W32/Malware!Gemini

[scaphelico]

Bonjour
Suite à un scan anti virus ! je découvre que je suis infecté par Suspicious:W32/Malware!Gemini (virus)
le scan de " orange en ligne " ( F-Secure ) ne nettoie pas le système !!
J'ai donc cherché un peu partout comment le virer !! mais rien.
En relisant le Rapport de l'analyse je vois que le virus est placé dans C:\PROGRAM FILES\PC WIZARD 2008\DATA\SETTINGS.EXE (Non nettoyé & Envoyé)

*PC Wizard est un puissant utilitaire d'information système spécialement étudié pour la détection du matériel. Il est capable d'identifier une large gamme de composants systèmes et supporte les dernières technologies et les dernières normes.

Je ne me sers pas vraiment de PC Wizard !
J'ai Avast 5 comme antivirus !! Lui ne détecte rien d'anormal !!
Alors je me demande si ce virus est une chose normale ou si je suis effectivement infecté ..

Merci de votre aide ! Bonne journée
Amicalement papyserge

2 programme(s) malveillant(s) détecté(s)
Suspicious:W32/Malware!Gemini (logiciel espion)

* Système (Non nettoyé)

Suspicious:W32/Malware!Gemini (virus)

* C:\PROGRAM FILES\PC WIZARD 2008\DATA\SETTINGS.EXE (Non nettoyé & Envoyé)

[Sebastien]

Salut,

Peux-tu scanner le fichier avec le site suivant : http://www.virustotal.com/fr/

Alors je me demande si ce virus est une chose normale ou si je suis effectivement infecté ..

Normale, non mais c'est peut-être un faux-positif (une fausse alerte). Le site ci-dessus va analyser le fichier avec plusieurs dizaines d'antivirus.

@+

[scaphelico]

*Bonsoir Sébastien
Je sais pas trop lire cette analyse ?? Je ne vois rien d'anormal !!
je pense que tu pourras m'en dire plus

Code: Tout sélectionner

 Fichier PC_Wizard.exe reçu le 2010.04.13 21:27:36 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:    
   
Antivirus    Version    Dernière mise à jour    Résultat
a-squared   4.5.0.50   2010.04.13   -
AhnLab-V3   5.0.0.2   2010.04.13   -
AntiVir   7.10.6.69   2010.04.13   -
Antiy-AVL   2.0.3.7   2010.04.13   -
Authentium   5.2.0.5   2010.04.13   -
Avast   4.8.1351.0   2010.04.13   -
Avast5   5.0.332.0   2010.04.13   -
AVG   9.0.0.787   2010.04.13   -
BitDefender   7.2   2010.04.13   -
CAT-QuickHeal   10.00   2010.04.13   -
ClamAV   0.96.0.3-git   2010.04.13   -
Comodo   4591   2010.04.13   -
DrWeb   5.0.2.03300   2010.04.13   -
eSafe   7.0.17.0   2010.04.13   -
eTrust-Vet   35.2.7423   2010.04.13   -
F-Prot   4.5.1.85   2010.04.13   -
F-Secure   9.0.15370.0   2010.04.13   -
Fortinet   4.0.14.0   2010.04.12   -
GData   19   2010.04.13   -
Ikarus   T3.1.1.80.0   2010.04.13   -
Jiangmin   13.0.900   2010.04.13   -
Kaspersky   7.0.0.125   2010.04.13   -
McAfee   5.400.0.1158   2010.04.13   -
McAfee-GW-Edition   6.8.5   2010.04.13   -
Microsoft   1.5605   2010.04.13   -
NOD32   5026   2010.04.13   -
Norman   6.04.11   2010.04.13   -
nProtect   2009.1.8.0   2010.04.06   -
Panda   10.0.2.7   2010.04.13   -
PCTools   7.0.3.5   2010.04.13   -
Prevx   3.0   2010.04.13   -
Rising   22.43.01.01   2010.04.13   -
Sophos   4.52.0   2010.04.13   -
Sunbelt   6172   2010.04.13   -
Symantec   20091.2.0.41   2010.04.13   -
TheHacker   6.5.2.0.260   2010.04.13   -
TrendMicro   9.120.0.1004   2010.04.13   -
VBA32   3.12.12.4   2010.04.09   -
ViRobot   2010.4.13.2274   2010.04.13   -
VirusBuster   5.0.27.0   2010.04.13   -
Information additionnelle
File size: 30208 bytes
MD5...: cd2ecfd513ffa823d2f31c1cf5d7d078
SHA1..: 6146c4aadd1a668192e334d4a7088bf5649ba357
SHA256: 4106a8b2e5f9c5dc200f1dfbad9b26e1a177aff213167d484e4ef2165fe66560
ssdeep: 384:AnPp/6Pn+o25jqGOi+slmT5ZhtlHgijUiTGhmQ0kysKJKDiPKDtxKDyAKDk9
Pc:gPp/EncG1QlmdZI4Q0ky94p89k
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11ac0
timedatestamp.....: 0x485cdc9f (Sat Jun 21 10:49:03 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe000 0x4000 0x3e00 7.81 b326888dce8853929aebbd020c2996b8
.rsrc 0x12000 0x4000 0x3400 4.17 7581bd8817456b970d5b422a5279eda0

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: -
> GDI32.dll: TextOutA
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: Shell_NotifyIconA
> USER32.dll: GetDC

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
packers (Kaspersky): PE_Patch.UPX, UPX
sigcheck:
publisher....: CPUID
copyright....: (c) 1996-2008 Laurent KUTIL _ Franck DELATTRE
product......: PC Wizard
description..: System Information Analyzer
original name: PCW Splash
internal name: PC WizSplash
file version.: 2008, 1, 8, 5
comments.....: PC Wizard Splash Screen
signers......: -
signing date.: -
verified.....: Unsigned
packers (F-Prot): UPX

Bonne soirée @+

[Sebastien]

Salut,

Dans ton analyse, on ne voit pas de virus. J'ai donc testé avec ma version de PC Wizard 2009 qui est installé sur mon portable, voici le résultat :

Code: Tout sélectionner

Antivirus    Version    Dernière mise à jour    Résultat
a-squared    4.5.0.50    2010.04.10    -
AhnLab-V3    5.0.0.2    2010.04.10    -
AntiVir    7.10.6.55    2010.04.09    -
Antiy-AVL    2.0.3.7    2010.04.09    -
Authentium    5.2.0.5    2010.04.10    -
Avast    4.8.1351.0    2010.04.10    -
Avast5    5.0.332.0    2010.04.10    -
AVG    9.0.0.787    2010.04.10    -
BitDefender    7.2    2010.04.10    -
CAT-QuickHeal    10.00    2010.04.10    -
ClamAV    0.96.0.3-git    2010.04.10    -
Comodo    4556    2010.04.10    -
DrWeb    5.0.2.03300    2010.04.10    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7418    2010.04.09    -
F-Prot    4.5.1.85    2010.04.10    -
F-Secure    9.0.15370.0    2010.04.10    Suspicious:W32/Malware!Gemini
Fortinet    4.0.14.0    2010.04.10    -
GData    19    2010.04.10    -
Ikarus    T3.1.1.80.0    2010.04.10    -
Jiangmin    13.0.900    2010.04.10    -
Kaspersky    7.0.0.125    2010.04.10    -
McAfee-GW-Edition    6.8.5    2010.04.09    -
Microsoft    1.5605    2010.04.10    -
NOD32    5015    2010.04.10    -
Norman    6.04.11    2010.04.10    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.10    -
PCTools    7.0.3.5    2010.04.10    -
Prevx    3.0    2010.04.10    -
Rising    22.42.04.03    2010.04.09    -
Sophos    4.52.0    2010.04.10    -
Sunbelt    6160    2010.04.10    -
Symantec    20091.2.0.41    2010.04.10    -
TheHacker    6.5.2.0.259    2010.04.10    -
TrendMicro    9.120.0.1004    2010.04.10    -
VBA32    3.12.12.4    2010.04.09    -
ViRobot    2010.4.10.2270    2010.04.10    -
VirusBuster    5.0.27.0    2010.04.09    -
Information additionnelle
File size: 45056 bytes
MD5   : 83e493993582503053f409383d1afd3b
SHA1  : 955a5c6614393852745abefd4d1c6e1ea658e3cb
SHA256: b803a7aa79eacf4df8465f875816eabf3e68d273b216b1cbd50345045e81266c

On peut y voir : F-Secure 9.0.15370.0 2010.04.10 Suspicious:W32/Malware!Gemini

Donc j'ai le même malware de détecté. Un seul résultat parmi les 39 tests, le même virus détecté sur les versions 2008 et 2009, ça ressemble à un faux positif.

De plus, j'ai fait quelques recherches sur le virus en question :
http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml

Je vais adapter le texte rapidement : L'alerte W32/Malware!Gemini résulte d'une analyse heuristique (analyse comportementale) de la part de l'antivirus. Lorsqu'un logiciel pouvant avoir un comportement suspect est détecté, ce type d'alerte est renvoyé.

En bref, comme l'application PC Wizard interroge des informations sur le matériel et sur le logiciel du PC, l'antivirus détecte ça comme une attaque potentielle, d'où l'alerte (et donc la fausse alerte dans notre cas).

Pas de problème avec ce fichier donc.

Le seul conseil que j'aurai serait de passer à la version 2010, si tu as utilité du programme.

@+

[scaphelico]

bonjour Sébatien

En bref, comme l'application PC Wizard interroge des informations sur le matériel et sur le logiciel du PC, l'antivirus détecte ça comme une attaque potentielle, d'où l'alerte (et donc la fausse alerte dans notre cas)

c'est un peu ce que j'ai pensé aussi en voyant ce ( virus ) !! mais dans le doute !! il me restait soit de tout virer ou mieux de poser la question ici

Pas de problème avec ce fichier donc.

Le scan en ligne avec ESET n'avait pas trouvé : c'est le scan en ligne proposé par Orange qui ma trouvé ça ! suite a un faux courrier orange que j'ai signalé
et qui bien sur n'était pas d'eux !!

Code: Tout sélectionner

 Nous vous remercions pour votre vigilance et vous confirmons que ce
message n'est pas transmis par Orange Internet.

Nous vous recommandons de le signaler comme « indésirable » depuis votre Webmail, puis le détruire sans y répondre, ni cliquer sur le lien.

Nos équipes sont déjà en charge de ce dossier.

Par mesure de précaution, nous vous invitons à vérifier la sécurité de
votre installation.

Si vous avez cliqué sur le lien ou si vous avez fourni des informations
confidentielles, nous vous recommandons fortement de procéder, dans l'ordre, aux actions suivantes :
1 - Test de la sécurité de votre installation en effectuant un scan antiviral en ligne :
http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/3593.php

2 - Modification de vos mots de passe de messagerie :
sur le site orange.fr, après vous être identifié > rubrique Espace
Client > mon compte utilisateur > gérer mes données personnelles > mot de passe

Nous vous recommandons de consulter les préconisations de la page
suivante afin de choisir un mot de passe sûr et pratique :
http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/12.php

Dans le cas où vous auriez également communiqué vos coordonnées
bancaires, nous vous recommandons de contacter rapidement votre
organisme bancaire :
http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/1331.php

Enfin, vous trouverez des informations complémentaires sur le phishing -
rubrique sécurité de l'assistance en ligne du site orange.fr - au lien
suivant :
http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/1065.php


Cordialement,


Je pose le mss pour info

Le seul conseil que j'aurai serait de passer à la version 2010, si tu as utilité du programme.

http://www.01net.com/telecharger/window ... 26513.html

C'est ce que je vais faire vu que le mieux date de 2008.
Merci de tes recherches encore enrichissantes.
Bonne journée @+