Virus Java Fermé

Question

Bonjour,

J'ai lancé un scan minutieux avec avast hier, et a ma plus grande surprise il a trouvé plusieurs virus dans : C:\Users\Nico\AppData\Local\Temp\jar_cachexxxxxxxxxxxxxx.tmp (avec x des numéros). Le nom du virus : MSIL:Inject-S [DRP]

J'ai mit en quarantaine, mais à chaque fois que je retourne sur www.itouchpod.fr et que java s'active (automatiquement), avast détecte un virus dans : C:\Users\Nico\AppData\Local\Temp\javaload.exe  et dit le bloquer. Cependant des virus sont à nouveau présent dans C:\Users\Nico\AppData\Local\Temp\jar_cachexxxxxxxxxxxxxx.tmp (après scan)

J'ai désactivé les fichiers temporaires de java, mais ça ne change rien, je n'ai trouvé aucune info ni sur javaload.exe ni sur MSIL:Inject-S [DRP]. Le seul moyen que j'ai trouvé pour ne plus  attraper ces virus c'est de désactiver java dans Firefox, mais je suppose que ce n'est pas conseillé (je risque de ne plus avoir accès à certains site).

Quelqu'un aurait une solution? Est-ce vraiment un virus? javaload.exe? MSIL:Inject-S [DRP]?

Merci d'avance.

Configuration: Windows 7 / Firefox 3.6.13

Malekal_morte- · Answer

Salut,

Scanne C:\Users\Nico\AppData\Local\Temp\javaload.exe sur https://www.virustotal.com/gui/ et donne le lien de scan ici.

Malekal_morte- · Answer

humm ça doit être ça : http://www.virustotal.com/file-scan/report.html?id=fec34e4d3395ac582c9bcbc226fc7b3085d1741197602b52e5dc62f8bae50045-1276463935


Fais ça pour voir :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

puis :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

peace111 · Answer

Toujours pas de réponses?

Malekal_morte- · Answer

Désolé j'ai zappé ton sujet.

Bha rien d'anormal.
Sois Avast! bloque le chargement de l'infection et tu le notifies, soit c'est un faux positif.

Le mieux c'est que tu clics pas sur les liens java du site.

peace111 · Answer

Ok, pas grave, cependant quand Avast dit le bloquer je chope quand même le virus... dans le dossier C:\Users\Nico\AppData\Local\Temp\
Et sinon je ne clique sur aucun lien sur le site, java s'active automatiquement...
Le plus probable c'est peut-être le faux positif...Je laisse java désactivé pour le moment.

et sinon elle signifie quoi cette clé?

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yahoo! (Trojan.Downloader) -> Value: yahoo! -> Quarantined and deleted successfully.

Un programme de téléchargement de virus se lançait au démarrage ?!
Merci pour les réponses

peace111 · Answer

up

Malekal_morte- · Answer

J'imagine que si tu up c'est que tu as encore des détections Java.
Je pense que ce sont de faux positifs surtout si ça revient tjrs avec le même site.

Malekal_morte- · Answer

heu attends... j'ai un peu zappé un bout....   

javaload.exe il revient ou pas ?   
ou tu as que des détections de jar_cache ?   

Remember when you were young, you shone like the sun.   
Shine on you crazy diamond.   
Now there's a look in your eyes, like black holes in the sky.   
Shine on you crazy diamond.

peace111 · Answer

Bah en faite après avoir réactivé java, après 1 mois désactivé, je suis retourné sur le site, et java à plus l'air de s'allumer automatiquement, donc plus de virus... par contre j'ai mis "up" surtout pour savoir si quelqu'un savait pour ma dernière question https://forums.commentcamarche.net/forum/affich-20555926-virus-java#13 :

>>>et sinon elle signifie quoi cette clé?

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yahoo! (Trojan.Downloader)

Un programme de téléchargement de virus se lançait au démarrage ?!
Merci pour les réponses

Malekal_morte- · Answer

La clef oui Run permet de démarrer un programme.
Sauf que Malwarebyte ne vire aucun fichier correspondant à cette clef.
Cette clef n'était pas présente sur le rapport OTL.

Vu que ton prb a disparu avec la mise à jour java et vu que l'alerte apparaîssait sur un site qui lançait java, ça tend à dire que c'était une erreur de détection d'un composant de Java.

Javaload.exe ou Java_load.exe existe en "version malicieuse" mais tu as une clef Run correspondante en génréral qui est présente sur aucun rapport.

et apparemment y a un java de chez Mozilla qui correspond à ton nom de fichier : http://systemexplorer.net/file-database/file/javaload-exe
et comme tu avais le prb en ayant java qui se lance depuis un site, je dirai que c'est ça.

Bref sans ce fameux fichier javaload.exe qui à mon avis ne va pas se repointer, difficile de savoir à 100%, si c'est la version légitime ou genre malicieuse avec le lien VirusTotal que j'ai donné plus haut.

Virus Java

10 réponses

Discussions similaires

Newsletters