Système infecté TR/Spy.Agent.JO.1

nicolas -  
 Elzafraulein -
J'ai un virus nommé TR/Spy.Agent.JO.1 qui revient régulièrement !
je scanne avec antivir
ensuite je le delete
mais il revient quand même au bout de quelques heures
pouvez vous m'aidez

log
HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 19:31:47, on 21/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CS1\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CS2\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
Configuration: pc assemblé 
windows XP Home SP2 
ttes mises a jour faites

2 réponses

  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    Ton infections se localise ici :

    F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

    Il s'agit bien d'un Cheval de Troie.

    Mais il peut y a voir d'autres infections également.

    Je te conseille de faire ceci :

    - Scanne ton PC avec cet antivirus en ligne :
    http://www.bitdefender.com/scan8/ie.html
    Clique sur "I Agree" et scanne tout le PC.
    Copie/colle le rapport sur le forum.

    Pense à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
    0
    1. nicolas
       
      BitDefender Online Scanner







      Scan report generated at: Tue, Feb 21, 2006 - 22:55:57









      Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;















      Statistics

      Time


      00:30:35

      Files


      88770

      Folders


      2376

      Boot Sectors


      6

      Archives


      986

      Packed Files


      3875







      Results

      Identified Viruses


      6

      Infected Files


      9

      Suspect Files


      1

      Warnings


      0

      Disinfected


      0

      Deleted Files


      9







      Engines Info

      Virus Definitions


      274215

      Engine build


      AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

      Scan plugins


      13

      Archive plugins


      39

      Unpack plugins


      4

      E-mail plugins


      6

      System plugins


      1







      Scan Settings

      First Action


      Disinfect

      Second Action


      Delete

      Heuristics


      Yes

      Enable Warnings


      Yes

      Scanned Extensions


      *;

      Exclude Extensions




      Scan Emails


      Yes

      Scan Archives


      Yes

      Scan Packed


      Yes

      Scan Files


      Yes

      Scan Boot


      Yes








      Scanned File


      Status

      C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


      Suspected of: BehavesLike:Trojan.Downloader

      C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


      Disinfection failed

      C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


      Deleted

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


      Infected with: Trojan.SpySheriff.C

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


      Disinfection failed

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


      Deleted

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


      Infected with: Dropped:Trojan.SpamTool.H

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


      Disinfection failed

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


      Deleted

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\hosts[1].txt


      Infected with: Trojan.Qhosts.HE

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\hosts[1].txt


      Deleted

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


      Infected with: Trojan.StartUp.D

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


      Disinfection failed

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


      Deleted

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


      Infected with: Trojan.Downloader.VB.EB

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


      Disinfection failed

      C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


      Deleted

      C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


      Infected with: Trojan.Spy.Small.BE

      C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


      Disinfection failed

      C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


      Delete failed

      C:\WINDOWS\hosts


      Infected with: Trojan.Qhosts.HE

      C:\WINDOWS\hosts


      Deleted

      C:\WINDOWS\kl1.exe


      Infected with: Trojan.StartUp.D

      C:\WINDOWS\kl1.exe


      Disinfection failed

      C:\WINDOWS\kl1.exe


      Deleted

      C:\WINDOWS\toolbar.exe


      Infected with: Trojan.Downloader.VB.EB

      C:\WINDOWS\toolbar.exe


      Disinfection failed

      C:\WINDOWS\toolbar.exe


      Deleted
      0
    2. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Re,

      Comme quoi on a bien fait de faire le scan en ligne :)

      - Télécharge et scanne ton PC avec a² free : a² free

      - Si tu n'en n'a pas, télécharge un firewall.
      Par exemple, la version GRATUITE de ZoneAlarm® : https://www.zonealarm.com
      Tutorial là : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm

      Télécharge, mets à jour et scannes ton PC avec Ad-Aware :
      Ad-aware

      - Télécharge CCLEANER et nettoie ton PC avec : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
      Tutorial là : https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

      - Télécharge et scanne ton PC avec Ewido Security Suite : https://www.01net.com/telecharger/
      Copie/colle le rapport sur le forum.

      Good luck
      0
      1. nicolas > Kristopher Messages postés 3752 Statut Contributeur
         
        Salut
        je te remercie beaucoup beaucoup de ton aide

        j'ai reussi a supprimer le fichier recalcitrant : ibm00001.dll
        qui se trouvait C:\windows\programs files\fichiers communs\microsoft shared\web folders\

        grace a l'outil Killbox
        j'ai refais un scan en ligne et puis plus rien n'est detecté

        du coup j'ai telechargé la version gratuite de bit defender v.7
        qui a d'ailleurs une interface plus sympa que celui que j'avais : antivir

        puis scan avec spybot : aucun mouchard trouvé

        mon nouveau firewall : outpost

        et puis j'ai fais le menage avec reg cleaner

        encore merci
        j'espere que c'est bon cette fois ci !
        0
      2. Kristopher Messages postés 3752 Statut Contributeur 106 > nicolas
         
        Pas de problème :)

        Bon surf ^^
        0
  2. Elzafraulein
     
    Bonjour j'ai eu le même problème et c'est résolu,

    cela provient d'un malware, dans la barre d'icône il apparaît sous la forme d'un globe bleu ciel quadrillé et est nommé Relevantknowledge.

    Allez dans le panneau de configuration/ajout-suppression de programme/il apparaît et don désinstallez-le.

    Redémarrer votre PC et c'est fini. Je pense l'avoir attrapé en installant IDPhoto Studio.

    Voilà, bon courage à tous !
    0