Virus récurrent, injector.exe Résolu/Fermé

Question

Bonjour !

Je viens solliciter votre aide pour un virus récurrent.
J'ai dernièrement voulu installer un programme d'injection de DLL pour pouvoir tricher dans mes jeux (en solo) et j'ai eu la mauvaise surprise de me rendre compte que c'était un virus, hors au téléchargement du-dit programme l'AV n'avait rien détecté...

Ce programme se mettait au démarrage dernièrement mais plus maintenant mais il n'empêche qu'il hante toujours mes fichiers, à chaque redémarrage il désactive mon AV et mon pare-feu Windows.
A l'aide de Malwarebytes Anti-Malware j'ai fais des analyses et il le détecte puis le supprime à tout les coups sauf qu'après un redémarrage il se remet dans "F:\Temp" (mon répertoire de fichiers temporaires).
Le programme se nomme "Injector.exe" et le nom du soft est "X1njector". Je ne le trouve pas dans ma liste de processus.

Voila c'est tout ce que je sais sur ce virus, merci beaucoup pour votre aide !

Configuration: Windows 7 / Firefox 11.0

Malekal_morte- · Answer

Salut,

Poste le rapport Malwarebyte et fais ça :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

lilburrows · Answer

Merci beaucoup pour votre réponse !

OTL.txt
https://pjjoint.malekal.com/files.php?read=20120423_e5r6b7e14d9

Extras.txt
https://pjjoint.malekal.com/files.php?read=20120423_u15o11b15m8w8

Je refais une analyse avec Malwarebytes pour le rapport sauf qu'il tourne encore et bizarrement il ne trouve rien alors que d'habitude il trouve directement.
Ensuite depuis tout à l'heure j'ai eu deux fois l'alerte suivante par Malwarebytes et Bitdefender :

Nom du virus : Gen:Variant.MSILKrypt.3

Accédé par :
svchost.exe

C:\Users\Steven\AppData\Roaming\javaw.exe

Malware lui repère la même chose avec à la fin "BACKDOOR.BOT"


Voila, manifestement Malwarebytes ne souhaite plus retrouver le virus...

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
PRC - [2010/11/05 03:57:40 | 000,032,072 | ---- | M] (Microsoft Corporation) -- F:\Temp\svchost.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 
O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found. 
[2012/04/23 00:16:47 | 000,000,000 | ---D | C] -- C:\Users\Steven\AppData\Roaming\dclogs

* redemarre le pc sous windows et poste le rapport ici

lilburrows · Answer

========== OTL ==========
No active process named svchost.exe was found!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ not found.
C:\Users\Steven\AppData\Roaming\dclogs folder moved successfully.


Par contre c'est normal si au redémarrage ça m'as ajouté 2 fichiers desktop.ini sur mon bureau et affiché tout les fichiers cachés ?

Malekal_morte- · Answer

Désactive l'affichage des fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Change tes mots de passe WEB (Facebook, MSN, mail etc).

Ils ont été pompés.

lilburrows · Answer

D'accords, et la le virus est toujours présent ? 
Car le programme injector.exe est toujours présent.

Et pour les MDP, je change même ceux que je n'ai pas entré durant l'infection ?

lilburrows · Answer

F:\Temp

J'ai plusieurs disques dur, et le virus me désactive toujours mes AV au démarrage, ça me fais un peu peur.

Malekal_morte- · Answer

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).   
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.   

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.   
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :   

https://forum.malekal.com/viewtopic.php?t=5544&start=   

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.   
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.   
Poste les rapports sur cijoint.fr et donne les adresses.   

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/

lilburrows · Answer

Je n'utilise rien d'amovible, la seule chose que j'ai branché depuis l'infection c'est mon iPhone. Mes disques durs sont internes :/

lilburrows · Answer

Voila le rapport

https://pjjoint.malekal.com/files.php?read=20120423_w5f9w98i10

Malekal_morte- · Answer

Faire USBFix en suppression.

Supprime ce fichier : C:\Windows\SysNative\hale.exe

Redémarre l'ordinateur voir si F:	emp\svchost.exe continue à se lancer.

lilburrows · Answer

C'est fait, sauf pour ça "C:\Windows\SysNative\hale.exe "
Je n'ai pas le dossier SysNative.

Les programmes injector.exe et svchost.exe sont toujours présents dans Temp
Et mes disques durs se sont tous renommés en "Disque Local"
AV toujours désactivés.

lilburrows · Answer

Voici une capture de mon résultat Malwarebytes : 

http://www.hostingpics.net/viewer.php?id=806904malware.png

Apparemment le virus enregistrerais toutes mes actions ici si je ne me trompes pas...
"C:\Users\Steven\AppData\Roaming\dclogs"

lilburrows · Answer

Voila c'est fait, j'ai uploadé.

Malekal_morte- · Answer

Si tu supprimes F:\Temp\svchost.exe il se relance directement ? 
Même question pour injector.exe 

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

lilburrows · Answer

Relancer je sais pas je vois pas qu'ils sont lancés, mais en tout cas ils reviennent à chaque redémarrage dans le dossier.

lilburrows · Answer

Non seulement après redémarrage, mais svchost.exe ne veut pas se supprimer manuellement.

Malekal_morte- · Answer

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.     

Affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Supprime les deux fichiers (je pense que ça doit marcher pour svchost).
Et clic droit / Nouveau / Fichier texte et tu les nommes svchost.exe et injector.exe

le but déjà c'est que la version malicieuse des fichiers ne puissent être recréés, ça devrait laisser les fichiers textes vides.

Redémarre en mode normal et vérifie bien que c'est les fichiers texte à 0ko qui sont restés.

Si svchost.exe ne veux pas se supprimer, regarde dans le gestionnaire de tâches si tu n'as pas un svchost.exe qui tourne à avec ton nom de session.
Tue le processus dans ce cas.

lilburrows · Answer

C'est fait, injector.exe reste à 0 octets, svchost est retourné sur ses 32 Ko.

lilburrows · Answer

Ca marche en lecture seule. 
NOD32 ne veut pas se télécharger ça me dit "Can not get update. Is proxy configured ?"


EDIT : C'est bon ça télécharge dsl

Malekal_morte- · Answer

Kaspersky Removal tools alors : https://forum.malekal.com/viewtopic.php?t=33710&start= 

Enregistre bien le rapport, voir s'il détecte d'autres choses.

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

lilburrows · Answer

Je fais NOD mais c'est très lent.

lilburrows · Answer

Je vais plutôt essayer Kapersky parce que NOD bloque ou fait un fichier par seconde.

lilburrows · Answer

Voici le rapport de Kapersky :  
https://pjjoint.malekal.com/files.php?read=20120423_f12g12d10j12b5

Un peu long mais je pense que la seule ligne intéressante est celle-ci :  
23/04/2012 18:54:12 Sera supprimé lors du redémarrage de l'ordinateur: Trojan-Dropper.Win32.Injector.eqzx C:\Users\Steven\AppData\Roaming\Google Update\Google Update.exe    
23/04/2012 18:54:12 Création de la copie de sauvegarde C:\Users\Steven\AppData\Roaming\Google Update\Google Update.exe    
23/04/2012 18:53:23 Détectés: Trojan-Dropper.Win32.Injector.eqzx C:\Users\Steven\AppData\Roaming\Google Update\Google Update.exe 

J'ai tenté de supprimer avec Kapersky mais apparemment ça n'a rien changé, le fichier est supprimé mais toujours l'AV qui se désactive.

Malekal_morte- · Answer

ça donne quoi si tu désinstalles et réinstalles ton antivirus ?

lilburrows · Answer

Pour l'AV ça a l'air d'être bon, j'ai activé le centre de maintenance au démarrage dans les Services le virus avait du le désactiver.

A priori j'ai réussi à supprimer scvhost.exe définitivement aussi mais je suis pas sur que le virus soit parti, mes disques durs se nomment tous Disque local et je peut pas modifier alors que si je clique droit sur Ordinateur et fait Gérer mes disques durs ont le nom que je leur avaient donnés.

Virus récurrent, injector.exe

26 réponses

Discussions similaires