DLL ancrée sur explorer.exe et winlogon.exe

DLL ancrée sur explorer.exe et winlogon.exe - Virus/Spywares - Windows & Software

Marsh Posté le 07-02-2008 à 05:41:22    

Bonjour messieurs!
 
Hier soir, alors que je surfais tranquillement sur des sites toujours connu, où je vais au moins une fois à chaque jour et après avoir regardé eMule et l'avoir remis dans son enclot (systray), je me suis sournoisement fait attaqué par 2-3 virus et spyware. Bon, jusqu'à présent j'ai réussi à presque tout enlevé, sauf 7 clés registre trouvé par SpySweeper et une DLL (C:\WINDOWS\system32\fccbxyw.dll) - le reste,. Les clés registre ont l'air ... ok, bien que je voudrais bien les enlevé. Le problème, c'est cette DLL qui est ancré dans explorer.exe (ça peut toujours aller) et dans winlogon.exe. Ce dernier, dès qu'il est fermé, au mieux ça résulte en un bluescreen.
 
La question est la suivante : comment s'y prendre pour détruire cette %&*/$" de DLL à la con? J'ai passé la moitié de la journée en safemode (XP Pro SP2 soit dit en passant) à scanner avec l'anti-virus en ligne de F-Secure, j'ai pas encore essayé Trendmicro/Housecall. De ce que j'ai pu lire, ce n'est pas Vundo/Virtumonde, bien qu'il ait été détecté précédemment. Honnêtement, je n'ai aucune idée d'où cette infection peut provenir. J'ai scanné à de multiple reprise avec F-Secure, Ad-Aware, CCleaner, effecé des clés via Registrar Lite (éditeur de base de registre, mieux que celui de Windows). Là, de ce que j'ai vu, il me reste uniquement la DLL et je sens que je suis près du but!
 

Code :
  1. Logfile of HijackThis v1.99.1
  2. Scan saved at 00:01:15, on 06/02/2008
  3. Platform: Windows XP SP2 (WinNT 5.01.2600)
  4. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  5. Running processes:
  6. C:\WINDOWS\System32\smss.exe
  7. C:\WINDOWS\system32\winlogon.exe
  8. C:\WINDOWS\system32\services.exe
  9. C:\WINDOWS\system32\lsass.exe
  10. C:\WINDOWS\system32\Ati2evxx.exe
  11. C:\WINDOWS\system32\svchost.exe
  12. C:\WINDOWS\System32\svchost.exe
  13. C:\WINDOWS\system32\Ati2evxx.exe
  14. C:\WINDOWS\system32\spoolsv.exe
  15. C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
  16. C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
  17. C:\WINDOWS\system32\PnkBstrA.exe
  18. C:\WINDOWS\system32\svchost.exe
  19. C:\WINDOWS\Explorer.EXE
  20. C:\WINDOWS\system32\wscntfy.exe
  21. C:\WINDOWS\System32\svchost.exe
  22. C:\Program Files\Analog Devices\Core\smax4pnp.exe
  23. C:\WINDOWS\CTHELPER.EXE
  24. C:\Program Files\Logitech\iTouch\iTouch.exe
  25. C:\WINDOWS\system32\ctfmon.exe
  26. C:\Program Files\Logitech\MouseWare\system\em_exec.exe
  27. C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
  28. C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  29. C:\WINDOWS\system32\ICROSO~1\winspool.exe
  30. C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
  31. D:\Iconize\Iconize.exe
  32. D:\No-IP\DUC20.exe
  33. D:\Trillian\trillian.exe
  34. C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
  35. C:\Program Files\Internet Explorer\IEXPLORE.EXE
  36. D:\JGsoft\EditPadLite\EditPadLite.exe
  37. C:\WINDOWS\system32\taskmgr.exe
  38. C:\WINDOWS\system32\rundll32.exe
  39. F:\@Shared Appz\Securite\@SpyEraser\HiJackThis 1.99.1\HijackThis.exe
  40. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.di.fm/calendar/calendar.php?calendar=8
  41. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  42. O1 - Hosts: 205.237.246.251 mercure.clg.qc.ca # mercure
  43. O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  44. O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
  45. O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
  46. O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
  47. O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
  48. O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
  49. O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
  50. O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
  51. O4 - HKLM\..\Run: [84d596e5] rundll32.exe "C:\WINDOWS\system32\hwkloaus.dll",b
  52. O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  53. O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
  54. O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  55. O4 - HKCU\..\Run: [Stoe] "C:\WINDOWS\system32\ICROSO~1\winspool.exe" -vt ndrv
  56. O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  57. O4 - Startup: RABCO - Auto Update.lnk = C:\Program Files\RABCO\RABCOse.exe
  58. O4 - Startup: Trillian.lnk = D:\Trillian\trillian.exe
  59. O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
  60. O4 - Global Startup: Iconize.lnk = D:\Iconize\Iconize.exe
  61. O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  62. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  63. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  64. O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  65. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  66. O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/control [...] oader3.cab
  67. O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
  68. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  69. O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  70. O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
  71. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
  72. O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
  73. O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  74. O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
  75. O23 - Service: Apache Tomcat (Tomcat6) - Unknown owner - D:\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe" //RS//Tomcat6 (file missing)

Reply

Marsh Posté le 07-02-2008 à 05:41:22   

Reply

Marsh Posté le 07-02-2008 à 07:34:23    

Je suis revenu en mode normal, pour tester un peu le système et ça devient finalement de pire en pire. Le système lui-même devient très lourd, explorer.exe plante de temps en temps, des icônes "Protect your computer" et "Windows Update" (loll) viennent d'apparaître sur le bureau et sont recréés la seconde suivant leur suppresion, le système est instable, le kernel sort des erreurs (fake?), et surtout, j'ai un processus plus que bizarre nommé "windows" qui se lance de temps en temps et pas moyen de le fermer via le Task Manager, il s'ouvre la seconde suivante et il occupe entre 700 et 800Mo de mémoire et je n'en ai qu'un giga-octet. J'ai même eu un message du kernel en démarrant en safemode.
 
Bref, ça sent la réinstallation à plein pour moi. Et je ne comprend toujours pas comment j'ai pu attrapé ces cochonneries-là! ... Le seul programme que j'ai installé, c'est "GraphCalc". Un logiciel d'environ 4Mo pris sur Clubic pour dessiner des graphiques de fonction mathématique. Malheureusement, je n'ai pas de point de restauration avant cette mésaventure. Le premier et le seul qui m'est accessible est le 5 février à 22h51. C'est-à-dire environ l'heure à laquelle j'ai été attaqué. Heureusement, j'ai mon laptop et je suis pas mal partitionné sur mon ordi.
 
Par contre, je suis toujours curieux de savoir comment détruire une DLL ancrée sur explorer.exe et winlogon.exe. explorer.exe se ferme facilement, mais pas winlogon.exe qui fait planter tout le système.

Reply

Marsh Posté le 22-02-2008 à 14:24:34    

essaye unlocker mais fait gaffe prend ton temps car si tu te précipite tu peu effacer des fichier vitale

Reply

Marsh Posté le 22-02-2008 à 14:26:31    

Log hijackthis interdits.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed