virus IEXPLORE.EXE??? Fermé

Question

Bonjour a tous 
Voila j ai un truc bizzard au demarrage de mon pc sans etre connecté a internet dans le gestionnaire des taches j ai 1 IEXPLORE.EXE qui est actif et lorsque que je veux terminer ce processus il revient sans cesse...de plus il mez mets un message d'erreur au bout de 1/2 mn


voici une copie de mon HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:20, on 06/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Broadcom\BACS\BacsTray.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\HeliosII\HeliosII.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blackle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [bacstray] C:\Program Files\Broadcom\BACS\BacsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.20/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonomec.local
O17 - HKLM\Software\..\Telephony: DomainName = sonomec.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1706A8E-3B59-418B-AC2E-1F93408CE6E6}: NameServer = 10.0.0.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sonomec.local
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

nota: je ne peux pas me logguer en admin (taff)

mille merci a vous tous

Redbart · Answer

Bjr
installe superantispyware FREE EDITION, màj et scan complet
https://www.superantispyware.com/?tag=GOOGLE-SUPERANTISPYWARE
post le rapport avant de supprimer

fredbull · Answer

apres passage de superantispyware:
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/06/2009 at 03:19 PM

Application Version : 4.26.1000

Core Rules Database Version : 3829
Trace Rules Database Version: 1785

Scan type       : Complete Scan
Total Scan Time : 00:43:28

Memory items scanned      : 338
Memory threats detected   : 0
Registry items scanned    : 6004
Registry threats detected : 0
File items scanned        : 17943
File threats detected     : 27

Adware.Tracking Cookie
	C:\Documents and Settings\bonnet\Cookies\bonnet@bluestreak[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@samsung.solution.weborama[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@weborama[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@cetelem.solution.weborama[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@doubleclick[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@content.yieldmanager.edgesuite[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@smartadserver[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@statse.webtrendslive[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@specificclick[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@advertising[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@mediaplex[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@247realmedia[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@ad.zanox[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@adviva[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@xiti[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@interhome.solution.weborama[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@adtech[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@serving-sys[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@atdmt[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@tradedoubler[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@content.yieldmanager[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@apmebf[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@www.googleadservices[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@ad.yieldmanager[2].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@www.googleadservices[1].txt
	C:\Documents and Settings\bonnet\Cookies\bonnet@bs.serving-sys[2].txt

Trojan.Dropper/Win-NV
	C:\WINDOWS\MAKHKDLL.DLL
je suppose que le dernier est celui a supprimer...non?

Redbart · Answer

Oui, tu peux tout supprimer, bon les cookies vont revenir en surfant mais cela n'est pas grave
garde le programme et utilise le 1 x par semaine


est  ce que IEXPLORE est toujours là?

pourquoi as tu BDDOS sur ton pc , ne fait tu pas confiance à symantec?

je n'ai pas vu de parefeu spécifique, est il inclus dans symantec?

maintenant qu'on a viré les spywares on continue l'exploration, 
installe mbam free edition
http://www.malwarebytes.org/mbam.php
màj scan complet
post le rapport stp

réfléchi si tu as vraiment besoin de toutes ces toolbars, IE7 a les même fonctions, ça bouffe du proc. et elles attirent la pub et la pub transporte les spywares 

tu peux fixer les lignes 016 directement dans HJT, ce ne sont que des rapports de téléchargement d'activex

travailles tu chez sonomec?
est tu abonné free?

fredbull · Answer

merci redbart...
oui je bosse à "sonomec" et non nous avons un abonnement orange...
par contre je n'ai pas les droits pour installer mbam 
sinon ben ce matin je me suis retrouvé avec 3 explore.exe..j'ai refait un passage de superantispyware mais il n'a rien detecté de plus..
fait chier je vais devoir faire appel au gestionnaire du reseau et ca risque de "chauffer"..
si une ame charitable a une autre idée je suis preneur

Redbart · Answer

les lignes 17 révèlent en principe une infection Lop, mais tu m'indiques que ces données sont celles du réseau d'entreprise, donc pas soucis

"O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sonomec.local 
O17 - HKLM\Software\..\Telephony: DomainName = sonomec.local 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1706A8E-3B59-418B-AC2E-1F93408CE6E6}: NameServer = 10.0.0.100 "

******
IEXPLORE.EXE  en majuscule n'est pas identique à explore.exe 
mais tu as raison de t'en méfier c'est un ver apparenté virus 

https://www.broadcom.com/
https://www.auditmypc.com/explore.asp

comment l'éliminer : 
https://www.broadcom.com/support/security-center

R

Redbart · Answer

ok, mets en résolu, si c'est bon pour toi
n'oublie pas que c'est à toi de faire la màj et les scans avec l'antivirus sur ton poste à mois que ce soit planifiable, les admin. ne l'explique pas aux endusers

vérifie si les accès ci après sont compatible avec ton contrat de travail avant d'en reporter au net superviser
(Virtools WebPlayer Class)
(Flash Casino Helper Control) 
Veoh Browser Plug-in

fredbull · Answer

pas resolu..;toujours present sauf que maintenant j'ai un acces admin...
toujours preneur de conseils SVP
je precise que le processus est ecrit en minuscules.

fredbull · Answer

j'oubliais,comment faire pour virer 
(Virtools WebPlayer Class) 
(Flash Casino Helper Control)
merci

Redbart · Answer

si t'as un accès admin ,utilise mbam
as tu fait un scan complet avec l'antivirus à jour?

la suppression des toolbars non infectieuses se fait par le panneau de config : ajout supp. de programmes

pour les activex qui doivent être lié à veoh, la suppression est assez compliquée : 
https://support.microsoft.com/fr-fr/help/154850

fredbull · Answer

salut a tous et en particulier a redbart.
voila le log de mbam:

Malwarebytes' Anti-Malware 1.36
Database version: 1951
Windows 5.1.2600 Service Pack 2

09/04/2009 10:02:24
mbam-log-2009-04-09 (10-02-18).txt

Scan type: Full Scan (C:\|)
Objects scanned: 145279
Time elapsed: 48 minute(s), 1 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\F2xlVN6X.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\maXIimAi.exe.a_a (Trojan.Agent) -> No action taken.



alors???
que dois-je faire?

Virus IEXPLORE.EXE???

10 réponses

Discussions similaires

Newsletters