Trojan (probablement) qui bloque la lecture de certaines musiques

gastonlagaffe17 · Septembre 2, 2007, 3:23

Bonjour,

Voilà la petite histoire :
J’ai réinstallé Windows dans ma partition ‘‘Systéme’’ et j’ai tardé à installer un antivirus.
3 semaines plus tard, dans ma partition ‘‘Musique’’, il y a des musiques qui disparaissent, se retrouvent complètement ailleurs, ou encore qui ne peuvent pas être lues par le lecteur Windows Media Player.

Je me décide à installer un antivirus (lol), Antivir Personnal Edition.
(le meilleur antivirus gratuit selon le dernier rapport de AV-Comparatives de Août 2007 (http://www.av-comparatives.org/)
L’installation échoue. Antivir détecte un trojan qui bloque l’installation. Malheureusement, je ne me rappelle pas du nom du trojan.
Pas le choix, je reformate la partition ‘‘Système’’ et réinstalle Windows.

J?installe Antivir. Cette fois pas de problème d?installation.
Je lance un scan sur toutes les partitions : Antivir ne détecte rien.
Ca présente bien, et pourtant.

Le problème :
Je n’arrive toujours pas à lire certaines musiques, qui sont pourtant bien présentes sur le disque dur.
En fait j’ai remarqué le phénomène suivant :

J’ai un album de 4 chansons qui s’appelle : Pierre Dupond - L’album (tiré de ’ Charles Durand’ ).
Seule la chanson n°2 peut être lue. Et si je modifie le nom, voici ce que j’obtiens :

    Nom du Fichier :                                                                                                                   Chansons lues :

Pierre Dupond - L’album (tiré de ’ Charles Durand’ ) n°2
Pierre Dupond - L’album (tiré de Charles Durand ) n°2
Pierre Dupond - L’album (tiré de Charles and ) n°1,2
Pierre Dupond - L’album (tiré de ’ ’ ) n°1,2,3
Pierre Dupond - L’album (tiré de nd ) n°3
Pierre Dupond - L’album (tiré de ) n°1,2,3, et 4 (tout donc aucun problème)

Comme vous pouvez le voir, j’ai l’impression que plus j’enlève de caractères de «’ Charles Durand’ » , plus Windows Media peut lire les chansons.
Le reste du Nom du Fichier n?a aucune incidence.

Questions:

Pourquoi j?ai encore le problème alors que la partition ‘Système’ est fraîche et sans virus
Comment je règle le problème ?
et accessoirement :
Quel trojan (ou autre virus) est-ce ?
Comment fonctionne t-il ?
Est-il encore présent et actif sur d’autres partitions, bien que Antivir détecte rien sur toutes les partitions.
Est-ce déjà arrivé à d’autres ?

Merci.

gastonlagaffe17 · Septembre 2, 2007, 4:44

Quelques précisions supplémentaires :

Le trojan m’a aussi déplacer la 1e partie d’un album de Madonna dans un autre dossier (de la meme partition toutefois).

Je peux écouter les 2 parties, la déplacée et l’originale.

Quand je veux déplacer la 1e partie dans l’album original, j’ai ce message :
impossible de déplacer “1e chanson” : le fichier ou le repertoire est endommagé et illisible.
OK.

Quand je veux supprimer la 1e partie, j’ai ce message :
impossible de supprimer “8e chanson” : le fichier ou le repertoire est endommagé et illisible.
OK.

Super ! Lol

Le trojan m’a aussi dupliquer la 2e partie dans un autre dossier (de la meme partition), mais cette fois impossible d’écouter cette 2e partie “fantome”.

Quand je veux écouter la 2e partie “fantome” , j’ai ce message :
[Le Lecteur Windows Media a rencontré un problème d’origine inconnue.
Fermer

Quand je veux supprimer la 2e partie “fantome”, j’ai ce message :
impossible de supprimer Fichier : impossible de lire à partir du fichier ou de la disquette source.
OK

Cependant, depuis ma réinstallation de Windows, j’ai l’impression que j’ai “gelé” le trojan, puisque il n’ y a pas de nouveaux problémes, et que Antivir ne détecte rien sur toutes les partitions.
:pt1cable:

J'ajouterai enfin que la majorité des chansons n'ont aucun probléme. En fait, j'ai l'impression que c'est surtout les albums rippés juste avant l'apparition des premiers soucis qui ont été touchés par ce fameux "trojan". Les nouveaux CD rippés (depuis la réinstallation) sont apparement nickel.

gastonlagaffe17 · Septembre 2, 2007, 4:48

Ou alors c’est le disque dur de la musique qui lache ?
c’est pourtant un seagate qui a 2 mois !!!

snookette · Septembre 2, 2007, 11:45

Salut ,

Passe Navilog1 , option 1 , puis poste le rapport .
perso.orange.fr…

gastonlagaffe17 · Septembre 3, 2007, 12:57

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\XXXX XXXXX\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d’infos :
www.f-secure.com…

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/03/07 at 00:46:17.
[+] Initializing …
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items …
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/03/07 at 00:47:14 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 03/09/2007 à 0:47:28,74 ***

gastonlagaffe17 · Septembre 4, 2007, 7:14

S’il vous plait un petit coup de main.
Merci.

snookette · Septembre 4, 2007, 8:07

Réinstalle WMP 11 … file sur Windows Update

gastonlagaffe17 · Septembre 5, 2007, 12:46

j’ai le meme probleme avec le lecteur VLC, avec ce message:

main error: no suitable access module for …

Donc, ca vient pas du lecteur mais bien du fichier en lui -meme.

j ai aussi des photos JPEG que je peux pas ouvrir

Au Secours.

le_barbier_fou · Septembre 5, 2007, 1:14

Tu as formaté Windows ( partition “système” ,sur ton dd ). Windows est donc clean. Mais ton malware a endommagé les fichiers de la partition “musique”. Il a été supprimé, mais les modifications qu’il a apporté reste sur la partition “musique” car tu ne l’a pas formaté. D’après mon hypothèse, donc, tes fichiers musicaux sont endommagés et c’est ( d’après moi ) irreversible. Pas grand chose à faire à part en tirer une leçon : la protection en temps réel d’un antivirus n’est pas indispensable, mais un scan antivirus régulier est, lui, fortement recommandé.

gastonlagaffe17 · Septembre 5, 2007, 5:27

Je suis d’accord, mais :
–Je peux pas effacer ces fichiers
–Si je rippe le CD, et que je met le meme nom de fichier, c’est bloqué
En fait j’ai l’impression que mon PC (ou le trojan, ou je sais pas qoi:confused:), ont gardé les NOMS DE FICHIERS en mémoire, et que quelques soit les chansons de l’album, dés qu’il reconnait une partie du nom il bloque tout. (Voir description ci dessus)

Finallement, il s’en fout complétement du contenu, c’est au niveau de l’adresse de je sais pas qoi que ca merde.
Donc c’est cette mémoire qu’il faudrai que j’efface, mais Comment ? Ou ?

snookette · Septembre 5, 2007, 5:35

Pour accéder et supprimer tes fichiers , utilise Unlocker :
ccollomb.free.fr…

Si accès réfusé , utilise TAD :
snooky730.free.fr…

Passe ensuite Clean v2.0 by FRUiT , procédure 1 :
www.pcinpact.com…
Edité le 05/09/2007 à 17:36

gastonlagaffe17 · Septembre 8, 2007, 3:53

Merci Snookette de te préoccuper de moi.

Je n’ai pas essayé tes programmes (c’est toi qui les a fait ?).
Mais je suis sceptique.

J’ai ripé à nouveau un CD de Pierre Dupond (c’est un exemple bien sur), et remis le meme nom de fichier :
Pierre Dupond - L’album (tiré de ’ Charles Durand’ )
et c’est pareil.
Et d’autre part, jai utilisé le meme nom pour un autre album qui n’a aucun probleme et qui n 'a rien a voir et ca me bloque 3 chansosns de l’album.D’ou vient le probleme precisement stp.

snookette · Septembre 8, 2007, 3:58

Bah non , hein , c’est pas de moi !
LOL …
Pas de raison d’être sceptique , vu que tu te fais avoir par un simple virus … c’est pas de mon coté que tu devrais être méfiant … et encore moins du coté de ceux qui aident des gens comme toi et moi dans ces déboires …

@+