DLL ancrée sur explorer.exe et winlogon.exe

DLL ancrée sur explorer.exe et winlogon.exe - Virus/Spywares - Windows & Software

Marsh Posté le 07-02-2008 à 05:41:22    

Bonjour messieurs!
 
Hier soir, alors que je surfais tranquillement sur des sites toujours connu, où je vais au moins une fois à chaque jour et après avoir regardé eMule et l'avoir remis dans son enclot (systray), je me suis sournoisement fait attaqué par 2-3 virus et spyware. Bon, jusqu'à présent j'ai réussi à presque tout enlevé, sauf 7 clés registre trouvé par SpySweeper et une DLL (C:\WINDOWS\system32\fccbxyw.dll) - le reste,. Les clés registre ont l'air ... ok, bien que je voudrais bien les enlevé. Le problème, c'est cette DLL qui est ancré dans explorer.exe (ça peut toujours aller) et dans winlogon.exe. Ce dernier, dès qu'il est fermé, au mieux ça résulte en un bluescreen.
 
La question est la suivante : comment s'y prendre pour détruire cette %&*/$" de DLL à la con? J'ai passé la moitié de la journée en safemode (XP Pro SP2 soit dit en passant) à scanner avec l'anti-virus en ligne de F-Secure, j'ai pas encore essayé Trendmicro/Housecall. De ce que j'ai pu lire, ce n'est pas Vundo/Virtumonde, bien qu'il ait été détecté précédemment. Honnêtement, je n'ai aucune idée d'où cette infection peut provenir. J'ai scanné à de multiple reprise avec F-Secure, Ad-Aware, CCleaner, effecé des clés via Registrar Lite (éditeur de base de registre, mieux que celui de Windows). Là, de ce que j'ai vu, il me reste uniquement la DLL et je sens que je suis près du but!
 

Code :
  1. Logfile of HijackThis v1.99.1
  2. Scan saved at 00:01:15, on 06/02/2008
  3. Platform: Windows XP SP2 (WinNT 5.01.2600)
  4. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  6. Running processes:
  7. C:\WINDOWS\System32\smss.exe
  8. C:\WINDOWS\system32\winlogon.exe
  9. C:\WINDOWS\system32\services.exe
  10. C:\WINDOWS\system32\lsass.exe
  11. C:\WINDOWS\system32\Ati2evxx.exe
  12. C:\WINDOWS\system32\svchost.exe
  13. C:\WINDOWS\System32\svchost.exe
  14. C:\WINDOWS\system32\Ati2evxx.exe
  15. C:\WINDOWS\system32\spoolsv.exe
  16. C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
  17. C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
  18. C:\WINDOWS\system32\PnkBstrA.exe
  19. C:\WINDOWS\system32\svchost.exe
  20. C:\WINDOWS\Explorer.EXE
  21. C:\WINDOWS\system32\wscntfy.exe
  22. C:\WINDOWS\System32\svchost.exe
  23. C:\Program Files\Analog Devices\Core\smax4pnp.exe
  24. C:\WINDOWS\CTHELPER.EXE
  25. C:\Program Files\Logitech\iTouch\iTouch.exe
  26. C:\WINDOWS\system32\ctfmon.exe
  27. C:\Program Files\Logitech\MouseWare\system\em_exec.exe
  28. C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
  29. C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  30. C:\WINDOWS\system32\ICROSO~1\winspool.exe
  31. C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
  32. D:\Iconize\Iconize.exe
  33. D:\No-IP\DUC20.exe
  34. D:\Trillian\trillian.exe
  35. C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
  36. C:\Program Files\Internet Explorer\IEXPLORE.EXE
  37. D:\JGsoft\EditPadLite\EditPadLite.exe
  38. C:\WINDOWS\system32\taskmgr.exe
  39. C:\WINDOWS\system32\rundll32.exe
  40. F:\@Shared Appz\Securite\@SpyEraser\HiJackThis 1.99.1\HijackThis.exe
  42. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.di.fm/calendar/calendar.php?calendar=8
  43. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  44. O1 - Hosts: 205.237.246.251 mercure.clg.qc.ca # mercure
  45. O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  46. O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
  47. O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
  48. O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
  49. O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
  50. O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
  51. O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
  52. O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
  53. O4 - HKLM\..\Run: [84d596e5] rundll32.exe "C:\WINDOWS\system32\hwkloaus.dll",b
  54. O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  55. O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
  56. O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  57. O4 - HKCU\..\Run: [Stoe] "C:\WINDOWS\system32\ICROSO~1\winspool.exe" -vt ndrv
  58. O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  59. O4 - Startup: RABCO - Auto Update.lnk = C:\Program Files\RABCO\RABCOse.exe
  60. O4 - Startup: Trillian.lnk = D:\Trillian\trillian.exe
  61. O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
  62. O4 - Global Startup: Iconize.lnk = D:\Iconize\Iconize.exe
  63. O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  64. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  65. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  66. O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  67. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  68. O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/control [...] oader3.cab
  69. O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
  70. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  71. O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  72. O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
  73. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
  74. O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
  75. O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  76. O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
  77. O23 - Service: Apache Tomcat (Tomcat6) - Unknown owner - D:\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe" //RS//Tomcat6 (file missing)

Reply

Marsh Posté le 07-02-2008 à 05:41:22   

Reply

Marsh Posté le 07-02-2008 à 07:34:23    

Je suis revenu en mode normal, pour tester un peu le système et ça devient finalement de pire en pire. Le système lui-même devient très lourd, explorer.exe plante de temps en temps, des icônes "Protect your computer" et "Windows Update" (loll) viennent d'apparaître sur le bureau et sont recréés la seconde suivant leur suppresion, le système est instable, le kernel sort des erreurs (fake?), et surtout, j'ai un processus plus que bizarre nommé "windows" qui se lance de temps en temps et pas moyen de le fermer via le Task Manager, il s'ouvre la seconde suivante et il occupe entre 700 et 800Mo de mémoire et je n'en ai qu'un giga-octet. J'ai même eu un message du kernel en démarrant en safemode.
 
Bref, ça sent la réinstallation à plein pour moi. Et je ne comprend toujours pas comment j'ai pu attrapé ces cochonneries-là! ... Le seul programme que j'ai installé, c'est "GraphCalc". Un logiciel d'environ 4Mo pris sur Clubic pour dessiner des graphiques de fonction mathématique. Malheureusement, je n'ai pas de point de restauration avant cette mésaventure. Le premier et le seul qui m'est accessible est le 5 février à 22h51. C'est-à-dire environ l'heure à laquelle j'ai été attaqué. Heureusement, j'ai mon laptop et je suis pas mal partitionné sur mon ordi.
 
Par contre, je suis toujours curieux de savoir comment détruire une DLL ancrée sur explorer.exe et winlogon.exe. explorer.exe se ferme facilement, mais pas winlogon.exe qui fait planter tout le système.

Reply

Marsh Posté le 22-02-2008 à 14:24:34    

essaye unlocker mais fait gaffe prend ton temps car si tu te précipite tu peu effacer des fichier vitale

Reply

Marsh Posté le 22-02-2008 à 14:26:31    

Log hijackthis interdits.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed