PC qui rame après virus nokia 19 jpg

PC qui rame après virus nokia 19 jpg - Virus/Spywares - Windows & Software

Marsh Posté le 29-10-2007 à 22:55:07    

Bonjour, je reprend, en partie, le post que j'avais édité il y a quelques jours :
 
"recement, j'ai enregistré le fichier nokia_19_jpg en provenance de msn.  
Je précise que je ne l'ai pas ouvert et que mon anti-virus bit defender la mis en quarantaine.  
 
J'ai regardé sur le forum comment s'en débarasser avec notement msnfix.  
 
J'ai lancé ccleaner et fais plusieurs scan en ligne ( kasspersky, panda, secuser.com ).  
 
Par contre, le lendemain, mon anti-virus m'a informé quil avait trouvé:  
-backdoor.sdbot.dexw ( il me semble que c'est ce fichier de nokia_19_jpg )  
-trojan.win32.Agent.bux ( trouvé par A2 )  
 
Je ne sais pas si c'est en rapport, mais du coup, ils sont repartis tout deux en quarantaine.  
J'ai alors désactivé la restauration du système et fait plusieurs scan en ligne et notement en mode sans échec."
 
Maintenant, en refaisant des scan avec A2, il me retrouve le trojan win 32 agent bux de temps en temps !
Mon pc se met a ramer, plus rien ne fonctionne, et je suis obliger de l'arreter en appuyant plus de 5 secondes sur boutton arret
.  
 
j'ai essayé de poster le log hijackthis sur l'adresse que vous m'aviez donné, mais il semble que tout va bien !
Merci de bien vouloir prendre le temps de m'aider car je pense avoir un petit souci, et que les scan en ligne et autre logiciel ( spybot , ad aware ) ne me trouve rien, et très franchement je ne me sent pas trop de formater.
Merci

 
 

Reply

Marsh Posté le 29-10-2007 à 22:55:07   

Reply

Marsh Posté le 30-10-2007 à 08:50:17    

Salut,  
As-tu fais tous tes scans en mode sans echec ?

Reply

Marsh Posté le 30-10-2007 à 19:31:04    

Bonsoir, en mode sans échec, j'ai fait a2, et avg free.
Je vais desuite désactiver la restauration système et refaire d'autre scan, je te tiens au courrant.

Reply

Marsh Posté le 31-10-2007 à 23:27:00    

nokia_xx_jpg, ce n'est pas un virus mais un adware.
Les antivirus habituels ne le virent pas en général.
 
Essayes navilog1, c'est le seul qui m'en aie débarrassé définitivement.
 
http://perso.orange.fr/il.mafioso/ [...] ilog1.html
 


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 01-11-2007 à 09:49:28    

  Bonjour à tous ... .. .  
 
      Voilà, ayant pour une fois manqué 'totalement' de flair (!), je me retrouve avec cette sal... sur mon pc et je n'arrive pas à la virer !  :fou:  
 
      Je vous joins le rapport post-analyse généré par le log. Navilog1 afin de savoir quelle option je dois choisir pour, je l'espère, éradiquer cette sal... Oui, oui j'y tiens à ce vocable car il s'applique parfaitement à une telle application !
 
      Merci pour votre aide plus qu'utile.
 
      Novalee
 
Search Navipromo version 3.3.3 commencé le 01/11/2007 à  9:44:05,90
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
 
Outil exécuté depuis M:\Program Files\navilog1
Mise à jour le 30.10.2007 à 19h00 par IL-MAFIOSO
 
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11  
 
 
*** Recherche Programmes installés ***
 
 
 
 
*** Recherche dossiers dans M:\WINDOWS ***
 
 
 
*** Recherche dossiers dans M:\Program Files ***
 
 
 
*** Recherche dossiers dans M:\Documents and Settings\All Users\Application Data ***
 
 
 
 
*** Recherche dossiers dans M:\Documents and Settings\Novalee\Application Data ***
 
 
*** Recherche dossiers dans M:\DOCUME~2\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
 
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
 
Aucun fichier trouvé dans :
 
- M:\WINDOWS\system32
- M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1
 
 
 
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
 
* Recherche dans M:\WINDOWS\system32 *
 
* Recherche dans M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1 *
 
 
 
*** Recherche fichiers ***  
 
 
M:\WINDOWS\pack.epk trouvé !
 
 
*** Recherche clés spécifiques dans le Registre ***
 
 
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus:
 
2)Recherche Heuristique :
 
 
 
3)Recherche Certificats :
 
Certificat Egroup absent !
 
 
*** Analyse terminée le 01/11/2007 à  9:44:34,65 ***

Reply

Marsh Posté le 01-11-2007 à 09:55:39    

Option 2 je dis.
 
 :jap:


Message édité par ilien83 le 01-11-2007 à 10:04:03

---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 01-11-2007 à 11:23:43    

(re) Alors vas pour l'option 2 ! Banzaïa !!!
 
 Merci 1.000 fois.
 
 Novalee

Reply

Marsh Posté le 01-11-2007 à 11:46:30    

Americus a écrit :

(re) Alors vas pour l'option 2 ! Banzaïa !!!
 
 Merci 1.000 fois.
 
 Novalee


 
En général, ca suffit.
Il est parfois nécéssaire de passer en mode manuel, j'ai eu le cas une fois avec un malware bien pourri qui changeait de nom à chaque redémarrage.
 
 :jap:  


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 01-11-2007 à 12:03:50    

(re) Bon, voilà le rapport post-nettoyage
 
Clean Navipromo version 3.3.3 commencé le 01/11/2007 à 11:26:45,70
 
Outil exécuté depuis M:\Program Files\navilog1
Mise à jour le 30.10.2007 à 19h00 par IL-MAFIOSO
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
 
Mode suppression automatique  
 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)  
 
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
 
* Suppression dans M:\WINDOWS\System32 *
 
* Suppression dans M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1 *
 
*** Suppression dossiers dans M:\WINDOWS ***
 
*** Suppression dossiers dans M:\Program Files ***
 
*** Suppression dossiers dans M:\Documents and Settings\All Users\Application Data ***
 
*** Suppression dossiers dans M:\Documents and Settings\Novalee\Application Data ***
 
*** Suppression dossiers dans M:\DOCUME~2\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
*** Suppression fichiers ***
 
M:\WINDOWS\pack.epk supprimé !
 
*** Suppression fichiers temporaires ***
 
Nettoyage contenu M:\WINDOWS\Temp effectué !
Nettoyage contenu M:\Documents and Settings\Novalee\Local Settings\Temp effectué !
 
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus
 
2)Recherche, création sauvegardes et suppression Heuristique :
 
*** Sauvegarde du Registre vers dossier Backupnavi ***
 
sauvegarde du Registre réalisé avec succès !
 
*** Nettoyage Registre ***
 
Nettoyage Registre Ok
 
*** Certificats ***
 
Certificat Egroup absent !
 
*** Nettoyage terminé le 01/11/2007 à 11:29:06,70 ***
 
-------------------------------   ----------------------------------
 
 Mais je suis tout de même 'inquiet' !
 
 Je retrouve dans le répertoire 'windows', 2 fichiers-application d'allure 'bizarroïde' que j'ai viré manuellement à plusieurs reprises et qui réapparaissent sans cesse !
 
 Ce sont: twunk_16 et twunk_32
 
 Je ne les avais encore jamais vus ces 2 là !/?
 
 Bon, je vais surfer quelques temps et je vais bien voir si j'ai des manifestations perturbatrices du style 'IE7' qui s'ouvre de lui-même, lenteur voir déconnexion lors des accès aux pages web, etc ...
 
 Merci encore.
 
 Novalee


Message édité par Americus le 01-11-2007 à 12:06:24
Reply

Marsh Posté le 01-11-2007 à 13:13:45    

twunk_xx.exe c'est en principe installé par MS Publisher.
http://support.microsoft.com/kb/139399/en-us
 
 :jap:


Message édité par ilien83 le 01-11-2007 à 13:14:54

---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 01-11-2007 à 13:13:45   

Reply

Marsh Posté le 01-11-2007 à 14:46:36    

[re] Bah le truc bizarre c'est que j'ai pas 'MS Plublisher' sur mon pc ! / ? Enfin, je vais vérifier quand même ! Donc ce n'est pas un truc malin (malin = contagieux / grave).
 
Novalee
 

Reply

Marsh Posté le 01-11-2007 à 23:40:36    

Ca doit pouvoir être installé par tout logiciel qui accède à un scanner ou un apn.
 

Citation :

Twunk_16.exe
This program allows 16-bit TWAIN client software to communicate with Twain_32.dll.  
 
Twunk_32.exe
This program allows 32-bit TWAIN client software to communicate with the 16 bit Twain.dll.  


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 02-11-2007 à 15:54:11    

(re) Ha oui alors j'utilise de temps en temps un scanner et aussi un apn. Donc en théorie, pas trop d'inquiétudes à avoir.
 
 Sinon, il est difficile de savoir si le virus a été korréquement (à la Boudonni !) éradiqué !/? car je n'ose pas revenir sous 'msn'. Mais, je trouve tout de même que les temps d'accès à certaines pages web sont bien plus longs que d'habitude ! / ?  
 
 Si j'étais courageux, je crois bien que je reformaterais la machine, histoire d'être sûr à 200% ... .. . mais voilà je me tiens la flemme du siècle là ... .. .
 
 Novalee

Reply

Marsh Posté le 02-11-2007 à 17:39:35    

ta quel anti virus ?
met le a jour et refais un scanne du pc ^^

Reply

Marsh Posté le 02-11-2007 à 20:24:42    

(re) J'ai 'Avast' -=> je vais faire des scans méticuleux de chacun de mes HDDs. Je verrais bien s'il trouve quelque chose.
 Je pourrais aussi lancer le 'MSNfix' histoire de voir s'il retrouve quelque chose ?
 
 Novalee

Reply

Marsh Posté le 02-11-2007 à 20:47:40    

eu oui  
si tu pense que ton pc rame encore  

Reply

Marsh Posté le 03-11-2007 à 13:24:31    

(re) Bon, j'ai relancé 'msnfix' sur le hdd (système) et il ne trouve rien ! Ouf ... .. . Je vais refaire la manœuvre sur chacun de mes hdds car au moins 2 se sont trouvés infectés.
 
 Á plus tard... .. .
 
 Novalee

Reply

Marsh Posté le 03-11-2007 à 14:13:28    

je mets un screenshoot de ce qui se passe de temps en temps sans que je ne fasse rien ? Cette fenêtre s'ouvre d'elle-même !
 
http://img233.imageshack.us/img233/6884/cestquoiwr3.th.jpg
 
 Une idée ? Merci
 
 Novalee

Reply

Marsh Posté le 03-11-2007 à 16:47:03    

eu je sais pas pourquoi il y a cette page qui apparait
depuis quand il apparait ?
fais un scanne d anti spyware

Reply

Marsh Posté le 03-11-2007 à 18:32:20    

(re) Bah de mémoire c'est apparût +/- suite à l'infection par le virus 'nokia 19jpg' ... .. .
 
 Oui, je viens de D.L. une version free-trial de PestPatrol (v.8) que je vais me presser de lancer ! Sus aux ennemis !
 
 Bonne suite à vous, à toi ... .. .
 
 Novalee


Message édité par Americus le 03-11-2007 à 18:32:58
Reply

Marsh Posté le 03-11-2007 à 19:13:29    

Bonne chance, apparement, tu n'es pas seul..
 
http://www.google.com/search?q=int [...] urceid=ie7
 


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 03-11-2007 à 22:02:08    

oui , j ai aussi fais un recherche et j ai pu remarqué qu il etait pratiquement pour tous (sauf si je me trompe) recente

Reply

Marsh Posté le 05-11-2007 à 00:18:54    

Bonsoir et désolé de ne pas avoir pu répondre avant.
J'ai fait le scan dont je pose le rapport, merci d'avance :

 
Search Navipromo version 3.3.4 commencé le 05/11/2007 à  0:09:55,75
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
 
Outil exécuté depuis I:\Program Files\navilog1
Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO
 
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180  
 
 
*** Recherche Programmes installés ***
 
 
 
 
*** Recherche dossiers dans I:\WINDOWS ***
 
 
 
*** Recherche dossiers dans I:\Program Files ***
 
 
 
*** Recherche dossiers dans I:\Documents and Settings\All Users\Application Data ***
 
 
 
 
*** Recherche dossiers dans I:\Documents and Settings\PC\Application Data ***
 
 
*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
 
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
 
Aucun fichier trouvé dans :
 
- I:\WINDOWS\system32
- I:\DOCUME~1\PC\LOCALS~1\APPLIC~1
 
 
 
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
 
* Recherche dans I:\WINDOWS\system32 *
 
* Recherche dans I:\DOCUME~1\PC\LOCALS~1\APPLIC~1 *
 
 
 
*** Recherche fichiers ***  
 
 
 
 
*** Recherche clés spécifiques dans le Registre ***
 
 
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus:
 
2)Recherche Heuristique :
 
 
 
3)Recherche Certificats :
 
Certificat Egroup absent !
 
 
*** Analyse terminée le 05/11/2007 à  0:10:51,79 ***

Reply

Marsh Posté le 05-11-2007 à 09:12:32    

Et au fait, ......  encore une petite question, j'ai bit defender internet security v10 et quand je redémarre en mode sans echec, je n'ai pas la possibilité de le lancer pour analyser mon pc !  
J'ai bien le racourci sur le bureau et le logiciel dans "tous les programmes ", mais il ne le trouve pas quand je souhaite le lancer.
Quelqu'un sait pourquoi et ce qu'il faut faire ?
Merci d'avance

Reply

Marsh Posté le 07-11-2007 à 06:40:36    


Personne ne sait ???  :??:

Reply

Marsh Posté le 07-11-2007 à 12:27:15    

Il me semble que bitdefender ne peut pas se lancer en mode sans échec.

 

Sinon j'ai vu sur le net que certains qui ce virus "nokia" ont chopés également AdobeR. Avez vous le fichier c:\windows\AdobeR.exe?


Message édité par ogaby le 07-11-2007 à 12:27:34
Reply

Marsh Posté le 07-11-2007 à 12:30:24    

AdobeR.exe est un troyen assez facile à gicler.
 
Suffit de le killer dans le gestionnaire de tâches : il se laisse faire.
 
Puis de lancer msconfig en décochant son lancement automatique au démarrage.
 
Puis enfin de le rechercher dans le disque dur (avec l'option "afficher les fichiers cachés et systèmes" ) et de le supprimer.
 
A ma connaissance, il se réplique sur les lecteurs de stockage (les clés USB etc ...) en créant un autorun.exe

Reply

Marsh Posté le 07-11-2007 à 12:43:05    

correction: autorun.inf (attributs du fichier: caché + système)
 
et c'est vrai qu'il est très facile à enlever. :d

Reply

Marsh Posté le 07-11-2007 à 15:32:27    

Je viens de bien chercher et je n'ai pas ce fichier AdobeR.exe !
 
Par contre, a2 m'avait trouvé  
- le trojan.win.32.agent.bux
- Riskware.risk tool.win32.pskill.k
- Riskware.risk tool.win32.processor.20
- Riskware.risk tool.win32.reboot.f
 
et avg free m'avait trouvé :
- kernel32.dll
- hosts
 
Pensez-vous que cela est un lien avec mon ordinateur qui rame ?

Reply

Marsh Posté le 07-11-2007 à 15:37:21    

pskill, processor et reboot viennent de msnfix. C'est une fausse alarme.
 
trojan.win.32.agent.bux est le cheval de troie à éradiquer.

Reply

Marsh Posté le 07-11-2007 à 17:31:38    

Ok, merci pour les infos de pskill  processor et reboot.
 
Par contre pour trojan.win.32.agent.bux, ni mon anti-virus bit defender ni des scan en ligne ne me le trouve.
 
Le seul qui l'a trouvé, c'est A2 et je l'ai supprimé par son intermédiaire mais le problème est qu'il revient de temps en temps ! ( bien sur j'ai désactivé la restauration du système et scanner en mode sans échec ).
 
Y a t-il un fix spécifique a ce trojan s'il vous plait ?

Reply

Marsh Posté le 07-11-2007 à 17:37:39    

J'ai rien trouvé sur le net.
 
Ce que tu peux faire, c'est d'envoyer le fichier contaminé sur ce site: http://www.virustotal.com/fr/
 
Il te donneras la liste des anti-virus pouvant le détecter.

Reply

Marsh Posté le 08-11-2007 à 06:36:18    

ok, c'est sympa, merci, j'essai cet après-midi et je te tiens au courant.....

Reply

Marsh Posté le 08-11-2007 à 15:04:44    

Bon, et ba je ne peux pas essayer car le fichier trojan.win.32.agent.bux a disparu de mon ordi !
 
Je pense que c'est avec A2 que j'ai du le supprimer, mais le souci c'est que mon ordi continu de ramer !
 
Alors si quelqu'un a une idée, ce sera la bienvenu, sinon, ce sera une soirée de formatage et de réinstalation de programmes .......... et franchement ca ne m'enchante guère !
 

Reply

Marsh Posté le 08-11-2007 à 15:47:24    

Tiens , un peu de nouveau !!!!!
 
J'ai deux fenêtre qui s'ouvre :
 
internet explorer.exe "doit fermer"
suivi de drwtsn32.exe " doit fermer"
 
et mon ordinateur s'éteint tout seul !
Franchement c'est galère ! ......
 
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed