HijackThis - explorer.exe

[Tuf]

Bonjour a tous !

 

Je suis en quete d'une info.

Contexte : sollicité pour eradiquer le virus click me, j'ai arpenté ce fabuleux site et en suivant vos conseils précieux j'y suis arrivé ! merci a tous

Sollicité une deuxieme fois pour la meme raison, les choses se sont beaucoup plus mal passée ! Je me suis trouvé confronté à 2 problémes.

1) impossible de lancer hijackthis qui se ferme immédiatiement en affichant une boite de dialogue me disant que mon pc est bien débarassé de tout virus spyware...

2) impossible de demarrer le PC en mode sans echec explorer.exe se refermant apres qq secondes !

 

j'avais beau par l'intermediaire du gestionnaire de tache relancer explorer.exe rien ne se passait ! au bout de 2 ou trois relance j'avais à peine une minute parfois pour ouvrir l'explorateur et effacer certains repertoires temporaire. Ce n'est qu'au bout d'un centaine de relance manuelle de explorer.exe que je suis arrivé a effacer tout les fichiers supects (en etant assez rapide j'avais reussi a obtenir le fichier de log de HJT avant qu'il ne se referme.

 

Voila alors j'ai recuperer 2 log hijackthis de la machine infecté et j'aimerais savoir si qq pouvais y jeter un oeil pour me dire quel outils employer pour eviter 6h de galère a nouveau !

 

Merci d'avance Tuf

 

PS : post des log sur demande !! je ne veux pas polluer le forum pour rien ))

Modifié le 26 mai 2005 par Tuf

[chercheur]

Bonjour,

 

Bienvenu sur Zebulon

 

Je pense qu'il faut poster les deux rapports HijackThis pour que l'on puisse voir l'évolution.

Essaye de nous dire ce que tu as fait entre les deux, car quand des éléments manquent, cela peut fausser l'analyse.

 

Essaye d'abord cet utilitaire FixSwen de Network Associates -McAfee- http://download.nai.com/products/mcafee-avert/Fixswen.inf

Installe le sur le bureau.

Il est employé pour remettre en place (dans la base de registres) les associations relatives à l'exécution des fichiers exécutables (.exe, .com, .bat, .reg, etc.) altérées par le malware Swen pour paralyser le système.

Il s'agit d'un fichier .INF : clic droit / Installer

Il n'y a aucun danger à le lancer même sur un système non infecté.

[Tuf]

Merci chercheur pour ta réponse

bon je vais te mettre le plus vieux des HJT.

je suis arrivé a priori a éradiquer le pb ! mais je ne sais pas comment !

je n'ai utilisé que adaware SE et conter spy et surtout les conseils de ce site !!

ma requete et plus pour identifier le mal au cas ou il se reproduise afin de ne pas passer des heures a relancer 100 fois explorer et pour eviter surtout que hijackthis soit fermer par un spyware malin qui le détecte et l'empeche de fonctionner !!

voila le log

 

Logfile of HijackThis v1.99.1

Scan saved at 16:39:10, on 05/26/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Propriétaire\Mes documents\hijackthis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Fonts\diskfax.dll

O2 - BHO: (no name) - {4DF03C2C-EF1E-099B-8252-12557ED92F18} - C:\WINDOWS\System32\wrksdtk.dll (file missing)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [win updates] wugrds.exe

O4 - HKLM\..\Run: [ SystemBoot] C:\WINDOWS\Help\Help\services.exe

O4 - HKLM\..\Run: [bDMCon] c:\PROGRA~1\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] c:\program files\bitdefender free edition\bdnagent.exe

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Counter Spy\sunasDTServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Counter Spy\sunasServ.exe

O4 - HKLM\..\RunServices: [win updates] wugrds.exe

O4 - HKLM\..\RunOnce: [ SystemBoot] C:\WINDOWS\Help\Help\services.exe %1

O4 - HKCU\..\Run: [win updates] wugrds.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab30149.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0839fc255d2f3f...RdxIE601_fr.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab28578.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O20 - Winlogon Notify: diskfax - C:\WINDOWS\Fonts\diskfax.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Tuf]

je precise avoir eradiquer 50 virus et 640 spyware avant cela !!!

je n' ai pas utiliser tous les outils que recommandé par le site mais 2 antivirus et 2 anti spyware seulement !

Tous les conseils du site sont géniaux quand HJT se lance et qu'on peut faire des manip en mode sans echec ! mais là les deux ne fonctionnaient pas ! ((

[Tuf]

je rajouterais enfin qu'a priori j'ai réussi a rendre ce PC clean ! mais je ne sais pas comment !!! parce que 5h de manip et de destruction diverses, c'est difficile a s'en souvenir ! bon ok il y avait le virus click me présent mais je doute que cela soit de son ressort ! (je me trompe peut-être mais comme j'ai déjà pu auparant m'en débarasser s'en avoir ces mêmes problèmes !!)

 

Si tu veux je te poste mon deuxieme log HJT

mais merci encore pour le precedent lien fourni !!

[chercheur]

Re,

 

Si tu n'as plus de problème, vérifie que ces fichiers ont bien été supprimés, sinon fais le:

 

C:\WINDOWS\Fonts\diskfax.dll

wugrds.exe --> Fais une recherche sur l'ordinateur pour trouver sa localisation.

C:\WINDOWS\Help\Help\services.exe

 

Et si tout fonctionne maintenant, fais un scan en mode normal , et poste le.

[Tuf]

bonjour !

désolé j'ai pas pensé a faire un scan un fois le PC denouveau stable...

mais j'ai eu du mal avec diskfax.dll qui est detecté comme contenant un virus mais qui ne se trouve pourtant pas dans le repertoire \fonts\...

 

Je te remercie pour ton support, mais tu n'as pas identifié alors celui qui causait la fermeture de HJT et empechait le mode sans echec ?

 

C'est fut surtout ca le gros probleme, parce qu'une fois ouvert c'est déjà nettement plus simple ! encore faut-il pouvoir lancer le scan et que HJT rest ouvert pour fixer les mauvaises lignes...

 

En tout cas merci encore

Tuf

[chercheur]

Bonjour,

 

Je te remercie pour ton support, mais tu n'as pas identifié alors celui qui causait la fermeture de HJT et empechait le mode sans echec ?

 

C'est fut surtout ca le gros probleme, parce qu'une fois ouvert c'est déjà nettement plus simple ! encore faut-il pouvoir lancer le scan  et que HJT rest ouvert pour fixer les mauvaises lignes...

Je ne connais pas celui qui te provoquait ces problèmes, mais avec trois infections différentes, cela explique beaucoup de choses.

 

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Fonts\diskfax.dll

O20 - Winlogon Notify: diskfax - C:\WINDOWS\Fonts\diskfax.dll

Cest le Troj/Agent-DJ

http://www.sophos.com/virusinfo/analyses/trojagentdj.html

 

O4 - HKLM\..\RunOnce: [ SystemBoot] C:\WINDOWS\Help\Help\services.exe %1

O4 - HKLM\..\Run: [ SystemBoot] C:\WINDOWS\Help\Help\services.exe

O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services.exe

C'est Email-Worm.Win32.Sober.q

http://www.f-secure.com/v-descs/sober_q.shtml

 

O4 - HKLM\..\RunServices: [win updates] wugrds.exe

O4 - HKLM\..\Run: [win updates] wugrds.exe

O4 - HKCU\..\Run: [win updates] wugrds.exe

C'est WORM_SDBOT.HA

http://dk.trendmicro-europe.com/enterprise...e=WORM_SDBOT.HA

 

Je te conseille de reposter un rapport pour contrôle.

 

Fais aussi une analyse antivirus en ligne sur Panda

http://www.pandasoftware.com/activescan/co...n_principal.htm

Colle son rapport ici.

[Tuf]

Merci pour tous ces renseignements !

Désolé je ne pourrais pas reposter de scan ce n'est pas mon PC !!!

Je ne vais pas t'embeter plus longtemps j'ai pu aussi indentifier ces intrus grace aux base de tonyklein entre autre !! mais tout cela une fois HJT lancé !!

Mais pour l'instant sans HJT ni mode sans echec et surtout sans identification du fautif ca vas être dur de trouver l'outil pour contrecarrer le fautif...

Surtout si il ferme aussi l'outil en question si ce dernier existe....

JE te remercie pour tes infos... et surtout les liens !

Tuf

Modifié le 27 mai 2005 par Tuf