Un virus pas discret du nom de IEXPLORE - pas détect mais bien présent

_gor · Août 17, 2006, 9:21

salut à tous

alors, pour ceux qui me prendrait pour qlc qui maitrise pas les processus, je sais très bien que ce nom évoque celui d’internet explorer sauf que là, ce n’est pas lui!
internet explorer est écrit en minuscule dans les processus

le virus,lui, est écrit en gros (d’où son indiscrétion…): IEXPLORE.exe
il a utiliser une fois un fichier nommer “directX.exe”
Il se lance en tant que processus système mais peu être fermer avec le gestionaire des tâches (fonction “terminer le processus”)
AD-Aware m’a détecter une valeur de register suspect (du nom de: windows), je l’ai suprimée.
Il se situ dans “système32”.

c’est mon pare-feux qui m’a donner l’alerte (ça aussi ça rentre en compte dans l’indiscrétion…)
ce virus se lance au démarrage mais n’est pas dans MSconfig ni dans le dossier du menu démarrer.

j’aimerais:
-identifier le nom du virus pour l’eradiquer
-savoir comment forcer la fermeture d’un processus système grâce à une commande MS-DOS (tskill marche pas)
-savoir si il y a un risque à virer le programme manuellement
-Je pense à utiliser un programme de Smitfraudfix (“Process.exe”) pour stopper le virus, même si j’ai les lignes de commandes pour ce programme, je crois qu’il met le processus en pause et ne le ferme pas.

tout ce qui concerne les opération en ligne de commandes (tskill, process.exe), je compte les mettre dans le dossier de démarrage pour stopper le virus à défaut de l’eradiquer.

merci d’avance pour vos réponse.

_gor · Août 18, 2006, 11:06

oui, mais je ne vois rien de suspect.
J’ai une précision à ajouter, ce virus se duplique dans d’autre dossier lorsqu’il s’aperçois qu’il est bloquer.
j’ai vue ça ce matin et je me suis aperçus du virus il y 2 ou 3 jours.
si d’ici la fin du mois j’ai pas réussi à supprimer ce virus, j’ai bien peur qu’il sera dans tous les dossier système.
De plus le dossier est choisi au hasard! il s’est mis dans le dossier “SUN” (où il y a java).
voilà le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:03:13, on 18/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\eRecall\eRecall.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\iOpus-AC-Plug\acplug.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Dumez\Mes documents\Doc benoît\LABO\Hijackthis zone\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: SafeIE Utility - {B5D4581D-ED6A-4905-A267-25BAF7BE79C1} - C:\WINDOWS\system32\safeie.dll
O4 - HKLM\…\Run: [avast!] “C:\Program Files\Alwil Software\Avast4\ashDisp.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [Look ‘n’ Stop] “C:\Program Files\Soft4Ever\looknstop\looknstop.exe” -auto
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [LClock] lclock.exe
O4 - HKCU\…\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\…\Run: [eRecall] C:\Program Files\eRecall\eRecall.exe /auto
O4 - Startup: 42 AC Plug.lnk = C:\Program Files\iOpus-AC-Plug\acplug.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &Wellget - C:\Program Files\WellGet\nxcatch.htm
O8 - Extra context menu item: Télécharger tout avec &Wellget - C:\Program Files\WellGet\nxall.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra ‘Tools’ menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Movies Extractor Scout - {2D8BFDB7-7A7C-4AA2-8C15-E676AA007E07} - C:\Program Files\Movies Extractor Scout\flashextract.exe
O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - C:\Program Files\WellGet\WellGet.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{F49FC416-3FC1-4F6F-AE7B-88A654E74157}: NameServer = 84.103.237.140 86.64.145.140
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: DirectX Service (DirectJucr) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

voilà, je viens de ramrquer un truc:
IEXPLORE ne fait pas partis du rapport dans les processus lancés, normal car je l’ai fermer avec le gestionaire des tâches… désoler.

Amshagaar · Août 18, 2006, 11:47

C’est bizarre, mon papa a eu la même chose, et le fichier était dans le dossier images, on ne sait pas le supprimer, et quand on essaie, y a des messages d’erreur, toute l’interface de windows qui change, et impossible de se connecter en wifi. :??:

_gor · Août 18, 2006, 11:56

ha, tu me fait penser à un truc: je vais scanner avec smitfraudfix.
je vous dis ça après

pour toi, c’est sûrement ce que tu dois faire car ce logiciel supprime tout les virus ce qui touche à l’interface de windows (shell).

kinji127 · Août 18, 2006, 12:01

Pour moi la casse du processus n’est pas une preuve, chez le procesus d’IE est en majuscule. Fais une recherche sur iexplore.exe dans ton disque système pour voir toutes les occurences de ce prog.
Ensuite quand tu dis qu’il se duplique, c’est que tu retrouves des iexplore.exe dans d’autres répertoires, comme celui de SUN que tu cites ? ou c’est autre chose ?
Sinon dans ton log, je vois pas de processus à risque même si y a des trucs que je connais pas.
S’il se lance au démarrage et qu’il n’y a manifestement pas de fenêtre IE, cherche l’emplacement du programme, fais en une copie de sauveagarde et detruis le, et reboot pour voir si tu c’est bon ou si tu as tout cassé.

_gor · Août 18, 2006, 12:02

mouais, le scan à pas donner grand chose, ça peut être von signe quelque part…
SmitFraudFix v2.65

Rapport fait à 11:57:32,87, 18/08/2006
Executé à partir de C:\Documents and Settings\\Mes documents\*\LABO\Smitfraudfix Lab’s
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Dumez\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Dumez\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Ma page d’accueil”

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

voilà le rapport.

_gor · Août 18, 2006, 12:14

pour répondre à kinji127:

Je parle bien du même virus lorsque je dis qu’il se duplique dans d’autre dossier.
En fait, après avoir rechercher tout les “iexplore” sur le disque, je me suis aperçus que le virus se déplace et ne se duplique pas.
Et autant pour moi pour ce qui est de la casse du processus, IE est aussi en majuscule chez moi mais je suis sûr de ne pas le confondre avec le virus.

Je vais essayer de suprimer le virus à la main, je vais faire une copie sur ma clès USB et comme ça si le PC ne veut pas démarrer, je remettrais le virus grâce à un live-Cd de linux.

strudll · Août 18, 2006, 12:30

windows ne fait pas la difference entre maj et minuscule , ça peu etre ecrit iexplore.exe et IEXPLORE.EXE sont tous les 2 internet explorer , a la limite scan IEXPLORE.EXE sur

http://virusscan.jotti.org/

mais je pense pas que ce soit un virus !!

_gor · Août 18, 2006, 4:51

Génial! (si on veux…)
Ton site est pile ce que je cherchais! (une sorte de base de donnée où serait recencer TOUT les malware.
Voilà le scan:
http://www.mabul.fr/hosting/image/3/vfookb0qlpydu72myqnk.jpg

en clair, heuresement que j’ai un pare feux car je crois bien que c’est “téléchargeur de trojan”…
reste à trouver comment le suprimer… avast ne le détecte pas!
Je comprend pas trop la phrase

"this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database"

c’est quoi la détéction heuristique?

strudll · Août 18, 2006, 8:21

oups pas bon ça ! il suppose pas son agissement que cela est un malware , certainement une variante de trojan downloader , crypté et packé avec pespin. Essai de le virer avec antivir en scannant ton pc en mode sans echec . :neutre:

_gor · Août 18, 2006, 9:34

heu, juste une question antivir est un anti-virus qui ne s’installe pas?
parceque je vais pas virer avast pour mettre antivir juste pour un pauvre virus…

vue que c’est un trojan dowloader, il ne fait “que” télécharger un trojan depuis un serveur FTP; je dois pouvoir le supprimer sans trop de dangers.

et j’avais compri qu’il était compresser avec pespin, j’ai voulu le désassembler avec un logiciel spécial pour pespin et les 2version ne peuvent pas le faire.

je pensais à un truc: Spybot SD ne le trouverais pas? car j’ai ce logiciel et il est à jour mais j’ai pas fait de scan car il scan tout le disque dur et ça met un temps assez long…

puis-je le suprimer simpement ou il faut absolument installer antivir?