Sujet Précédent Sujet Suivant

Système infecté TR/Spy.Agent.JO.1

Fermé
nicolas - 21 févr. 2006 à 19:40
 Elzafraulein - 18 juin 2009 à 14:15
J'ai un virus nommé TR/Spy.Agent.JO.1 qui revient régulièrement !
je scanne avec antivir
ensuite je le delete
mais il revient quand même au bout de quelques heures
pouvez vous m'aidez

log
HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 19:31:47, on 21/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CS1\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CS2\Services\Tcpip\..\{682846EA-6E0E-4B45-BB8D-AAEA5B43BF1C}: NameServer = 212.27.54.252,213.228.0.23
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

2 réponses

Réponse 1 / 2
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 105
21 févr. 2006 à 19:57
Bonsoir,

Ton infections se localise ici :

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

Il s'agit bien d'un Cheval de Troie.

Mais il peut y a voir d'autres infections également.

Je te conseille de faire ceci :

- Scanne ton PC avec cet antivirus en ligne :
http://www.bitdefender.com/scan8/ie.html
Clique sur "I Agree" et scanne tout le PC.
Copie/colle le rapport sur le forum.

Pense à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
0
nicolas
22 févr. 2006 à 08:05
BitDefender Online Scanner







Scan report generated at: Tue, Feb 21, 2006 - 22:55:57









Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;















Statistics

Time


00:30:35

Files


88770

Folders


2376

Boot Sectors


6

Archives


986

Packed Files


3875







Results

Identified Viruses


6

Infected Files


9

Suspect Files


1

Warnings


0

Disinfected


0

Deleted Files


9







Engines Info

Virus Definitions


274215

Engine build


AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Scan plugins


13

Archive plugins


39

Unpack plugins


4

E-mail plugins


6

System plugins


1







Scan Settings

First Action


Disinfect

Second Action


Delete

Heuristics


Yes

Enable Warnings


Yes

Scanned Extensions


*;

Exclude Extensions




Scan Emails


Yes

Scan Archives


Yes

Scan Packed


Yes

Scan Files


Yes

Scan Boot


Yes








Scanned File


Status

C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


Suspected of: BehavesLike:Trojan.Downloader

C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


Disinfection failed

C:\Documents and Settings\fanny&nico\Local Settings\Temp\Rar$EX00.203\crack.exe


Deleted

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


Infected with: Trojan.SpySheriff.C

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


Disinfection failed

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\secure32[1].htm


Deleted

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


Infected with: Dropped:Trojan.SpamTool.H

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


Disinfection failed

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\FN3E2KMN\tool1[1].txt


Deleted

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\hosts[1].txt


Infected with: Trojan.Qhosts.HE

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\hosts[1].txt


Deleted

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


Infected with: Trojan.StartUp.D

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


Disinfection failed

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\K9ZKTTYY\kl[1].txt


Deleted

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


Infected with: Trojan.Downloader.VB.EB

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


Disinfection failed

C:\Documents and Settings\fanny&nico\Local Settings\Temporary Internet Files\Content.IE5\LQ3RRZJX\toolbar[1].txt


Deleted

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


Infected with: Trojan.Spy.Small.BE

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


Disinfection failed

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll


Delete failed

C:\WINDOWS\hosts


Infected with: Trojan.Qhosts.HE

C:\WINDOWS\hosts


Deleted

C:\WINDOWS\kl1.exe


Infected with: Trojan.StartUp.D

C:\WINDOWS\kl1.exe


Disinfection failed

C:\WINDOWS\kl1.exe


Deleted

C:\WINDOWS\toolbar.exe


Infected with: Trojan.Downloader.VB.EB

C:\WINDOWS\toolbar.exe


Disinfection failed

C:\WINDOWS\toolbar.exe


Deleted
0
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 105
22 févr. 2006 à 09:58
Re,

Comme quoi on a bien fait de faire le scan en ligne :)

- Télécharge et scanne ton PC avec a² free : a² free

- Si tu n'en n'a pas, télécharge un firewall.
Par exemple, la version GRATUITE de ZoneAlarm® : https://www.zonealarm.com
Tutorial là : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm

Télécharge, mets à jour et scannes ton PC avec Ad-Aware :
Ad-aware

- Télécharge CCLEANER et nettoie ton PC avec : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tutorial là : https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

- Télécharge et scanne ton PC avec Ewido Security Suite : https://www.01net.com/telecharger/
Copie/colle le rapport sur le forum.

Good luck
0
nicolas > Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009
22 févr. 2006 à 10:43
Salut
je te remercie beaucoup beaucoup de ton aide

j'ai reussi a supprimer le fichier recalcitrant : ibm00001.dll
qui se trouvait C:\windows\programs files\fichiers communs\microsoft shared\web folders\

grace a l'outil Killbox
j'ai refais un scan en ligne et puis plus rien n'est detecté

du coup j'ai telechargé la version gratuite de bit defender v.7
qui a d'ailleurs une interface plus sympa que celui que j'avais : antivir

puis scan avec spybot : aucun mouchard trouvé

mon nouveau firewall : outpost

et puis j'ai fais le menage avec reg cleaner

encore merci
j'espere que c'est bon cette fois ci !
0
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 105 > nicolas
22 févr. 2006 à 13:12
Pas de problème :)

Bon surf ^^
0
Réponse 2 / 2
Elzafraulein
18 juin 2009 à 14:15
Bonjour j'ai eu le même problème et c'est résolu,

cela provient d'un malware, dans la barre d'icône il apparaît sous la forme d'un globe bleu ciel quadrillé et est nommé Relevantknowledge.

Allez dans le panneau de configuration/ajout-suppression de programme/il apparaît et don désinstallez-le.

Redémarrer votre PC et c'est fini. Je pense l'avoir attrapé en installant IDPhoto Studio.

Voilà, bon courage à tous !
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Erreur la zone de données passée à un appel système est insu
Vincent -
Panth33ra -

5 réponses
Système d'exploitation 32 bits, processeur x64
Laurent1998480 -
gugu59 -

17 réponses
l'administrateur système a configuré la polit
lc33520 -
@ -

40 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses