Trojan downloander WMA.Getcodec

maya -  
kduc Messages postés 1537 Statut Membre -
Bonjour,
Depuis hier mon ordinateur avait des disfionnements.J ai fait une analyse avec mon pack sécurité de ma box qui a détecté un virus .J ai supprimé le dossier que je pensais infecté ,refait une nouvelle recherche ,plus rien
J ai fait une restauration du systéme et tout est reparti nickel
Ce mati n j ai fait differente analyses gratuites (je ne sais pas si j ai le droit de citer les noms sans faire de pub)

donc il me retrouve le trojan .J ai un nettoyage aves ccleaner .et reanalyse gratuite avec DR ...pareil .il est encore la.J ai supprimé l element suspect.La je fais une nouvelle recherche avec le DR...
Comment je peux savoir s il est encore dedans selon les differentes analyses ,les résultats sont différents.?
Est trés dangereux comme virus.?Je suis novice en infotmatique.
je vous remercie de l aide et des conseils que vous m apportez
Configuration: Windows XP Internet Explorer 6.0

10 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    kduc, malware, ce fait toujours à la fin d'un désinfection.

    Ensuite maya pourquoi avoir fait une restauration système après avoir supprimé ton virus. Car la restauration système restaure aussi les virus.

    fait ceci :

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller
    1
    1. maya
       
      bonjour mon nom apparait dans les rapports merci quand meme
      0
  2. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    Télécharge, installe et mets à jour Malwarebytes Anti-Malwares
    http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresbytes-anti-malware-352008/messages-1.html puis, lance un scan COMPLET et poste le rapport.

    PS : si MalwareByte's a détecté des infections, clique sur Afficher les résultats,
    puis sur Supprimer la sélection.

    ---
    Ensuite, fais un scan HijackThis :
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ... et poste le rapport.
    0
    1. maya
       
      merci de votre aide
      je vais le faire et je poste les 2 rapports sur le site?
      0
  3. kduc Messages postés 1537 Statut Membre 133
     
    ...

    "malware, ce fait toujours à la fin d'un désinfection. "

    Non. C' est une idée reçue !

    D' autant qu' on peut le passer plusieurs fois lors d' une désinfection ...
    0
    1. maya
       
      mon nom apparait dans les rapports je peux vraiment pas les poster
      merci quand meme
      0
  4. maya
     
    c 'est trés long à faire
    cela craint rien de mettre le rapport sur le net?je ne peux pas le faire autrement?
    pour répondre à primprenelle
    bonjour, j'ignorais que je restaurai les virus , merci maintenant je le sais.....,?
    je viens de terminer l analyse avec malwarebytes , et j ai fait avec hijack un peu de mal tout est en anglais
    je ne suis pas sur de l'avoir fait crrectement
    j ai un disque dur amovible que j ai analysé aussi rapidement avec malwarebyte et il a trouvé de nuisible dedans
    j'essayerai l'autre solution ensuite
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. maya
     
    apres est ce que je dois desinstaller les produits que vous m'avez conseillé?
    des informations tres personnels apparaisse dans les rapports je ne peux vraiment pas le mettre sur le net
    il est tres tres long le rapport de rsit exe
    0
  7. maya
     
    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2584
    Windows 5.1.2600 Service Pack 3

    09/08/2009 15:02:01
    mbam-log-2009-08-09 (15-01-54).txt

    Type de recherche: Examen complet (C:\|E:\|F:\|)
    Eléments examinés: 167255
    Temps écoulé: 1 hour(s), 18 minute(s), 10 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    C:\documents and settings\FREDERIC\local settings\application data\iaeoo.exe (Adware.Navipromo.H) -> No action taken.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iaeoo (Adware.Navipromo.H) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\agoekmc_navps.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\agoekmc_nav.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\agoekmc.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\iaeoo_navps.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\iaeoo.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\FREDERIC\Local Settings\Application Data\iaeoo.exe (Adware.Navipromo.H) -> No action taken.
    C:\System Volume Information\_restore{7F3AEC36-AF14-44DE-B95C-00ABEFA934F8}\RP124\A0018629.exe (Adware.NetPumper) -> No action taken.
    C:\System Volume Information\_restore{7F3AEC36-AF14-44DE-B95C-00ABEFA934F8}\RP132\A0023402.exe (Adware.NetPumper) -> No action taken.
    C:\System Volume Information\_restore{7F3AEC36-AF14-44DE-B95C-00ABEFA934F8}\RP133\A0024473.exe (Adware.NetPumper) -> No action taken.
    0
  8. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Puis, double-clique sur Navilog1.exe pour le démarrer.
    (clic droit > Exécuter en tant qu’ administrateur, si tu es sous Vista)

    Laisse-toi guider et appuie sur une touche quand on te le demande.

    Au menu principal, choisis 1 et valide.

    < Ne fais pas le choix 2 >

    Patiente le temps du scan.
    Il te sera peut-être demandé de redémarrer le PC.
    Laisse l'outil le faire ; sinon, redémarre le PC normalement
    si demandé.

    Patiente jusqu'au message "Scan terminé le......"
    Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
    Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

    PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

    ---
    Fais ce scan en ligne : http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Clique sur J' accepte > Démarrer l' analyse, etc ...

    Une fois le scan achevé, sauvegarde le rapport et poste-le.

    Tuto : https://forum.pcastuces.com/default.asp

    PS : désactive ton antivirus le temps du scan ...

    ---
    Fais un scan HijackThis :
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ... et poste le rapport.
    0
  9. maya
     
    bonjour
    j ai fait une analyse avec navilog mais j ai perdu le rapport.Je l ai fermé et meme en fesant une recherche
    je ne le retrouve plus.Desole je suis nulle.Big defender ne veut pas marcher et ca me marque :impossible pack2
    detecté et dans la barre installer active X
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:59:58, on 11/08/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\SFR\Pack Sécurité\Anti-Virus\fsgk32st.exe
    C:\Program Files\SFR\Pack Sécurité\Common\FSMA32.EXE
    C:\Program Files\SFR\Pack Sécurité\Anti-Virus\FSGK32.EXE
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\SFR\Pack Sécurité\Common\FSMB32.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\SFR\Pack Sécurité\Common\FCH32.EXE
    C:\Program Files\SFR\Pack Sécurité\Common\FAMEH32.EXE
    C:\Program Files\SFR\Pack Sécurité\Anti-Virus\fsqh.exe
    C:\Program Files\SFR\Pack Sécurité\FSPC\fspc.exe
    C:\Program Files\SFR\Pack Sécurité\FSAUA\program\fsaua.exe
    C:\Program Files\SFR\Pack Sécurité\Anti-Virus\fssm32.exe
    C:\Program Files\SFR\Pack Sécurité\FWES\Program\fsdfwd.exe
    C:\Program Files\SFR\Pack Sécurité\FSAUA\program\fsus.exe
    C:\Program Files\SFR\Pack Sécurité\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\HPQ\shared\hpqwmi.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\SFR\Pack Sécurité\Common\FSM32.EXE
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Documents and Settings\FREDERIC\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
    C:\Program Files\SFR\Pack Sécurité\FSGUI\fsguidll.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  10. kduc Messages postés 1537 Statut Membre 133
     
    Bonjour Maya,

    Pour le rapport Navilog1, regarde dans ...

    le menu Démarrer > Poste de travail > C:\ (disque dur)

    parmi la liste des dossiers/fichiers, tu dois avoir un fichier texte qui répond au nom de cleannavi.txt

    Double-clique dessus (un rapport s' affiche) ...

    Poste le rapport.

    -----
    Pa r ailleurs, ton rapport HijackThis est incomplet !

    ----
    Pour le scan, installe l' ActiveX si on te le demande ...
    0
    1. maya
       
      bonjour
      Merci de m'avoir donner des conseils mais je laisse tomber
      j ai passé plusieurs heures dessus mais le fichier cleanavi est introuvable pourtant il est noté a un endroit (la date et l heure 10H47 que j ai commencé l analyse mais il n 'est nulle part)
      Et je ne peux pas faire big defender (impossible pack 2 dectecté ,echec des mises a jour, après l analyses ne peut pas)
      Si j ai encore des problemes je crois que je devrai le formater (si j y arrive!)
      merci pour votre aide
      0
  11. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    Désinstalle Navilog1, en allant dans …

    1/ Démarrer > Panneau de Config. > Ajout/suppres… des progr.

    2/ Démarrer > Poste de travail > C:\Program Files\...

    ---
    Recommence avec Navilog1 (voir plus haut).

    ---
    Fais cet autre scan en ligne ...
    http://www.kaspersky.com/kos/eng/partner/default/languages/english/check.html?n=1224931742375

    Clique sur > Accept.
    Il est possible qu’ une barre jaune te demande d’ installer le
    Kavwebscan_Unicode.cab (ActiveX) ; installe-le.
    Clique une nouvelle fois sur > Accept.
    Les mises à jour vont s’ installer. Patiente un moment.
    Clique sur > Next.
    Clique sur > My Computer (Poste de travail) .
    Le scan va commencer ...
    Attends la fin du scan (ne ferme pas la fenêtre, sinon il va stopper).
    Une fois le scan achevé, poste le rapport.

    Utilise Internet Explorer pour le scan ... et fais-le en mode "Administateur" si ça tousse.
    0