Detournement des appels a explorer.exe et iexplore.Exe

[guig17]

Bonjour,
Suite a des virus detectés par avg7 j'ai un problème de demarrage
de windows XP.

LE demarrage se passe normalement, je me connecte sous mon compte
utilisateur, chargement des paramètre puis le chargement du bureau
s'arrete a l'image de fond, et j'ai la main sur la souri. Pas d'icones,
pas de barre des taches, rien d'autre que l'image de fond et pas de
message d'erreur.

Je peux malgrè tout lancer les applications par le gestionnaire des
taches en utilisant la commande Nouvelle tâche (executer) du menu
fichier, puis en faisant parcourir pour aller chercher l'executable de l'application voulue. Sauf explorer.exe et iexplore.exe qui aboutissent direct au message d'erreur suivant :

"Windows ne trouve pas c:\windows\explorer.exe. Vérifiez que vous avez
entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquez sur etc etc"

Etrange puisque les fichiers explorer.exe et iexplore.exe sont bien presents sur le disque et que je vais les cherches par parcourir.

J'ai tout essayé, reinstalle par winnt32/unattend, sfc /scannow, extraction de certains fichiers par expand a partir du cd (shell32, rundll, taskmgr, iexplore et explorer), mode sans echec ui n'abouti pas non plus, pas de point de restauration dispo ça va de soit, msconfig, menage par regedit dans les clés run,....

Je ne sais plus quoi faire et j'aimerai eviter la reinstalle complète avec formatage.

Information importante et qui me fait penser que c'est un virus :
Si je fais une copie de iexplore.exe et que je la renomme sous un nom different, en lançant ce nouveau fichier manuellement par fichier, Nouvelle tache du gestionnaire de taches, il s'execute normalement!!

J'ai donc l'impression qu'un virus detourne les appels à ces deux programmes en se basant sur leur nom. Mais avg ne voit rien, secuser en ligne non plus.

Quelqu'un a t'il une idée qui pourrait m'aider?

Par avance merci a vous tous.

 

[magellan]

Le problème est que ce genre de truc vicieux s'amuse gentiment à tromper l'antivirus en se servant de l'activité du système à ses dépends... Fais un hijackthis pour identifier les processus ainsi que les clés de registres actives, puis colle ici le log de résultat pour qu'on puisse le décortiquer avec toi.

 

[guig17]

Merci beaucoup à toi de me proposer ton aide, je viens de
telecharger hijackthis et voici le resultat :

Logfile of HijackThis v1.99.1
Scan saved at 17:53:15, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Exploker.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\EasyPHP\easyphp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Program Files\Internet Explorer\IEXPLu.EXE
C:\Program Files\Internet Explorer\IEXPLu.EXE
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
F2 - REG:system.ini: Shell=Exploker.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {7F4198F1-B5DC-415D-A55C-A8D70C64E7A5} - C:\WINDOWS\lbbho.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Go!Zilla\GoIEHlp.dll (file missing)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [EasyPhp] C:\Program Files\EasyPHP\easyphp.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: bourse.txt.lnk = C:\Documents and Settings\Guillaume\Bureau\bourse.txt
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi Visio\allocam.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Interface Chat Wanadoo -

Vous devez être connecté pour voir les liens.

O16 - DPF: teleir_cert -

Vous devez être connecté pour voir les liens.

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

Vous devez être connecté pour voir les liens.

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -

Vous devez être connecté pour voir les liens.

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C43CAB-403F-49C0-8973-DB4A8E42E2A6}: NameServer = 212.27.32.176 212.27.39.1
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EasyPHP\Apache\apache.exe" --ntservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: MySql - Unknown owner - c:\progra~1\easyphp\mysql\bin\mysqld-nt.exe

J'espère que cela va aider à trouver une solution.

Encore merci et bonne soirée

 

[guig17]

Une petite précision j'ai oubliée, sur le log d'hijackthis,

Dans les running processes,
C:\WINDOWS\Exploker.exe est normal c'est la copie que j'ai fait du fichier explorer.exe pour que le bureau apparaisse. J'ai modifiée la clé shell de hklm\\\\winlogon avec ce nom de fichier pour qu'il me charge le bureau au demarrage. pas top mais en depannage ça fonctionne.

Idem pour IEXPlu.Exe, c'est la copie d'iexplore.exe que j'utilise pour venir ici

 

[gambit]

Vous devez être connecté pour voir les liens.

 

[poulpy2]

http://hijackthis.de

Salut à toi ! J'aurais besoin de tes lumières informatiques please.
Lorsque mon ordi s'allume, ce msg s'affiche : erreur d'application explorer.exe
Voici mon hijack, d'avance merci pour ton aide :


Logfile of HijackThis v1.99.1
Scan saved at 16:41:52, on 25/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Vous devez être connecté pour voir les liens.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ppwork\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Startup Manager Scanner] D:\Startup Mechanic\StartupScanner.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [AAW] "C:\ppwork\AD-AWA~1\AD-AWARE.EXE" "+b1"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\ppwork\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Spyware-Cop] "C:\PROGRA~1\SPYWAR~1\Spyware-Cop.exe" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ppwork\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) -

Vous devez être connecté pour voir les liens.

O20 - Winlogon Notify: style32 - C:\WINDOWS\
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

A plus/