Virus/Trojan ?

[Metalyn]

Bonjour.

Depuis quelques jours mon pc rame beaucoup, ainsi qu'internet qui ne marche que par moment. tout est beaucoup plus lent.

 

Je laisse mon scan Hijackthis, si quelqu'un pouver m'aider. merci d'avance !

 

Logfile of HijackThis v1.99.1

Scan saved at 20:30:21, on 19/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://createpdf.adobe.com/?Language=ENU

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.bns3.net

O1 - Hosts: 62.75.224.159 www.bns4.net

O1 - Hosts: 62.75.224.159 www.bns5.net

O1 - Hosts: 62.75.224.159 www.bns6.net

O1 - Hosts: 62.75.224.159 www.bns7.net

O1 - Hosts: 62.75.224.159 www.bns8.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 www.cms3.net

O1 - Hosts: 62.75.224.159 www.cms4.net

O1 - Hosts: 62.75.224.159 www.cms5.net

O1 - Hosts: 62.75.224.159 www.cms6.net

O1 - Hosts: 62.75.224.159 www.cms7.net

O1 - Hosts: 62.75.224.159 www.cms8.net

O1 - Hosts: 62.75.224.159 www.rg1.com

O1 - Hosts: 62.75.224.159 www.rg2.com

O1 - Hosts: 62.75.224.159 www.rg3.com

O1 - Hosts: 62.75.224.159 www.rg4.com

O1 - Hosts: 62.75.224.159 www.rg5.com

O1 - Hosts: 62.75.224.159 www.rg6.com

O1 - Hosts: 62.75.224.159 www.rg7.com

O1 - Hosts: 62.75.224.159 www.rg8.com

O1 - Hosts: 62.75.224.159 www.cjt1.net

O1 - Hosts: 62.75.224.159 www.rgs1.net

O1 - Hosts: 62.75.224.159 www.rgs2.net

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 bns3.net

O1 - Hosts: 62.75.224.159 bns4.net

O1 - Hosts: 62.75.224.159 bns5.net

O1 - Hosts: 62.75.224.159 bns6.net

O1 - Hosts: 62.75.224.159 bns7.net

O1 - Hosts: 62.75.224.159 bns8.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 cms3.net

O1 - Hosts: 62.75.224.159 cms4.net

O1 - Hosts: 62.75.224.159 cms5.net

O1 - Hosts: 62.75.224.159 cms6.net

O1 - Hosts: 62.75.224.159 cms7.net

O1 - Hosts: 62.75.224.159 cms8.net

O1 - Hosts: 62.75.224.159 rg1.com

O1 - Hosts: 62.75.224.159 rg2.com

O1 - Hosts: 62.75.224.159 rg3.com

O1 - Hosts: 62.75.224.159 rg4.com

O1 - Hosts: 62.75.224.159 rg5.com

O1 - Hosts: 62.75.224.159 rg6.com

O1 - Hosts: 62.75.224.159 rg7.com

O1 - Hosts: 62.75.224.159 rg8.com

O1 - Hosts: 62.75.224.159 cjt1.net

O1 - Hosts: 62.75.224.159 rgs1.net

O1 - Hosts: 62.75.224.159 rgs2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 j800banners.cjt1.net

O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net

O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net

O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net

O1 - Hosts: 62.75.224.159 javatar.cjt1.net

O1 - Hosts: 62.75.224.159 jbeet.cjt1.net

O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net

O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net

O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net

O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net

O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net

O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net

O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net

O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net

O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net

O1 - Hosts: 62.75.224.159 jhot.cjt1.net

O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net

O1 - Hosts: 62.75.224.159 jicq.cjt1.net

O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net

O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net

O1 - Hosts: 62.75.224.159 jmindset.cjt1.net

O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net

O1 - Hosts: 62.75.224.159 jnictech.cjt1.net

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net

O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net

O1 - Hosts: 62.75.224.159 jsercee.cjt1.net

O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net

O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net

O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net

O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net

O1 - Hosts: 62.75.224.159 www.m7z.net

O1 - Hosts: 62.75.224.159 m7z.net

O1 - Hosts: 62.75.224.159 jcms.cydoor.com

O1 - Hosts: 62.75.224.159 cydoor.com

O1 - Hosts: 62.75.224.159 www.cydoor.com

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklm.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\awtqq.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: jkklm - C:\WINDOWS\SYSTEM32\jkklm.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

O23 - Service: Windows Smrss Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

[Jack_Burton]

Bonsoir,

 

Ton systeme est tres infecté, applique la procédure préliminaire si ce n est pas fait :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur : megataupe

Modifié le 19 octobre 2005 par Jack_Burton

[Metalyn]

erf jms de chance moi :s

 

la procedure preliminaire a été effectué

[ipl_001]

Bonsoir Metalyn, Jack_Burton, bonsoir à tous,

 

La procédure se termine par le post du rapport HijackThis en mode sans échec, dans cette discussion... tu verras, au lieu de 5 écrans 1/2 actuellement, la rapport va descendre à 2-3 !

Tu en as de la chance !

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

[Metalyn]

g du mal a comprendre la. c pas le bon le rapport que jai posté ? pourtant jai bien suivi ce qu'il y avait dans la procedure preliminaire, le scan av antivir en mode sans echec, le scan av hijackthis, et pui le poste du log

[ipl_001]

Je te prie de m'excuser

g du mal a comprendre la. c pas le bon le rapport que jai posté ? pourtant jai bien suivi ce qu'il y avait dans la procedure preliminaire, le scan av antivir en mode sans echec, le scan av hijackthis, et pui le poste du log

591863[/snapback]

Voyant le post de Jack_Burton, j'attendais un rapport HijackThis dans un nouveau post !

 

Excuse moi d'avoir perdu du temps !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[Metalyn]

ah non ct directemen le bon scan ^^

merci pour ton aide

[ipl_001]

Rebonsoir Metalyn, Jack_Burton, rebonsoir à tous,

 

Phew! Cà a pris plus longtemps que prévu !

 

Mais combien as-tu de pare-feu ??? j'en vois 2 !!!

 

 

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Télécharge Trojan.Vundo Removal Tool de Symantec ( http://securityresponse.symantec.com/avcenter/FixVundo.exe info sur http://securityresponse.symantec.com/avcen...moval.tool.html )

 

 

 

-3- Redémarre l'ordinateur en mode sans échec.

 

-4- Lance Trojan.Vundo Removal Tool téléchargé précédemment.

 

-5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- MessengerPlus! (c'est une source de malwares ! Lorsque le système sera propre, tu réinstalleras si tu le veux mais sans les sponsors !!!

--- ne conserve qu'un seul pare-feu

 

-6- Démarrer / Exécuter / tape services.msc et clique sur OK

- recherche la ligne Windows Smrss Service et double clique dessus / mets Désactivé dans Type de démarrage et clique sur le bouton Arrêter / OK

 

-7- Clic droit sur Démarrer / Explorer / dans la partie gauche, trouve le dossier C:\WINDOWS\system32\drivers\etc / sélectionne le / sur la partie droite, renomme le fichier Hosts en Hosts.anc

Ouvre le bloc-notes et copie-colle ce qui suit :

# Copyright © 1993-1999 Microsoft Corp.

#

# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

# pour Windows.

#

# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.

# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée

# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse

# IP et le nom d'hôte doivent être séparés par au moins un espace.

#

# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le

# symbole '#'.

#

# Par exemple :

#

#      102.54.94.97    rhino.acme.com          # serveur source

#      38.25.63.10    x.acme.com              # hôte client x

 

127.0.0.1      localhost

(seule la dernière ligne est nécessaire, les # sont des commentaires)

Fichier / Enregistrer sous / Enregistrer dans : etc / Nom du fichier : Hosts / Type : tous les fichiers / Enregistrer

Vérifie que le fichier s'appelle bien Hosts et non pas Hosts.txt

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

-8- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.bns3.net

O1 - Hosts: 62.75.224.159 www.bns4.net

O1 - Hosts: 62.75.224.159 www.bns5.net

O1 - Hosts: 62.75.224.159 www.bns6.net

O1 - Hosts: 62.75.224.159 www.bns7.net

O1 - Hosts: 62.75.224.159 www.bns8.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 www.cms3.net

O1 - Hosts: 62.75.224.159 www.cms4.net

O1 - Hosts: 62.75.224.159 www.cms5.net

O1 - Hosts: 62.75.224.159 www.cms6.net

O1 - Hosts: 62.75.224.159 www.cms7.net

O1 - Hosts: 62.75.224.159 www.cms8.net

O1 - Hosts: 62.75.224.159 www.rg1.com

O1 - Hosts: 62.75.224.159 www.rg2.com

O1 - Hosts: 62.75.224.159 www.rg3.com

O1 - Hosts: 62.75.224.159 www.rg4.com

O1 - Hosts: 62.75.224.159 www.rg5.com

O1 - Hosts: 62.75.224.159 www.rg6.com

O1 - Hosts: 62.75.224.159 www.rg7.com

O1 - Hosts: 62.75.224.159 www.rg8.com

O1 - Hosts: 62.75.224.159 www.cjt1.net

O1 - Hosts: 62.75.224.159 www.rgs1.net

O1 - Hosts: 62.75.224.159 www.rgs2.net

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 bns3.net

O1 - Hosts: 62.75.224.159 bns4.net

O1 - Hosts: 62.75.224.159 bns5.net

O1 - Hosts: 62.75.224.159 bns6.net

O1 - Hosts: 62.75.224.159 bns7.net

O1 - Hosts: 62.75.224.159 bns8.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 cms3.net

O1 - Hosts: 62.75.224.159 cms4.net

O1 - Hosts: 62.75.224.159 cms5.net

O1 - Hosts: 62.75.224.159 cms6.net

O1 - Hosts: 62.75.224.159 cms7.net

O1 - Hosts: 62.75.224.159 cms8.net

O1 - Hosts: 62.75.224.159 rg1.com

O1 - Hosts: 62.75.224.159 rg2.com

O1 - Hosts: 62.75.224.159 rg3.com

O1 - Hosts: 62.75.224.159 rg4.com

O1 - Hosts: 62.75.224.159 rg5.com

O1 - Hosts: 62.75.224.159 rg6.com

O1 - Hosts: 62.75.224.159 rg7.com

O1 - Hosts: 62.75.224.159 rg8.com

O1 - Hosts: 62.75.224.159 cjt1.net

O1 - Hosts: 62.75.224.159 rgs1.net

O1 - Hosts: 62.75.224.159 rgs2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 j800banners.cjt1.net

O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net

O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net

O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net

O1 - Hosts: 62.75.224.159 javatar.cjt1.net

O1 - Hosts: 62.75.224.159 jbeet.cjt1.net

O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net

O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net

O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net

O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net

O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net

O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net

O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net

O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net

O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net

O1 - Hosts: 62.75.224.159 jhot.cjt1.net

O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net

O1 - Hosts: 62.75.224.159 jicq.cjt1.net

O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net

O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net

O1 - Hosts: 62.75.224.159 jmindset.cjt1.net

O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net

O1 - Hosts: 62.75.224.159 jnictech.cjt1.net

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net

O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net

O1 - Hosts: 62.75.224.159 jsercee.cjt1.net

O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net

O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net

O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net

O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net

O1 - Hosts: 62.75.224.159 www.m7z.net

O1 - Hosts: 62.75.224.159 m7z.net

O1 - Hosts: 62.75.224.159 jcms.cydoor.com

O1 - Hosts: 62.75.224.159 cydoor.com

O1 - Hosts: 62.75.224.159 www.cydoor.com

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklm.dll

 

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\awtqq.dll

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll

 

O20 - Winlogon Notify: jkklm - C:\WINDOWS\SYSTEM32\jkklm.dll

 

O23 - Service: Windows Smrss Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

-9- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-10- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\system32\jkklm.dll

--- C:\WINDOWS\system32\awtqq.dll

--- C:\WINDOWS\svchost.exe

--- C:\Program Files\MessengerPlus! 3 (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-11- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?

[ipl_001]

Question pour megataupe :

 

Que penses-tu de cette adresse : 62.75.224.159 ?

Elle semble être anodine !!!

Que fait-elle là ?

organisation: ORG-BSBS1-RIPE

org-name:    B S B - Service GmbH

org-type:    NON-REGISTRY

descr:        Internet-Hoster

remarks:      BSB Service GmbH is part of intergenia AG

address:      Leyboldstr.10

address:      50354 Huerth

address:      Germany

phone:        +49 2233 612-0

Mais elle n'a rien à faire dans ces O1 !?!?!?

[megataupe]

Re IPL . En effet, cette IP semble propre mais si je fais une localisation de cette IP j'obtiens ceci :

 

IP: 62.75.224.159

Country: Germany

City: Zurich, Zurich

 

plutot curieux non .

 

edit: on la retrouve associée à edonkey et sur d'autres rapports avec les mêmes entrées que sur le log de Metalyn

 

O1 - Hosts: 62.75.224.159 home.edonkey2000.com

O1 - Hosts: 62.75.224.159 home.edonkey2000.com

O1 - Hosts: 62.75.224.159 home.edonkey2000.com

Modifié le 19 octobre 2005 par megataupe