Forum Clubic

Un virus pas discret du nom de IEXPLORE - pas détect mais bien présent

salut à tous

alors, pour ceux qui me prendrait pour qlc qui maitrise pas les processus, je sais très bien que ce nom évoque celui d’internet explorer sauf que là, ce n’est pas lui!
internet explorer est écrit en minuscule dans les processus

le virus,lui, est écrit en gros (d’où son indiscrétion…): IEXPLORE.exe
il a utiliser une fois un fichier nommer “directX.exe”
Il se lance en tant que processus système mais peu être fermer avec le gestionaire des tâches (fonction “terminer le processus”)
AD-Aware m’a détecter une valeur de register suspect (du nom de: windows), je l’ai suprimée.
Il se situ dans “système32”.

c’est mon pare-feux qui m’a donner l’alerte (ça aussi ça rentre en compte dans l’indiscrétion…)
ce virus se lance au démarrage mais n’est pas dans MSconfig ni dans le dossier du menu démarrer.

j’aimerais:
-identifier le nom du virus pour l’eradiquer
-savoir comment forcer la fermeture d’un processus système grâce à une commande MS-DOS (tskill marche pas)
-savoir si il y a un risque à virer le programme manuellement
-Je pense à utiliser un programme de Smitfraudfix (“Process.exe”) pour stopper le virus, même si j’ai les lignes de commandes pour ce programme, je crois qu’il met le processus en pause et ne le ferme pas.

tout ce qui concerne les opération en ligne de commandes (tskill, process.exe), je compte les mettre dans le dossier de démarrage pour stopper le virus à défaut de l’eradiquer.

merci d’avance pour vos réponse.

oui, mais je ne vois rien de suspect.
J’ai une précision à ajouter, ce virus se duplique dans d’autre dossier lorsqu’il s’aperçois qu’il est bloquer.
j’ai vue ça ce matin et je me suis aperçus du virus il y 2 ou 3 jours.
si d’ici la fin du mois j’ai pas réussi à supprimer ce virus, j’ai bien peur qu’il sera dans tous les dossier système.
De plus le dossier est choisi au hasard! il s’est mis dans le dossier “SUN” (où il y a java).
voilà le rapport Hijackthis:

voilà, je viens de ramrquer un truc:
IEXPLORE ne fait pas partis du rapport dans les processus lancés, normal car je l’ai fermer avec le gestionaire des tâches… désoler.

C’est bizarre, mon papa a eu la même chose, et le fichier était dans le dossier images, on ne sait pas le supprimer, et quand on essaie, y a des messages d’erreur, toute l’interface de windows qui change, et impossible de se connecter en wifi. :??:

ha, tu me fait penser à un truc: je vais scanner avec smitfraudfix.
je vous dis ça après

pour toi, c’est sûrement ce que tu dois faire car ce logiciel supprime tout les virus ce qui touche à l’interface de windows (shell).

Pour moi la casse du processus n’est pas une preuve, chez le procesus d’IE est en majuscule. Fais une recherche sur iexplore.exe dans ton disque système pour voir toutes les occurences de ce prog.
Ensuite quand tu dis qu’il se duplique, c’est que tu retrouves des iexplore.exe dans d’autres répertoires, comme celui de SUN que tu cites ? ou c’est autre chose ?
Sinon dans ton log, je vois pas de processus à risque même si y a des trucs que je connais pas.
S’il se lance au démarrage et qu’il n’y a manifestement pas de fenêtre IE, cherche l’emplacement du programme, fais en une copie de sauveagarde et detruis le, et reboot pour voir si tu c’est bon ou si tu as tout cassé.

mouais, le scan à pas donner grand chose, ça peut être von signe quelque part…
SmitFraudFix v2.65

Rapport fait à 11:57:32,87, 18/08/2006
Executé à partir de C:\Documents and Settings\\Mes documents\*\LABO\Smitfraudfix Lab’s
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Dumez\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Dumez\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Ma page d’accueil”

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

voilà le rapport.

pour répondre à kinji127:

Je parle bien du même virus lorsque je dis qu’il se duplique dans d’autre dossier.
En fait, après avoir rechercher tout les “iexplore” sur le disque, je me suis aperçus que le virus se déplace et ne se duplique pas.
Et autant pour moi pour ce qui est de la casse du processus, IE est aussi en majuscule chez moi mais je suis sûr de ne pas le confondre avec le virus.

Je vais essayer de suprimer le virus à la main, je vais faire une copie sur ma clès USB et comme ça si le PC ne veut pas démarrer, je remettrais le virus grâce à un live-Cd de linux.

windows ne fait pas la difference entre maj et minuscule , ça peu etre ecrit iexplore.exe et IEXPLORE.EXE sont tous les 2 internet explorer , a la limite scan IEXPLORE.EXE sur

http://virusscan.jotti.org/

mais je pense pas que ce soit un virus !!

Génial! (si on veux…)
Ton site est pile ce que je cherchais! (une sorte de base de donnée où serait recencer TOUT les malware.
Voilà le scan:
http://www.mabul.fr/hosting/image/3/vfookb0qlpydu72myqnk.jpg

en clair, heuresement que j’ai un pare feux car je crois bien que c’est “téléchargeur de trojan”…
reste à trouver comment le suprimer… avast ne le détecte pas!
Je comprend pas trop la phrase

"this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database"

c’est quoi la détéction heuristique?

oups pas bon ça ! il suppose pas son agissement que cela est un malware , certainement une variante de trojan downloader , crypté et packé avec pespin. Essai de le virer avec antivir en scannant ton pc en mode sans echec . :neutre:

heu, juste une question antivir est un anti-virus qui ne s’installe pas?
parceque je vais pas virer avast pour mettre antivir juste pour un pauvre virus…

vue que c’est un trojan dowloader, il ne fait “que” télécharger un trojan depuis un serveur FTP; je dois pouvoir le supprimer sans trop de dangers.

et j’avais compri qu’il était compresser avec pespin, j’ai voulu le désassembler avec un logiciel spécial pour pespin et les 2version ne peuvent pas le faire.

je pensais à un truc: Spybot SD ne le trouverais pas? car j’ai ce logiciel et il est à jour mais j’ai pas fait de scan car il scan tout le disque dur et ça met un temps assez long…

puis-je le suprimer simpement ou il faut absolument installer antivir?