Virus récurrent, injector.exe [Résolu/Fermé]
Signaler
lilburrows
Malekal_morte-
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
A voir également:
- Virus récurrent, injector.exe
- Virus récurrent, injector.exe ✓ - Forum - Virus / Sécurité
- Attaques virus récurrentes - URL:MAL valueapps.exe ✓ - Forum - Virus / Sécurité
- Infection virus tous mes .exe=0ko ..n'est pas 1appli win32 valid ✓ - Forum - Virus / Sécurité
- Virus windows newdev.exe ??? ✓ - Forum - Virus / Sécurité
- Comment supprimer virus dans fichier .exe ? ✓ - Forum - Virus / Sécurité
26 réponses
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Salut,
Poste le rapport Malwarebyte et fais ça :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Poste le rapport Malwarebyte et fais ça :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Merci beaucoup pour votre réponse !
OTL.txt
https://pjjoint.malekal.com/files.php?read=20120423_e5r6b7e14d9
Extras.txt
https://pjjoint.malekal.com/files.php?read=20120423_u15o11b15m8w8
Je refais une analyse avec Malwarebytes pour le rapport sauf qu'il tourne encore et bizarrement il ne trouve rien alors que d'habitude il trouve directement.
Ensuite depuis tout à l'heure j'ai eu deux fois l'alerte suivante par Malwarebytes et Bitdefender :
Nom du virus : Gen:Variant.MSILKrypt.3
Accédé par :
svchost.exe
C:\Users\Steven\AppData\Roaming\javaw.exe
Malware lui repère la même chose avec à la fin "BACKDOOR.BOT"
Voila, manifestement Malwarebytes ne souhaite plus retrouver le virus...
OTL.txt
https://pjjoint.malekal.com/files.php?read=20120423_e5r6b7e14d9
Extras.txt
https://pjjoint.malekal.com/files.php?read=20120423_u15o11b15m8w8
Je refais une analyse avec Malwarebytes pour le rapport sauf qu'il tourne encore et bizarrement il ne trouve rien alors que d'habitude il trouve directement.
Ensuite depuis tout à l'heure j'ai eu deux fois l'alerte suivante par Malwarebytes et Bitdefender :
Nom du virus : Gen:Variant.MSILKrypt.3
Accédé par :
svchost.exe
C:\Users\Steven\AppData\Roaming\javaw.exe
Malware lui repère la même chose avec à la fin "BACKDOOR.BOT"
Voila, manifestement Malwarebytes ne souhaite plus retrouver le virus...
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
PRC - [2010/11/05 03:57:40 | 000,032,072 | ---- | M] (Microsoft Corporation) -- F:\Temp\svchost.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found.
[2012/04/23 00:16:47 | 000,000,000 | ---D | C] -- C:\Users\Steven\AppData\Roaming\dclogs
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
PRC - [2010/11/05 03:57:40 | 000,032,072 | ---- | M] (Microsoft Corporation) -- F:\Temp\svchost.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found.
[2012/04/23 00:16:47 | 000,000,000 | ---D | C] -- C:\Users\Steven\AppData\Roaming\dclogs
* redemarre le pc sous windows et poste le rapport ici
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
========== OTL ==========
No active process named svchost.exe was found!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ not found.
C:\Users\Steven\AppData\Roaming\dclogs folder moved successfully.
Par contre c'est normal si au redémarrage ça m'as ajouté 2 fichiers desktop.ini sur mon bureau et affiché tout les fichiers cachés ?
No active process named svchost.exe was found!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ not found.
C:\Users\Steven\AppData\Roaming\dclogs folder moved successfully.
Par contre c'est normal si au redémarrage ça m'as ajouté 2 fichiers desktop.ini sur mon bureau et affiché tout les fichiers cachés ?
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Désactive l'affichage des fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Change tes mots de passe WEB (Facebook, MSN, mail etc).
Ils ont été pompés.
Change tes mots de passe WEB (Facebook, MSN, mail etc).
Ils ont été pompés.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
D'accords, et la le virus est toujours présent ?
Car le programme injector.exe est toujours présent.
Et pour les MDP, je change même ceux que je n'ai pas entré durant l'infection ?
Car le programme injector.exe est toujours présent.
Et pour les MDP, je change même ceux que je n'ai pas entré durant l'infection ?
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
F:\Temp
J'ai plusieurs disques dur, et le virus me désactive toujours mes AV au démarrage, ça me fais un peu peur.
J'ai plusieurs disques dur, et le virus me désactive toujours mes AV au démarrage, ça me fais un peu peur.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur cijoint.fr et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur cijoint.fr et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Je n'utilise rien d'amovible, la seule chose que j'ai branché depuis l'infection c'est mon iPhone. Mes disques durs sont internes :/
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Voila le rapport
https://pjjoint.malekal.com/files.php?read=20120423_w5f9w98i10
https://pjjoint.malekal.com/files.php?read=20120423_w5f9w98i10
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Faire USBFix en suppression.
Supprime ce fichier : C:\Windows\SysNative\hale.exe
Redémarre l'ordinateur voir si F:\temp\svchost.exe continue à se lancer.
Supprime ce fichier : C:\Windows\SysNative\hale.exe
Redémarre l'ordinateur voir si F:\temp\svchost.exe continue à se lancer.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
C'est fait, sauf pour ça "C:\Windows\SysNative\hale.exe "
Je n'ai pas le dossier SysNative.
Les programmes injector.exe et svchost.exe sont toujours présents dans Temp
Et mes disques durs se sont tous renommés en "Disque Local"
AV toujours désactivés.
Je n'ai pas le dossier SysNative.
Les programmes injector.exe et svchost.exe sont toujours présents dans Temp
Et mes disques durs se sont tous renommés en "Disque Local"
AV toujours désactivés.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Voici une capture de mon résultat Malwarebytes :
http://www.hostingpics.net/viewer.php?id=806904malware.png
Apparemment le virus enregistrerais toutes mes actions ici si je ne me trompes pas...
"C:\Users\Steven\AppData\Roaming\dclogs"
http://www.hostingpics.net/viewer.php?id=806904malware.png
Apparemment le virus enregistrerais toutes mes actions ici si je ne me trompes pas...
"C:\Users\Steven\AppData\Roaming\dclogs"
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Malwarebyte a fait virer les mm trucs que je t'ai fait virer...
Il doit rester qq chose pour que "tout" revienne.
Vais regarder les fichiers.
Il doit rester qq chose pour que "tout" revienne.
Vais regarder les fichiers.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Voila c'est fait, j'ai uploadé.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Si tu supprimes F:\Temp\svchost.exe il se relance directement ?
Même question pour injector.exe
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Même question pour injector.exe
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Relancer je sais pas je vois pas qu'ils sont lancés, mais en tout cas ils reviennent à chaque redémarrage dans le dossier.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
Non seulement après redémarrage, mais svchost.exe ne veut pas se supprimer manuellement.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
Affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Supprime les deux fichiers (je pense que ça doit marcher pour svchost).
Et clic droit / Nouveau / Fichier texte et tu les nommes svchost.exe et injector.exe
le but déjà c'est que la version malicieuse des fichiers ne puissent être recréés, ça devrait laisser les fichiers textes vides.
Redémarre en mode normal et vérifie bien que c'est les fichiers texte à 0ko qui sont restés.
Si svchost.exe ne veux pas se supprimer, regarde dans le gestionnaire de tâches si tu n'as pas un svchost.exe qui tourne à avec ton nom de session.
Tue le processus dans ce cas.
Affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Supprime les deux fichiers (je pense que ça doit marcher pour svchost).
Et clic droit / Nouveau / Fichier texte et tu les nommes svchost.exe et injector.exe
le but déjà c'est que la version malicieuse des fichiers ne puissent être recréés, ça devrait laisser les fichiers textes vides.
Redémarre en mode normal et vérifie bien que c'est les fichiers texte à 0ko qui sont restés.
Si svchost.exe ne veux pas se supprimer, regarde dans le gestionnaire de tâches si tu n'as pas un svchost.exe qui tourne à avec ton nom de session.
Tue le processus dans ce cas.
lilburrows
- Messages postés
- 637
- Date d'inscription
- samedi 26 mai 2007
- Statut
- Membre
- Dernière intervention
- 24 avril 2012
C'est fait, injector.exe reste à 0 octets, svchost est retourné sur ses 32 Ko.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
et si tu mets svchost.exe en lecture seule ?
clic droit / propriété : lecture seule ?
Lance aussi un scan en ligne NOD32 histoire de voir ce qu'il détecte : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
clic droit / propriété : lecture seule ?
Lance aussi un scan en ligne NOD32 histoire de voir ce qu'il détecte : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32