Forum Clubic

Virus Win32/IRCBot.OO

Bonjour,

Alors voilà mon problème, mon NOD32 (à jour) me dit que je suis infecté par un Win32/IRCBot.OO (déjà je vais jamais sur le chat, alors je comprends pas :/) sur le fichier “.exe” par l’objet svchost.exe.

Le nom de fichier est bizarre… il est dans C:/Windows/System32/ et pese 0 octet.

J’ai fais un scan complet avec NOD32, il trouve rien, pareil en mode sans échec.
Spybot ne trouve rien non plus.

Vous me conseillez quuoi pour éradiquer ce ver ? c’est un cheval de troie je crois :frowning:

Lorsque j’ai la notification de NOD32, mon ordi freeze, et je peux rien faire a part un reboot manuel ! j’arrive même plus a accéder au gestionnaire des taches, ou lancer mon antivirus :confused:

Voici mon log hijackthis :

C’est une faille d’xp sp 1 (correctif existe mais tu ne l’as pas installé, pas bien) qui infecte le client de messagerie AOL.
http://www.secuser.com/alertes/2006/wargbot.htm
description de la désinfection a la fin de cette page
http://www.symantec.com/region/fr/techsupp…32.wargbot.html
penser a mettre a jour ton xp.

http://www.eset.com/msgs/ircbotoo.htm

C’est une faille d’xp sp 1 (correctif existe mais tu ne l’as pas installé, pas bien) qui infecte le client de messagerie AOL.
http://www.secuser.com/alertes/2006/wargbot.htm
description de la désinfection a la fin de cette page
http://www.symantec.com/region/fr/techsupp…32.wargbot.html
penser a mettre a jour ton xp.

+10

C:\Program Files\EzButton\CplBTQ00.EXE

O4 - HKLM\…\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE

O17 - HKLM\System\CCS\Services\Tcpip\…\{5FF58D48-E0E8-4A10-BB3A-EF39741AD52A}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

une mise a jour s’impose

O17 - HKLM\System\CCS\Services\Tcpip\…\{5FF58D48-E0E8-4A10-BB3A-EF39741AD52A}: NameServer = 80.10.246.130 80.10.246.3
Il s’agit tres certainement des seveurs DNS de sa connexion donc pas touche (c’est wanadoo/orange/mamadou il me semble).

C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\…\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
Il me semble que c’est une application (non essentielle) pour les raccourcis/clavier sur les compaq et certains portables.
Donc pas necessairement néfaste. (décocher son lancement avec spybot, mais peut-etre pas en utilisant hijackthis).

Enfin les trucs sony ont peut-etre pour origine le fait qu’il a un baladeur sony.
Si c’est le cas, juste décocher ces entrées dans spybot, mais pas les effacer. (ainsi lorsque tu lances ton pc, elles ne sont pas chargées, et c’est seulement au branchement du baladeur que windows les charge economisant ta mémoire vive, a ce propos tu as pas mal de softs qui se lancent avec windows utilisant de la memoire vive pour rien, quictime task… tout ca tu peux le décocher dans spybot, windows les chargera que lorsqu’il en aura besoin)