,

Tu as deux antivirus... Norton et Avast!

Et NOD32 avec.

c:\Pnognam Files

Bizarre que dans les processus les "r" soient des "n". C'est peut-être un détail aussi mais le log est vraiment mal aligné

{Pourquoi tu postes pas dans l'aide helper ?}

[Jalobservateur]

En faits, les noms sont de vrais mots humoristiques
Surement pas du piratage américain, les conneries sont écrites en français.
Le pourquoi je pensais que je me faisais niaiser.
Yfeleca
Repentoine temponaine 1 poun
hi j ackthi s.zi p\Hi jackThis.exe
go. mi cnosof t. Et tout le reste .