PDM.Keylogger et invader détéctés...

Résolu/Fermé
Signaler
Messages postés
66
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
18 novembre 2011
-
Messages postés
28068
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 janvier 2022
-
Bonjour,

J'ai besoin de vos conseils car j'ai une notification de Kaspersky 2011 me disant qu'il a détécté un PDM.Keylogger et PDM.Invader lors du lancement d'un jeu (Oblivion).

Je pense qu'il s'agit d'une fausse "alerte" qui vient du fait que j'ai installé un exe no cd pour jouer, mais téléchargé sur un site à priori sérieux.
Je tiens qd même à signaler que ce n'est pas un jeu piraté, mais ayant une dizaine de jeux installés, et detestant jongler avec les cd...voila

Je copie ci-dessous la notification de Kaspersky, est-ce inquiétant selon vous..?
Merci par avance de vos réponses!

Y


29/06/2010 10:11:11 A component of the Oblivion Script Extender Défense Proactive Autorisé: PDM.Invader D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBSE_LOADER.EXE Action sélectionnée conformément à l'action antérieure
29/06/2010 10:11:11 A component of the Oblivion Script Extender Défense Proactive Autorisé: PDM.Invader D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBSE_LOADER.EXE Action sélectionnée conformément à l'action antérieure
29/06/2010 10:11:15 Oblivion Défense Proactive Détectés: PDM.Keylogger D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBLIVION.EXE
29/06/2010 10:11:15 Oblivion Défense Proactive Détectés: PDM.Keylogger D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBLIVION.EXE Action est ajouté par l'utilisateur

5 réponses

Messages postés
66
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
18 novembre 2011
2
help !
0
Messages postés
28068
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 janvier 2022
8 025
Salut,

Insère le CD de jeu s'il est sur CD.

Analyse ces fichiers :
D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBLIVION.EXE
D:\JEUX\BETHESDA SOFTWORKS\OBLIVION\OBSE_LOADER.EXE

Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien les rapports en m'indiquant à chaque rapport envoyé le nom du fichier concerné !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
0
Messages postés
66
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
18 novembre 2011
2
Voila pour Oblivion.exe :

Fichier Oblivion.exe reçu le 2010.06.30 22:15:29 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.06.30 -
AhnLab-V3 2010.06.30.07 2010.06.30 -
AntiVir 8.2.4.2 2010.06.30 -
Antiy-AVL 2.0.3.7 2010.06.30 -
Authentium 5.2.0.5 2010.06.30 -
Avast 4.8.1351.0 2010.06.30 -
Avast5 5.0.332.0 2010.06.30 -
AVG 9.0.0.836 2010.06.30 -
BitDefender 7.2 2010.06.30 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.06.30 -
Comodo 5270 2010.06.30 -
DrWeb 5.0.2.03300 2010.06.30 -
eSafe 7.0.17.0 2010.06.30 -
eTrust-Vet 36.1.7677 2010.06.30 -
F-Prot 4.6.1.107 2010.06.30 -
F-Secure 9.0.15370.0 2010.06.30 -
Fortinet 4.1.133.0 2010.06.30 -
GData 21 2010.07.01 -
Ikarus T3.1.1.84.0 2010.06.30 -
Jiangmin 13.0.900 2010.06.30 -
Kaspersky 7.0.0.125 2010.07.01 -
McAfee 5.400.0.1158 2010.06.30 -
McAfee-GW-Edition 2010.1 2010.06.30 -
Microsoft 1.5902 2010.06.30 -
NOD32 5241 2010.06.30 -
Norman 6.05.10 2010.06.30 -
nProtect 2010-06-30.01 2010.06.30 -
Panda 10.0.2.7 2010.06.30 -
PCTools 7.0.3.5 2010.06.30 -
Prevx 3.0 2010.07.01 -
Rising 22.54.02.04 2010.06.30 -
Sophos 4.54.0 2010.06.30 -
Sunbelt 6528 2010.06.30 -
Symantec 20101.1.0.89 2010.06.30 -
TheHacker 6.5.2.0.305 2010.06.30 -
TrendMicro 9.120.0.1004 2010.06.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.30 -
VBA32 3.12.12.5 2010.06.30 -
ViRobot 2010.6.29.3912 2010.06.30 -
VirusBuster 5.0.27.0 2010.06.30 -
Information additionnelle
File size: 7549440 bytes
MD5...: 8aa3854ec44267769ffb1f3d70aef806
SHA1..: 837960d0dac54ac57927f2990d35a539acea8a1d
SHA256: c268ce182a861c355ca51296bcb8c88aac6b527a81c5f8e1b053b4c571293222
ssdeep: 98304:v9KHKIv7ndpgz31k5zHt2Z7nTpZsTgSg2h+0d6sQQ1mOYUbmz/utF9Tk:V
hm7ndOz1d7nTpZ0gSg2h+IV/yqnxk
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x58787c
timedatestamp.....: 0x215a5750 (Fri Sep 25 11:45:20 1987)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x626c39 0x626e00 6.64 ca0b9d5146dbe4099955f859a17571a7
.rdata 0x628000 0xd98d2 0xd9a00 5.57 16baf475c0764087d67c52980e2cbc2a
.data 0x702000 0xa9c1c 0x30c00 5.64 c7e60fd3774f620820a8dbeb743d9692
.tls 0x7ac000 0x1b9 0x200 0.16 357227dc19c96d09a3397cc339eca886
.rsrc 0x7ad000 0x166c 0x1800 4.50 cecaf84e392303ce7276eac522f29a5d

( 14 imports )
> COMCTL32.dll: ImageList_Destroy, ImageList_LoadImageA, InitCommonControlsEx
> DINPUT8.dll: DirectInput8Create
> WINMM.dll: mmioAscend, mmioClose, mmioAdvance, mmioDescend, mmioOpenA, mmioRead, mmioGetInfo
> DSOUND.dll: -
> binkw32.dll: _BinkWait@4, _BinkNextFrame@4, _BinkOpenDirectSound@4, _BinkSetSoundSystem@8, _BinkClose@4, _BinkOpen@8, _BinkPause@8, _BinkDoFrame@4, _BinkCopyToBufferRect@44
> KERNEL32.dll: CompareStringW, CompareStringA, SetEndOfFile, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, GetTimeZoneInformation, SetStdHandle, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, TryEnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, VirtualAlloc, VirtualFree, GlobalMemoryStatus, GetCurrentThreadId, CreateFileA, CloseHandle, WriteFile, ReadFile, GetFileSize, SetFilePointer, GetCurrentProcessId, DeleteFileA, WritePrivateProfileStringA, GetPrivateProfileStringA, GetDriveTypeA, GetLogicalDriveStringsA, DuplicateHandle, GetCurrentThread, ReleaseSemaphore, WaitForSingleObject, GetTickCount, ExitProcess, CreateDirectoryA, Sleep, CopyFileA, GetPrivateProfileIntA, GetExitCodeThread, SetThreadPriority, ResumeThread, SuspendThread, CreateThread, GetModuleFileNameA, GetCurrentDirectoryA, GetCurrentProcess, GetSystemTime, SetLastError, SetEnvironmentVariableA, RaiseException, LoadLibraryA, GetProcAddress, FindClose, FindNextFileA, CompareFileTime, FindFirstFileA, CreateSemaphoreA, SystemTimeToTzSpecificLocalTime, FileTimeToSystemTime, InterlockedCompareExchange, DebugBreak, OutputDebugStringA, TlsSetValue, TlsAlloc, TlsGetValue, TlsFree, QueryPerformanceCounter, QueryPerformanceFrequency, lstrcatA, lstrcpyA, FileTimeToLocalFileTime, LocalFree, FormatMessageA, GetLocalTime, FlushFileBuffers, GetFileAttributesExA, MultiByteToWideChar, WideCharToMultiByte, InterlockedExchange, InitializeCriticalSectionAndSpinCount, RtlUnwind, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetModuleHandleA, GetFileAttributesA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, MoveFileA, GetCommandLineA, GetVersionExA, GetProcessHeap, GetStartupInfoA, LCMapStringA, LCMapStringW, GetCPInfo, HeapDestroy, HeapCreate, GetStdHandle, GetLastError, GetSystemInfo, SetHandleCount, GetFileType, GetACP, GetOEMCP, FreeLibrary, GetFullPathNameA, FreeEnvironmentStringsA, GetLocaleInfoW, IsValidCodePage, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetConsoleMode, GetConsoleCP, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings
> USER32.dll: GetDoubleClickTime, SwapMouseButton, MessageBoxA, ShowCursor, DefWindowProcA, DispatchMessageA, TranslateMessage, PeekMessageA, CreateWindowExA, GetClassLongA, GetWindowLongA, UpdateWindow, LoadCursorA, GetWindow, SetWindowPos, ShowWindow, SendMessageA, DestroyWindow, GetClientRect, FindWindowA, SetForegroundWindow, LoadIconA, RegisterClassA, AdjustWindowRect, GetActiveWindow
> GDI32.dll: GetStockObject
> ADVAPI32.dll: RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegQueryValueExA, GetUserNameA
> SHELL32.dll: SHGetFolderPathA
> ole32.dll: CoUninitialize, CoInitialize, CoCreateInstance
> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
> d3dx9_27.dll: D3DXCompileShaderFromFileA, D3DXGetShaderConstantTable, D3DXGetImageInfoFromFileInMemory, D3DXCreateTextureFromFileInMemory, D3DXCreateCubeTextureFromFileInMemory, D3DXCreateVolumeTextureFromFileInMemory, D3DXCreateTexture, D3DXMatrixInverse, D3DXMatrixTranspose, D3DXPlaneNormalize, D3DXPlaneTransform, D3DXMatrixMultiply, D3DXLoadSurfaceFromSurface, D3DXSaveTextureToFileA, D3DXCreateTextureFromFileA, D3DXCompileShader, D3DXGetPixelShaderProfile, D3DXAssembleShaderFromFileA, D3DXAssembleShader, D3DXVec3Normalize, D3DXVec3TransformNormal, D3DXVec3TransformCoord, D3DXMatrixRotationYawPitchRoll, D3DXGetVertexShaderProfile, D3DXVec4Transform
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE PECompact compressed (generic) (41.8%)
Win32 Executable MS Visual C++ (generic) (37.9%)
Win32 Executable Generic (8.5%)
Win32 Dynamic Link Library (generic) (7.6%)
Generic Win/DOS Executable (2.0%)
sigcheck:
publisher....: Bethesda Softworks
copyright....: Copyright (c) 2006 ZeniMax Media Incorporated. All Rights Reserved.
product......: TES4: Oblivion
description..: Oblivion
original name: Oblivion.exe
internal name: Oblivion
file version.: 1.2.0416
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



Et voila le rapport pour obse_loader.exe :


Fichier obse_loader.exe reçu le 2010.06.30 22:19:51 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.06.30 -
AhnLab-V3 2010.06.30.07 2010.06.30 -
AntiVir 8.2.4.2 2010.06.30 -
Antiy-AVL 2.0.3.7 2010.06.30 -
Authentium 5.2.0.5 2010.06.30 -
Avast 4.8.1351.0 2010.06.30 -
Avast5 5.0.332.0 2010.06.30 -
AVG 9.0.0.836 2010.06.30 -
BitDefender 7.2 2010.06.30 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.06.30 -
Comodo 5270 2010.06.30 -
DrWeb 5.0.2.03300 2010.06.30 -
eSafe 7.0.17.0 2010.06.30 -
eTrust-Vet 36.1.7677 2010.06.30 -
F-Prot 4.6.1.107 2010.06.30 -
F-Secure 9.0.15370.0 2010.06.30 -
Fortinet 4.1.133.0 2010.06.30 -
GData 21 2010.07.01 -
Ikarus T3.1.1.84.0 2010.06.30 -
Jiangmin 13.0.900 2010.06.30 -
Kaspersky 7.0.0.125 2010.07.01 -
McAfee 5.400.0.1158 2010.07.01 -
McAfee-GW-Edition 2010.1 2010.06.30 -
Microsoft 1.5902 2010.07.01 -
NOD32 5241 2010.06.30 -
Norman 6.05.10 2010.06.30 -
nProtect 2010-06-30.01 2010.06.30 -
Panda 10.0.2.7 2010.06.30 -
PCTools 7.0.3.5 2010.06.30 -
Prevx 3.0 2010.07.01 -
Rising 22.54.02.04 2010.06.30 -
Sophos 4.54.0 2010.06.30 -
Sunbelt 6528 2010.06.30 -
Symantec 20101.1.0.89 2010.06.30 -
TheHacker 6.5.2.0.305 2010.06.30 -
TrendMicro 9.120.0.1004 2010.06.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.01 -
VBA32 3.12.12.5 2010.06.30 -
ViRobot 2010.6.29.3912 2010.06.30 -
VirusBuster 5.0.27.0 2010.06.30 -
Information additionnelle
File size: 118784 bytes
MD5...: d1f478b7ef40ffb7fb1dd1f591ed8004
SHA1..: ec1e447c71a33aed4fbf416c0e4270d92c422cba
SHA256: 92174efdcc1e0051ab5c62b33f96297f4fbe5e0f2ca5dcd7a1c9eacfabe22416
ssdeep: 1536:Os05E3H90OXaCJuwpJycCs3RqD6TvyJIcR1RzRAfjXInjtKR/:YE/ycoD6m
JZRoXInjtKR/
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50f5
timedatestamp.....: 0x4a306b72 (Thu Jun 11 02:26:58 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13054 0x14000 6.52 ac9e294dd099b7bdfd778bfbf2fe1145
.rdata 0x15000 0x4878 0x5000 5.12 574283773599622f777f3f513d6d15b1
.data 0x1a000 0x5200 0x2000 2.46 ecaf6e456596288cb1de1edb77745b84
.rsrc 0x20000 0x374 0x1000 3.66 34b1e6d8af2c6bed516ac600baabf095

( 2 imports )
> KERNEL32.dll: VirtualFreeEx, GetLastError, CloseHandle, WaitForSingleObject, CreateRemoteThread, WriteProcessMemory, GetProcAddress, GetModuleHandleA, VirtualAllocEx, OpenProcess, CreateEventA, TerminateProcess, ResumeThread, SetPriorityClass, CreateProcessA, ReadFile, WriteFile, SetEndOfFile, SetFilePointerEx, GetFileSizeEx, CreateFileA, RaiseException, RtlUnwind, GetDriveTypeA, GetFullPathNameA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, ExitProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, GetCurrentDirectoryA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, Sleep, HeapSize, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode, FlushFileBuffers, LoadLibraryA, InitializeCriticalSection, VirtualAlloc, HeapReAlloc, SetFilePointer, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW
> USER32.dll: WaitForInputIdle, MessageBoxA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: n/a
copyright....: Copyright (C) 2006-2007
product......: obse
description..: A component of the Oblivion Script Extender
original name: n/a
internal name: obse
file version.: 0, 0, 17, 3
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Messages postés
28068
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 janvier 2022
8 025
Ce sont donc bien des fausses alertes.
Il faut faire remonter l'information à Kaspersky.
Pour ce faire, utilises une des deux (les deux c'est même mieux) méthodes suivantes :
http://support.kaspersky.com/faq/?qid=208282255
http://support.kaspersky.com/faq/?qid=208281065
0
Messages postés
66
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
18 novembre 2011
2
Ok c'est bien ce que je pensais.

Par contre j'ai eu 4 autres alertes de Kaspersky lors de l'installation du K-lite codec pack... encore fausse alerte ou pas??
Je ne peux pas scanner les fichiers avec virus total car ils étaient ds ma partition de fichiers TEMP et depuis j'ai passé un coup de Ccleaner donc plus rien.

Le problème est-il réglé..?


Ci-dessous l'alerte de Kaspersky :


01/07/2010 16:00:04 NS225.TMP Défense Proactive Détectés: PDM.RootShell F:\TEMP\NSHEE85.TMP\NS225.TMP
01/07/2010 16:00:04 NS225.TMP Défense Proactive Détectés: PDM.RootShell F:\TEMP\NSHEE85.TMP\NS225.TMP Action est ajouté par l'utilisateur
01/07/2010 16:00:15 NS2F5D.TMP Défense Proactive Détectés: PDM.RootShell F:\TEMP\NSHEE85.TMP\NS2F5D.TMP
01/07/2010 16:00:15 NS2F5D.TMP Défense Proactive Détectés: PDM.RootShell F:\TEMP\NSHEE85.TMP\NS2F5D.TMP Action est ajouté par l'utilisateur
0
Messages postés
28068
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 janvier 2022
8 025
Oui, ils ne sont plus présent vu que tu as passé Ccleaner, le dossier Temp a été vidé.
0