explorer.exe plante+pages internet pc infecté Résolu/Fermé

Question

Bonjour,
Bonne année a tous d'abord :) 
Ca fait un bon moment qu'il ne m'etait rien arrivé... La nouvelle année faut croire. 
Bon, je fais le point, je suis sous XP, j'ai Avast4, Zone Alarm, Ad-Aware SE personal, CWShredder, Hijackthis, Spybot S&D, AVG Anti spyware, CCleaner... J'ai tout passé, j'ai vu que des fichiers .exe s'etaient invités dans C:\Documentsand settings\Moi, je les ai virés. , puis j'ai parcouru un peu les sujets semblant me concerner parce que je n'arrivais a rien, j'ai passé Fixewareout, Navilog1 et SDFix. 

Maintenant, mes problemes concretement. 
j'utilise tres souvent le raccourci ctrl+w pour fermer mes pages, actuellement, de facon assez aleatoire, quand je le fait ou que je clique sur la croix pour fermer une fenetre, explorer.exe plante (la barre d'outils en bas de l'ecran disparait ; parfois elle revient, parfois je suis obligé de passer par le gestionnaire de taches ( executer explorer.exe). 
Depuis hier, des pages internet s'ouvrent quand je surfe, 888casino, et plus generalement des pages pc security, fenetre IE petit format, milieu d'ecran, avec ok ou annuler comme choix pour cliquer. message, votre pc est infecté, nous pouvons vous aidez avec pc chose etc. 
Voila, j'attends vos instructions...  
Merci de voter aide !

jeanle23 · Answer

Je vous mets deja un log d'hijack... 
Logfile of HijackThis v1.99.1
Scan saved at 22:15:11, on 12/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\HijackThisv.1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [b0c954d2] rundll32.exe "C:\WINDOWS\System32\qqoghfwb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jeanle23 · Answer

Log Navilog1... 
Search Navipromo version 3.4.0 commencé le 12/01/2008 à 22:22:52,41

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\jean-balthazar\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\jean-balthazar\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\jean-balthazar\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\jean-balthazar\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\llllm.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 12/01/2008 à 22:27:20,32 ***

jeanle23 · Answer

EUh, la je seche, j'ai passé toute la journée a repasser tous mes outils en mode sans echec. Le probleme persiste. 
Faut-il que je formate ? Si oui, de trois manip. sur comment faire ? Peut-etre repare explorer.exe et internet explorer avec le cd windows ? 
Merci.

jeanle23 · Answer

toujours personne ?

jeanle23 · Answer

Alors, bien qu'ayant été un peu seul sur ce coup... Je peux dire que je me suis debarassé enfin de mon ou mes problemes. 
En fait il etait du a un cheval de troie, Vundo.DVE. Trouvé dans un premier temps par Bitdefender avec son scan en ligne, (merci et bravo) parce que mon avast n'a rien vu. 
J'ai passé tous les outils fournis sur ce forum, (merci les autres discussions) a savoir, FixVundo, VundoFix, VirtuaBeGone et combofix. 
Vundofix a trouvé des choses interessantes, les a supprimés en partie, sauf une dll impossible a supprimer. Entre temps, (je vous raconte un peu ma vie en passant) apres un reboot a partir du mode sans echec (F8), l'ordi demarrait et me demandait un mot de passe pour ouvrir ma session (+ celle Administrateur histoire de me faire palir devant l'ecran de mon ordi) ; le truc c'est que je n'ai jamais mis de mot de passe !!!!! Et allez faire avaler ca ici pour essayer de reouvrir votre session... Ceci dit, je comprends tres bien que de tels conseils ne peuvent pas etre donné sur le net.  
Bloqué, on l'a craqué pour moi, j'ai pu sauvegarder les derniers trucs importants, pour ensuite me reattaquer au probleme. 
1, j'ai viré spybot, pas de chance avec lui, a chaque installation, que des merdes qui ont suivis. 
2, viré AVspyware (J'ai Ad-Aware SE ca suffit)
3, viré avast4
4, installé AntiVir, un anti-virus proposé sur ce forum aussi :)
5, passé Hijackthis, Vundoscan (Hijack renommé, une petite astuce trouvée ici meme !) et AntiVir. 
De suite, il m'a detecté Vundo et ma fameuse dll infectée. Vundoscan la voit mais apres avoir essayé de fixer cette BHO, elle revient inlassablement...
impossible a supprimer, mais renommination en mllll.VIR (au lieu de mllll.dll) , mise en quarantaine par AntiVir...
Scan compet de l'ordi, plusieurs dll trouvées, dans restore plus mllll.dll AntiVir m'a tout simplement proposé de palier cette suppression impossible par une action au redemarrage. 
Et bingo, plus rien. Donc, pas besoin de reinstaller ou formater mon pc, j'ai pu tout sauvegarder au cas ou quoi que ce soit revient, ou si je n'arrivais pas a virer vundo. 
Donc pour resumer, pour en finir avec Vundo, AntiVir. les gars (Et avast a la poubelle ! Sur l'ordi de ma copine, il a quand meme reussi a nous sortir la fameuse "la base de données a été mise a jour" sans etre connecté a internet... Il est tres fort)

Explorer.exe plante+pages internet pc infecté

5 réponses