MSIL/Injector.PM détecté par ESET
Fermé
Xenom
-
16 déc. 2011 à 14:28
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 16 déc. 2011 à 22:38
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 16 déc. 2011 à 22:38
A voir également:
- MSIL/Injector.PM détecté par ESET
- Usb non detecté - Guide
- Eset internet security download - Télécharger - Sécurité
- Mon téléphone ne détecte pas mes écouteurs filaire - Forum Mobile
- Mon pc charge mon téléphone mais ne le détecte pas ✓ - Forum Téléphones & tablettes Android
- Ipad ne charge plus mais détecte le chargeur ✓ - Forum iPhone
14 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 17:08
16 déc. 2011 à 17:08
Bonjour et Bienvenue sur CCM
Nous allons utiliser cet outil de diagnostic.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Nous allons utiliser cet outil de diagnostic.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\syswow64\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\syswow64\drivers\*.sys /lockedfiles %systemroot%\assembly\tmp\*.* /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Voici les deux logs:
http://pjjoint.malekal.com/files.php?id=20111216_w8s10i8w12s11
http://pjjoint.malekal.com/files.php?id=20111216_n15t6x13h11e10
A+
http://pjjoint.malekal.com/files.php?id=20111216_w8s10i8w12s11
http://pjjoint.malekal.com/files.php?id=20111216_n15t6x13h11e10
A+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 18:27
16 déc. 2011 à 18:27
Bonsoir,
Le lien du rapport OTL.txt indique : Erreur - le fichier est vide
Peux tu l'héberger à nouveau ?
A +
Le lien du rapport OTL.txt indique : Erreur - le fichier est vide
Peux tu l'héberger à nouveau ?
A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 18:53
16 déc. 2011 à 18:53
Xenom,
Plus de trace d'infections dans les rapports.
Tu as utilisé ComboFix, peux tu hébergé le rapport stp
A +
Plus de trace d'infections dans les rapports.
Tu as utilisé ComboFix, peux tu hébergé le rapport stp
A +
En effet j'ai un peu lancé plétore de logiciel en me basant sur les sujets existant:
Voici le log combofix
http://pjjoint.malekal.com/files.php?id=20111216_x11j13w8t5h6
Ce qui m'inquiète c'est le fait que le processus ait modifié des exécutables systèmes comme dw20.exe et smss.exe
Voici le log combofix
http://pjjoint.malekal.com/files.php?id=20111216_x11j13w8t5h6
Ce qui m'inquiète c'est le fait que le processus ait modifié des exécutables systèmes comme dw20.exe et smss.exe
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 20:09
16 déc. 2011 à 20:09
En tout cas ComboFix n'avait rien trouvé.
Quel logiciel t'a indiqué une modification des fichiers que tu cites ?
Fait analyser ces deux fichiers sur ce site https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527
A +
Quel logiciel t'a indiqué une modification des fichiers que tu cites ?
Fait analyser ces deux fichiers sur ce site https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527
A +
Le module Defense+ de Comodo Firewall ;)
The Defense+ component of Comodo Internet Security (hereafter known simply as Defense+) is a host intrusion prevention system that constantly monitors the activities of all executable files on your PC. With Defense+ activated, the user is warned EVERY time an unknown application executable (.exe, .dll, .sys, .bat etc) attempts to run.
Pour info voici l'exemple des actions faites:
http://img857.imageshack.us/img857/8049/defense.png
The Defense+ component of Comodo Internet Security (hereafter known simply as Defense+) is a host intrusion prevention system that constantly monitors the activities of all executable files on your PC. With Defense+ activated, the user is warned EVERY time an unknown application executable (.exe, .dll, .sys, .bat etc) attempts to run.
Pour info voici l'exemple des actions faites:
http://img857.imageshack.us/img857/8049/defense.png
Concernant les exe modifiés, voilà les deux liens. Un des deux semble être un faux positif vu que svchost est un processus hôte de mémoire.
http://www.virustotal.com/file-scan/report.html?id=335425084f13917b210d6fa66cd16da07685194e56a391fbb3a33a34aecd9a90-1324062892
http://www.virustotal.com/file-scan/report.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1324063166
http://www.virustotal.com/file-scan/report.html?id=335425084f13917b210d6fa66cd16da07685194e56a391fbb3a33a34aecd9a90-1324062892
http://www.virustotal.com/file-scan/report.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1324063166
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 20:39
16 déc. 2011 à 20:39
ça ne signifie pas grand chose un tel listing, quand une infection arrive, elle fait des modifications mais ton système continue de tourner et en fait aussi.
Tes fichiers sont ok.
Tu as un rapport qui montre l'infection ou des fichiers infectés ?
A +
Tes fichiers sont ok.
Tu as un rapport qui montre l'infection ou des fichiers infectés ?
A +
Hmm nan je n'ai plus les rapports.
Mais le "tel listing" en question te montre un fichier présent dans Roaming. D'une part il n'a rien a faire là il s'était déjà multiplié depuis mon bureau en hr2011 et processname qui effectuait toutes les modifications. J'ai eu les pages d'accueil modifiés, des proxys modifiés, serveur DNS également.
De nombreuses clé se rajoutant forçant le lancement du logiciel au démarrage et last but not least MSIL/Injector.PM detecté par Nod32 quand j'ai eu la bonne idée de le réactiver :)
Ayant annulé à la main toutes les modifications mes inquiétudes se portaient surtout sur les exe de windows que je ne pouvais pas supprimer par contre.
Mais le "tel listing" en question te montre un fichier présent dans Roaming. D'une part il n'a rien a faire là il s'était déjà multiplié depuis mon bureau en hr2011 et processname qui effectuait toutes les modifications. J'ai eu les pages d'accueil modifiés, des proxys modifiés, serveur DNS également.
De nombreuses clé se rajoutant forçant le lancement du logiciel au démarrage et last but not least MSIL/Injector.PM detecté par Nod32 quand j'ai eu la bonne idée de le réactiver :)
Ayant annulé à la main toutes les modifications mes inquiétudes se portaient surtout sur les exe de windows que je ne pouvais pas supprimer par contre.
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 16/12/2011 à 21:48
Modifié par kalimusic le 16/12/2011 à 21:48
Je ne dis pas que n'a pas été infecté, les 2 fichiers du dossier roaming sont clairement infectieux.
Mais tu as résolu le soucis tout seul, OTL et ComboFix ne montrent aucun signe d'infection.
Quels .exe de Windows voulais tu supprimer ? svchost.exe ? c'est un processus essentiel de Windows, heureusement que tu ne l'as pas fait.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Mais tu as résolu le soucis tout seul, OTL et ComboFix ne montrent aucun signe d'infection.
Quels .exe de Windows voulais tu supprimer ? svchost.exe ? c'est un processus essentiel de Windows, heureusement que tu ne l'as pas fait.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
A vrai dire aucun justement car par bon sens je savais qu'il ne fallait pas supprimer des fichiers nécessaires au fonctionnent de Windows mais on a toujours peur qu'un exe Windows ou non reste vérolé.
Bon et bien si tu me dis que visiblement rien n'est infecté je peux dormir sur mes deux oreilles (ayant formaté il y a une semaine..) et te remercier pour ton aide ;)
A+
Bon et bien si tu me dis que visiblement rien n'est infecté je peux dormir sur mes deux oreilles (ayant formaté il y a une semaine..) et te remercier pour ton aide ;)
A+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 déc. 2011 à 22:38
16 déc. 2011 à 22:38
ok,
Il faut désinstaller les outils que tu as utilisé.
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle:
● Clique sur le bouton Correction.
3. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
4. Pour supprimer totalement et proprement les autres outils que tu as pu utiliser si besoin : DelFix (d'Xplode)
5. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut => UAC : Pourquoi ne pas le désactiver
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
Il faut désinstaller les outils que tu as utilisé.
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle:
:commands [clearallrestorepoints]
● Clique sur le bouton Correction.
3. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
4. Pour supprimer totalement et proprement les autres outils que tu as pu utiliser si besoin : DelFix (d'Xplode)
5. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut => UAC : Pourquoi ne pas le désactiver
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
