Xp Pro plante (bndmod.exe / clicker.fr)

Cycolool -  
 Utilisateur anonyme -
Bonjour,
et merci de me lire.
Voilà, il y a 2 jours en surfant le net, AVG me signale le virus Trojan Horse Clicker.fr sur le fichier bndmod.exe (il n'a rien pu faire car le fichier était utilisé par le système...) Au redemarrage, windows s'ouvre correctement puis 2 seconde après tout se fige, je peux bouger la souris mais sur la barre des tâches le petit sablier apparait et je ne peux cliquer sur rien! J'ai 2 sessions différentes sur XP Pro, idem pour les 2, mais voilà que meme en mode sans échec le phénomène se répète......, sauf en mode administrateur (qui n'est séléctionnable qu'en mode sans échec).
J'ai lancé spybots, adware, avg, fais un log avec hijackthis (supprimé les lignes douteuses déclarées par www.hijacthis.de) j'ai tout nettoyé et relancé l'ordi mais rien de changé... J'ai essayé un récupération système, quedalle. Que faire (si ce n'est récupérer mes fichiers en mode admin, formater et reinstaller).
Merci à bientôt

56 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par Trojan Horse Clicker.fr est signalée, le fichier bndmod.exe étant identifié par l’antivirus et provoquant le gel du système peu après le démarrage sur deux sessions XP Pro.
Plusieurs réponses évoquent le démarrage en mode sans échec avec prise en charge réseau, l’usage de outils antispyware et les nettoyages via HijackThis, SmitfraudFix ou l2mfix pour rétablir le poste.
Des pistes techniques évoquent des modifications de serveurs DNS (pistes O17) et des comportements associés à explorer.exe qui peuvent bloquer l’affichage de la barre des tâches et nécessiter une désactivation manuelle.
Pour finir, une nuance utile est l’identification d’un problème mêlant infection et dysfonctionnement d’explorer.exe, qui peut imposer une restauration système avancée et une vérification matérielle du disque dur.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cycolool
     
    J'ai oublié de vous dire que je peux quand même activer le gestionnaire des tâches (avec ctrl+alt+suppr) - et donc avoir accès a la commande executer (msconfig marche par exemple mais je ne peux lancer aucune application - explorateur ou autre...)
    Voilà
    0
  2. Utilisateur anonyme
     
    salut
    dur dur mais colle le hijack this ici stp

    a+
    0
  3. cycolool
     
    merci de te pencher sur mon cas
    Logfile of HijackThis v1.99.1
    Scan saved at 22:59:00, on 09/11/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Divers\Ad-Aware\Ad-Aware.exe
    C:\Divers\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Divers\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
    O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4404F8FA-6AC7-4439-8577-407EEA581A96}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{52B01D61-690B-459A-9784-F2411477BF55}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{949AD57D-9C27-4CAB-87EC-ED6768D315E8}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9F011A29-7881-4635-B6F9-BA24D1BFDFB5}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CE75C525-E30D-4C87-B1DD-DC32A6343919}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E514DC3F-3BAA-4041-A8FD-E73C6F022EF8}: NameServer = 85.255.115.107,85.255.112.77
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  4. Utilisateur anonyme
     
    salut
    fixe ceci
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4404F8FA-6AC7-4439-8577-407EEA581A96}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{52B01D61-690B-459A-9784-F2411477BF55}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{949AD57D-9C27-4CAB-87EC-ED6768D315E8}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9F011A29-7881-4635-B6F9-BA24D1BFDFB5}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CE75C525-E30D-4C87-B1DD-DC32A6343919}: NameServer = 85.255.115.107,85.255.112.77
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E514DC3F-3BAA-4041-A8FD-E73C6F022EF8}: NameServer = 85.255.115.107,85.255.112.77

    **
    Pourquoi n as tu pas mis ton antivirus au demarrage de ton pc?

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cycolool
     
    Ca y est c'est fixé mais aucunn changement
    mon antivirus ne serait pas ca alors:

    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    Juste pour info ceci est un log fais en mode sans echec sur administrateur (peut-etre que avg ne se lance pas dans ce cas-ci).
    Nouveau soucis, le mode administrateur en sans echec ne fonctionne plus non plus (depuis que j'ai utilisé ccleaner....)
    Je n'ai donc plus accès du tout a mon ordi... ca sent le formatage pour bientot! Je pense prendre mon disque dur aller chez un pote récupperer les données et tout réinstaller au propre....
    0
  7. Utilisateur anonyme
     
    salut
    un hijack this se fait toujours un MODE NORMAL !
    Recommence en me mettant le rapport en mode normal stp

    a+
    0
  8. cycolool
     
    je le sais bien, mais le soucis c'est qu'en mode normal (et c'est ca le big pb) mon ordi plante je n'ai accès qu'au ctrl alt supp. tous le reste ne marche plus....
    0
  9. cycolool
     
    + rien ne marche a part ctrl alt supp donc pas d'internet non plus.... snif'
    0
  10. Utilisateur anonyme
     
    salut

    Quand tu redemarre ton pc, choisis le mode sans echec avec prise en charge réseau, tu devrais pouvoir avoir acces au net.

    a+
    0
  11. Utilisateur anonyme
     
    Tu as essayer une restauration systeme par le mode sans echec?

    a+
    0
  12. cycolool
     
    oui ca aussi n'est pas concluant.. mais ca y est j'ai repérer la panne!!!!!!
    En fait c'est explorer qui plante.... donc ctrl alt suppr, je termine le processus explorer.exe: je perds ma barre des taches mais je peux executer toutes mes applications (grace à fichier - nouvelle tache (executer)
    Je vais donc lancer un hijackthis que je vais poster illico...
    a tout de suite
    0
  13. cycolool
     
    donc voila:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:46:41, on 10/11/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Divers\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Internet/Demarrage/Demarrage.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Divers\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    La je viens de lancer un test center avec AVG (on va bien voir)
    0
  14. Utilisateur anonyme
     
    re,
    avec ta manip, t as acces au net alors:
    Lance ce scan en ligne:
    http://www.bitdefender.fr/scan8/ie.html
    Copie/colle le rapport

    ****
    dis moi dans msconfig, onglet demarrgen tout est coche?
    dans onglet genral < demarrage normal est coche?
    dans systeme.ini et win.ini, tout est coche?

    a+
    0
  15. cycolool
     
    dans msconfig, onglet demarrge tout est décoché

    je suis en demarrage sélectif

    dans systeme.ini et win.ini, tout est décoché

    C'est peutetre ca le probleme et non pas un virus car apparait il n'y a plus rien de vérolé dans ma machine (rien pour spybots, ni pour ad adware et toujours rien pour avg - le scan n'est toute fois pas fini)

    Par contre pas de net:
    je suis sous wifi de cegetel quick access se lanece, agent wifi détecte bien le périphérique mais internet explorer ne trouve pas de connexion!...
    0
  16. cycolool
     
    ca y est mon agent wifi fait enfin son boulot, j'ai internet , j'ai lancé le scan de bitdefender : il m'annonce près de 2h de scan......mais est-ce vraiment la peine ou est-ce que msconfig est tout simplement mal configURER!...
    0
  17. Utilisateur anonyme
     
    salut

    recoche tout dans systeme.ini et win.ini et remet toi en demarrage normal puis redemarre le pc et reposte un hijack.

    a+
    0
  18. Utilisateur anonyme
     
    salut moe,
    ouf je crois que la solution pour l acces au bureau est la !!
    je penses que parfois clean up decoche tout ce qui figure la dedans non?

    a+
    0
  19. Utilisateur anonyme
     
    je crois pas, Cycolool dit l'avoir fait lui même..
    0
  20. Utilisateur anonyme
     
    re Olivier ;-)
    je n ai pas vu l enoncer...pas grave...
    Plaisir de te voir en tout cas moe !
    0
  • 1
  • 2
  • 3