Clicker.Y et autres
Fermé
mutine-athess
-
26 nov. 2004 à 22:40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 27 nov. 2004 à 00:41
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 27 nov. 2004 à 00:41
7 réponses
reBonsoir à tous...pardon probleme de manip!!
Suite a des ralentissements plus que suspects de notre ordi (pourtant amd 3400+!!! et disque tout neuf et presque vide!!!!) on fait une analyse avec panda en ligne... Il detecte clicker.Y et nous dit qu'il l'a desinfecté oki.. mais bon voilà que ça continue... on passe spyboat qui detecte alexa related, on nettoye.. au redemarrage (laborieux) il nous dis ne pas pouvoir demarrer un certains clfmon.exe... bon là on fait un truc on aurait po du pi tet... on enleve cflmon.exe et ces clefs dans le registre .. redemarrage.. idem et le fichier a réapparu !!!
Bon on fait un RAV en ligne resultat...
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\EXPLOIT[1].CHM->/exploit.htm->(SCRIPT0000) - JS/Psyme.AC.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\main[1].chm->/main.htm->(EncScript) - JS/Psyme.F* -> Suspicious
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\main[1].chm->/main.htm->(SCRIPT0000)->(EncScript) - JS/Psyme.F* -> Suspicious
c:\WINDOWS\Temporary Internet Files\Content.IE5\KD6VGDE7\partner[1].hta->(SCRIPT0001)->(EncScript) - VBS/Inor.V.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\K60P8AS3\msits[1].exe - Backdoor:Win32/Padodor.AG.dam#2 -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\S74HY1KV\EXPLOIT[1].CHM->/exploit.htm->(SCRIPT0000) - JS/Psyme.AC.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\S74HY1KV\partner[1].hta->(SCRIPT0001)->(EncScript) - VBS/Inor.V.gen* -> Infected
et puis aussi un scan HijackThis
Logfile of HijackThis v1.98.2
Scan saved at 22:34:12, on 26/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PXHPING.EXE
\\SANDRA\DOC SANDRA\HIJACKTHIS.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\SYSTEM\MSACMX.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AMD PowerNow!] "C:\Program Files\AMD\Cool'n'Quiet\GemBack.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DLLHOSTXP.EXE] DLLHOSTXP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.makechoice.com/tds/files/galls.php
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
alors , on fait koi maintenant?? s'il vous plait HELP.....
Merci...
Suite a des ralentissements plus que suspects de notre ordi (pourtant amd 3400+!!! et disque tout neuf et presque vide!!!!) on fait une analyse avec panda en ligne... Il detecte clicker.Y et nous dit qu'il l'a desinfecté oki.. mais bon voilà que ça continue... on passe spyboat qui detecte alexa related, on nettoye.. au redemarrage (laborieux) il nous dis ne pas pouvoir demarrer un certains clfmon.exe... bon là on fait un truc on aurait po du pi tet... on enleve cflmon.exe et ces clefs dans le registre .. redemarrage.. idem et le fichier a réapparu !!!
Bon on fait un RAV en ligne resultat...
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\EXPLOIT[1].CHM->/exploit.htm->(SCRIPT0000) - JS/Psyme.AC.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\main[1].chm->/main.htm->(EncScript) - JS/Psyme.F* -> Suspicious
c:\WINDOWS\Temporary Internet Files\Content.IE5\QXEFADGR\main[1].chm->/main.htm->(SCRIPT0000)->(EncScript) - JS/Psyme.F* -> Suspicious
c:\WINDOWS\Temporary Internet Files\Content.IE5\KD6VGDE7\partner[1].hta->(SCRIPT0001)->(EncScript) - VBS/Inor.V.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\K60P8AS3\msits[1].exe - Backdoor:Win32/Padodor.AG.dam#2 -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\S74HY1KV\EXPLOIT[1].CHM->/exploit.htm->(SCRIPT0000) - JS/Psyme.AC.gen* -> Infected
c:\WINDOWS\Temporary Internet Files\Content.IE5\S74HY1KV\partner[1].hta->(SCRIPT0001)->(EncScript) - VBS/Inor.V.gen* -> Infected
et puis aussi un scan HijackThis
Logfile of HijackThis v1.98.2
Scan saved at 22:34:12, on 26/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PXHPING.EXE
\\SANDRA\DOC SANDRA\HIJACKTHIS.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\SYSTEM\MSACMX.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AMD PowerNow!] "C:\Program Files\AMD\Cool'n'Quiet\GemBack.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DLLHOSTXP.EXE] DLLHOSTXP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.makechoice.com/tds/files/galls.php
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
alors , on fait koi maintenant?? s'il vous plait HELP.....
Merci...
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
26 nov. 2004 à 23:10
26 nov. 2004 à 23:10
salut
demarre en mode sans echec
relance hj coche et fix ceci
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.makechoice.com/tds/files/galls.php
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
----------
redemarre
utilise tu adaware si non
telecherge le et utilise le
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
-------
vide ton cache inetrnet
A faire hors connection
tu click sur demarrer/panneaux de configuration/option internet
une fenetre s ouvre tu click sur supprime les fichiers
une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok
la chasse et le balltrap ma vrai passion
voir site perso dans profil
demarre en mode sans echec
relance hj coche et fix ceci
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.makechoice.com/tds/files/galls.php
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
----------
redemarre
utilise tu adaware si non
telecherge le et utilise le
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
-------
vide ton cache inetrnet
A faire hors connection
tu click sur demarrer/panneaux de configuration/option internet
une fenetre s ouvre tu click sur supprime les fichiers
une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok
la chasse et le balltrap ma vrai passion
voir site perso dans profil
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
26 nov. 2004 à 23:32
26 nov. 2004 à 23:32
je pense que tu te trompe d orthographe
c est spybot et avec adaware ils sont complementaire
la chasse et le balltrap ma vrai passion
voir site perso dans profil
c est spybot et avec adaware ils sont complementaire
la chasse et le balltrap ma vrai passion
voir site perso dans profil
heu juste.. je suis sous win98SE, je redemarre comment en mode sans echec??
pardon c'est tard mdrrrr j'ai le cerveau en panne!!
pardon c'est tard mdrrrr j'ai le cerveau en panne!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
26 nov. 2004 à 23:54
26 nov. 2004 à 23:54
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
la chasse et le balltrap ma vrai passion
voir site perso dans profil
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Resultat apres les différentes opérations ...
avec RAV...
Scan started at 27/11/04 00:29:26
Scanning memory...
Scanned
============================
Objects: 9291
Directories: 933
Archives: 189
Size(Kb): -1327903
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 27
Merci beaucoup balltrap34!!!!!
avec RAV...
Scan started at 27/11/04 00:29:26
Scanning memory...
Scanned
============================
Objects: 9291
Directories: 933
Archives: 189
Size(Kb): -1327903
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 27
Merci beaucoup balltrap34!!!!!
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
27 nov. 2004 à 00:41
27 nov. 2004 à 00:41
oki plus de virus
ta connection marche bien j espere
la chasse et le balltrap ma vrai passion
voir site perso dans profil
ta connection marche bien j espere
la chasse et le balltrap ma vrai passion
voir site perso dans profil
