Virus récurrent, injector.exe [Résolu/Fermé]

Signaler
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
-
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour !

Je viens solliciter votre aide pour un virus récurrent.
J'ai dernièrement voulu installer un programme d'injection de DLL pour pouvoir tricher dans mes jeux (en solo) et j'ai eu la mauvaise surprise de me rendre compte que c'était un virus, hors au téléchargement du-dit programme l'AV n'avait rien détecté...

Ce programme se mettait au démarrage dernièrement mais plus maintenant mais il n'empêche qu'il hante toujours mes fichiers, à chaque redémarrage il désactive mon AV et mon pare-feu Windows.
A l'aide de Malwarebytes Anti-Malware j'ai fais des analyses et il le détecte puis le supprime à tout les coups sauf qu'après un redémarrage il se remet dans "F:\Temp" (mon répertoire de fichiers temporaires).
Le programme se nomme "Injector.exe" et le nom du soft est "X1njector". Je ne le trouve pas dans ma liste de processus.

Voila c'est tout ce que je sais sur ce virus, merci beaucoup pour votre aide !

26 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Salut,

Poste le rapport Malwarebyte et fais ça :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Merci beaucoup pour votre réponse !

OTL.txt
https://pjjoint.malekal.com/files.php?read=20120423_e5r6b7e14d9

Extras.txt
https://pjjoint.malekal.com/files.php?read=20120423_u15o11b15m8w8

Je refais une analyse avec Malwarebytes pour le rapport sauf qu'il tourne encore et bizarrement il ne trouve rien alors que d'habitude il trouve directement.
Ensuite depuis tout à l'heure j'ai eu deux fois l'alerte suivante par Malwarebytes et Bitdefender :

Nom du virus : Gen:Variant.MSILKrypt.3

Accédé par :
svchost.exe

C:\Users\Steven\AppData\Roaming\javaw.exe


Malware lui repère la même chose avec à la fin "BACKDOOR.BOT"


Voila, manifestement Malwarebytes ne souhaite plus retrouver le virus...
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
PRC - [2010/11/05 03:57:40 | 000,032,072 | ---- | M] (Microsoft Corporation) -- F:\Temp\svchost.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found.
[2012/04/23 00:16:47 | 000,000,000 | ---D | C] -- C:\Users\Steven\AppData\Roaming\dclogs


* redemarre le pc sous windows et poste le rapport ici
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
========== OTL ==========
No active process named svchost.exe was found!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ not found.
C:\Users\Steven\AppData\Roaming\dclogs folder moved successfully.


Par contre c'est normal si au redémarrage ça m'as ajouté 2 fichiers desktop.ini sur mon bureau et affiché tout les fichiers cachés ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Désactive l'affichage des fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Change tes mots de passe WEB (Facebook, MSN, mail etc).

Ils ont été pompés.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
D'accords, et la le virus est toujours présent ?
Car le programme injector.exe est toujours présent.

Et pour les MDP, je change même ceux que je n'ai pas entré durant l'infection ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Tu le vois où ce injector.exe ?
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
F:\Temp

J'ai plusieurs disques dur, et le virus me désactive toujours mes AV au démarrage, ça me fais un peu peur.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

https://forum.malekal.com/viewtopic.php?t=5544&start=

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur cijoint.fr et donne les adresses.

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Je n'utilise rien d'amovible, la seule chose que j'ai branché depuis l'infection c'est mon iPhone. Mes disques durs sont internes :/
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
remets tout ça et fais USBFix.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Faire USBFix en suppression.

Supprime ce fichier : C:\Windows\SysNative\hale.exe

Redémarre l'ordinateur voir si F:\temp\svchost.exe continue à se lancer.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
C'est fait, sauf pour ça "C:\Windows\SysNative\hale.exe "
Je n'ai pas le dossier SysNative.

Les programmes injector.exe et svchost.exe sont toujours présents dans Temp
Et mes disques durs se sont tous renommés en "Disque Local"
AV toujours désactivés.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Tu peux envoyer ces fichiers sur http://upload.malekal.com que je vois comment ça marche :)
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Voici une capture de mon résultat Malwarebytes :

http://www.hostingpics.net/viewer.php?id=806904malware.png

Apparemment le virus enregistrerais toutes mes actions ici si je ne me trompes pas...
"C:\Users\Steven\AppData\Roaming\dclogs"
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Malwarebyte a fait virer les mm trucs que je t'ai fait virer...
Il doit rester qq chose pour que "tout" revienne.

Vais regarder les fichiers.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Voila c'est fait, j'ai uploadé.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Si tu supprimes F:\Temp\svchost.exe il se relance directement ?
Même question pour injector.exe

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Relancer je sais pas je vois pas qu'ils sont lancés, mais en tout cas ils reviennent à chaque redémarrage dans le dossier.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
oui j'ai bien compris, mais si tu supprimes et que tu réactualises, ça revient direct ou pas ?
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Non seulement après redémarrage, mais svchost.exe ne veut pas se supprimer manuellement.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

Affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Supprime les deux fichiers (je pense que ça doit marcher pour svchost).
Et clic droit / Nouveau / Fichier texte et tu les nommes svchost.exe et injector.exe

le but déjà c'est que la version malicieuse des fichiers ne puissent être recréés, ça devrait laisser les fichiers textes vides.

Redémarre en mode normal et vérifie bien que c'est les fichiers texte à 0ko qui sont restés.

Si svchost.exe ne veux pas se supprimer, regarde dans le gestionnaire de tâches si tu n'as pas un svchost.exe qui tourne à avec ton nom de session.
Tue le processus dans ce cas.
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
C'est fait, injector.exe reste à 0 octets, svchost est retourné sur ses 32 Ko.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 099
et si tu mets svchost.exe en lecture seule ?
clic droit / propriété : lecture seule ?

Lance aussi un scan en ligne NOD32 histoire de voir ce qu'il détecte : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Messages postés
637
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
24 avril 2012
61
Ca marche en lecture seule.
NOD32 ne veut pas se télécharger ça me dit "Can not get update. Is proxy configured ?"


EDIT : C'est bon ça télécharge dsl