> Tous les forums > Forum Sécurité
 Trojan MSIL Trouvé par MalwareBytesSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
secujac
  Posté le 09/12/2013 @ 21:24 
Aller en bas de la page 
Astucien

Bonsoir à toutes et tous,

Comme dit dans le titre, MalwareBytes vient de trouver le Trojan MSIL dans ma machine, et ceci à 5 endroits.

Capture d'écran: http://cjoint.com/?0LjvrwXzPZu

Juste avant, ADW Cleaner et Kaspersky ne m'avaient rien signalé d'anormal.

J'ai effacé les 5 entrées avec MalwareBytes, dont ci-dessous le rapport.

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.09.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16428
i7SSD
I7SSD-PC [administrateur]

09.12.2013 19:59:30
mbam-log-2013-12-09 (19-59-30).txt

Type d'examen: Examen complet (C:\|D:\|E:\|M:\|S:\|T:\|Z:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 489509
Temps écoulé: 47 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Dolby PCEE4\pt-br\pcee4c.resources.dll (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\OEM\Preload\Autorun\DRV\Realtek Audio Codec ALC271X_VB3\PCEE4\DolbyAdvancedAudio.msi (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\OEM\Preload\Autorun\DRV\Realtek Audio Codec ALC271X_VB3\PCEE4\DolbyHomeTheater.msi (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Realtek\Audio\PCEE4\DolbyAdvancedAudio.msi (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\1dece.msi (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.

(fin)

Si des experts pouvaient me donner leur avis et éventuellement des conseils, je serais heureux de savoir si je peux dormir tranquille, ou si je dois paniquer ...

D'avance Merci.

Publicité
Fill
 Posté le 09/12/2013 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

Ca ressemble à un faux positif.

1/ Peux-tu taper cette commande en "Invite de commande"

mbam.exe /developer

2/ Tu lances la même analyse que la précédente et tu postes le rapport.

Fill

secujac
 Posté le 09/12/2013 à 21:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Merci Fill de ta présence,

OK, je fais ces deux choses, ce sera fini dans environ 40 minutes.

A +

Fill
 Posté le 09/12/2013 à 21:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Je regarde cela demain en fin de journée.

Fill

secujac
 Posté le 09/12/2013 à 22:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

OK Fill, mais la formule de l'invite de commande ne fonctionne pas ...

http://cjoint.com/?0LjwaLqcpkS

J'ai essayé avec et sans espace après le exe et avant le slatch...

Bonne nuit si jamais.

Anonyme
 Posté le 09/12/2013 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

secujac

As-tu lancé "En tant qu'admin" la console?

secujac
 Posté le 09/12/2013 à 23:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut ReineClaude,

Oui, bien sûr, en administrateur, mais tu as vu la réponse de la console ...

J'ai refait des analyses KIS, ADW et MBAM, et il n'y a semble-t-il plus rien...

On verra demain, car debout depuis 5h00, et demain, de nouveaus 5h00, alors dodo

PS. Pour closeAll, j'ai suivi le lien, essayé, pas marché. A demain.

Bonne nuit.

Billkool
 Posté le 09/12/2013 à 23:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

Désolé pour l'incruste j'ai le même problème avec 45 Trojan MSIL

Je viens de le faire sur ma console en admin, j'ai pareil cela,ne fonctionne pas ?

Cdl

clbugnot
 Posté le 09/12/2013 à 23:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Billkool

Crée ton propre sujet plutôt que de te greffer sur celui-ci. Va sur la page d'accueil du forum Sécurité, clique sur Poser une question, en haut à droite de la liste des sujets, et expose ton problème.

Cordialement.

Billkool
 Posté le 10/12/2013 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

Merci du conseil,ben que,je ne comprend pas!

Bonne Nuit

Fill
 Posté le 10/12/2013 à 07:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

secujac a écrit :

Salut ReineClaude,

Oui, bien sûr, en administrateur, mais tu as vu la réponse de la console ...

J'ai refait des analyses KIS, ADW et MBAM, et il n'y a semble-t-il plus rien...

On verra demain, car debout depuis 5h00, et demain, de nouveaus 5h00, alors dodo

PS. Pour closeAll, j'ai suivi le lien, essayé, pas marché. A demain.

Bonne nuit.

Bonjour,

Tu dis qu'il n'y a plus rien. As-tu fais une mise à jour avant de repasser MBAM ? Une mise à jour des signatures a probablement réglé le problème.

Fill

secujac
 Posté le 10/12/2013 à 17:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir à tous,

@Fill, pas eu lme connecter aujourd'hui.

Donc, je fais chaque fois les mises à jour KIS et MalwareBytes juste avant de lancer une analyse.

Lorsque MBAM a trouvé ces trucs, je les ai mis en quarantaine et supprimés tout de suite.

J'ai refait une nouvelle analyse, mais comme il y avait à peine 1/2 heure que j'avais fait les mises à jour, je ne les ai pas refaites entre temps.

Donc, il a travaillé avec la même base que quand il les a trouvés.

Je ne sais donc pas si je suis totalement débarrassé ou si il faut aller voir plus loin.

Merci de ton suivi. Bonne soirée.

PS. Je ne pourrai plus me connecter aujourd'hui avant 22h.

Fill
 Posté le 10/12/2013 à 19:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Le problème, c'est que ce sont des fichiers légitimes à mon avis.

Personnellement, je les aurais sorti de la quarantaine, j'aurais mis mbam à jour et j'aurais relancé une analyse.

Fill

secujac
 Posté le 11/12/2013 à 08:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Hello Fill,

Merci de ta réponse.

Eh bien je les ai donc supprimés, et tout se passe bien sur la machine (semble-t-il...)

Par contre, si tu penses que ce serait mieux de revenir à une situation avant l'alerte et la suppression, je dispose bien sûr d'images système quotidiennes précédent ce souci.

A ton avis, je continue comme ça, ou je restaure à la veille du problème. (La veille, MBAM que je venais aussi de mettre à jour n'avait rien trouvé...)

Bonne journée.

Fill
 Posté le 11/12/2013 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

Quand un problème est détecté, il est bon de réfléchir avant de supprimer quoi que ce soit. C'est pour cela que la mise en quarantaine permet d'isoler des fichiers, qui peuvent être restaurés le cas échéant.

Lorsque les éléments détectés sont dans cette zone, ils deviennent inoffensifs.

Dans ton cas précis, que tu ne notes aucun problème ne m'étonne pas du tout, mais les fichiers sont dans le dossier OEM qui contient des sauvegardes importantes, notamment du pilote graphique.

Personnellement, je rétablirais une image précédente, je mettrais malwarebyte's à jour et je referais une analyse. Je suis prêt à parier qu'un correctif a été fait dans la base des signatures de l'éditeur MBAM et que le rapport sera vierge.

Fill

secujac
 Posté le 11/12/2013 à 17:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Hello Fill,

Merci,

Maintenant que tu me parles des pilotes, je me rappelle avoir vérifié la veille si de nouveaux drivers étaient disponibles...

Donc, je pense que le mieux est de restaurer une image datant de deux jours avant, et de refaire une analyse avec malwarebytes, après l'avoir mis à jour ... et ne plus chercher si il y a de nouveaux drivers.

J'ai encore une rdvs de 1 h, puis une heure de route, je ferai cela en rentrant.

Te tiendrai au courant.

Encore Merci

secujac
 Posté le 11/12/2013 à 21:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir Fill et tout le monde.

Alors voilà, conclusion:

1. Ai restauré image système de la veille, avant la recherche de pilotes Intel et autres composants.

Je précise que pour chaque recherche, j'ai eu le message suivant: Windows a déterminé que vous disposez des derniers pilotes disponibles.

Donc apparemment, rien n'a été installé à ce moment là... (Apparemment donc ...)

2. Refait les Mises à jour de MBAM, KIS, et Windows.

3. Analyse complète avec MBAM qui n'a rien trouvé de suspect.

4. Je lance maintenant une analyse complète avec KIS. Mais comme il n'avait rien signalé avant, je pense qu'il n'y aura rien maintenant.

Conclusion, je pense être débarrassé de ces p'tites cochonneries.

Merci Fill pour ton soutien, je pense que je pourrai clore le sujet tout à l'heure en donnant le résultat de l'analyse KIS.

Bien entendu, si tu as d'autres instructions, j'y serai attentif.

Fill
 Posté le 11/12/2013 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Conclusion, je pense être débarrassé de ces p'tites cochonneries.

Et bien non justement. Ce ne sont pas des cochonneries. Ce sont des fichiers légitimes qui avaient été détectés à tort par MBAM. Les dernières signatures ont permis de reclasser ces éléments comme sains puisqu'ils ne sont plus détectés.

Le sujet est donc résolu.

Fill

secujac
 Posté le 11/12/2013 à 23:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Hello Fill,

Bon OK, je veux bien, mais je ne comprends pas alors pourquoi les jours précédents il ne me les annonçait pas comme Trojan alors qu'ils sont là si j'ai bien compris depuis l'installation de la machine (OEM), et chaque fois, je fais la Màj de MBAM juste avant l'analyse.

Si tu me réponds encore ce soir, je ne lirai la réponse que demain matin à 5 h, maintenant je suis obligé d'aller reposer mes yeux...

Au fait, l'analyse KIS, tout est OK.

Encore Merci.

Bonne nuit.

Fill
 Posté le 12/12/2013 à 08:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

Je te l'ai dit : une mise à jour de la base des signatures qui détecte à tort ces fichiers un jour, corrigée le lendemain par une autre mise à jour. C'est ce qu'on appelle un faux positif. C'est pourquoi, il faut prendre le temps de la réflexion quand un élément est trouvé pour savoir si c'est avéré ou non. Le facteur humain est important, et une suppression automatique, par l'antivirus ou la personne est toujours dangereuse, surtout si elle touche un fichier système...

secujac
 Posté le 12/12/2013 à 19:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Hello Fill,

Eh bien voilà, après encore une longue journée...

OK, cette fois j'ai bien compris l'apparition du Faux positif après une Màj et corrigé à la suivante.

Donc, tout est rentré dans l'ordre pour moi, et tout a l'air de fonctionner sans problème.

Encore merci pour ton soutien sur ce sujet que je peux donc clore.

Bonne soirée et bon week-end. (Oui oui, je sais, il y a encore le vendredi ...)

Edit: corrigé une faute de frappe.



Modifié par secujac le 13/12/2013 10:56
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
-100 €100 € de réduction à partir de 999 € chez Cdiscount avec le code MOINS100E
Valable jusqu'au 01 Décembre

Cdiscount propose actuellement 100 € de réduction à partir de 999 € d'achats. Pour profiter de l'offre, utilisez le code promo MOINS100E. 1000 codes disponibles. 

Notez que les codes MOINS25EUROS (-25 € dès 299 € d'achat) et 50EUROS (-50 € dès 499 €) sont toujours valables.


> Voir l'offre
24,99 €Pack Amazon Echo Dot + ampoule connectée LED E27 Philips Hue à 24,99 €
Valable jusqu'au 05 Décembre

Amazon fait une promotion sur le pack comprenant une enceinte connectée Amazon Echo Dot (3ème génération) + une ampoule connectée LED E27 Philips Hue à 24,99 € au lieu de 69 € seulement. Le pack est également disponible avec 2 ampoules à 29,99 €. Avec ces packs, vous pourrez contrôler l'éclairage des vos ampoules à la voix, créer des routines, etc.


> Voir l'offre
449,99 €Acer Swift 3 14 pouces (Core i5, 8Go de RAM, SSD 512 Go, Windows 11) + sacoche à 449,99 €
Valable jusqu'au 01 Décembre

Cdiscount fait une promotion sur l'ordinateur portable ultrabook Acer Swift 3 SF314-511 qui passe à 449,99 € avec le code 50EUROS alors qu'on le trouve ailleurs à partir de 639 €. Cet ordinateur portable est équipé d'un écran 14 pouces FullHD (1920x1080) IPS, d'un processeur Core i5-1135G7, de 8 Go de RAM, d'un SSD de 512 Go. Une webcam, le WiFi et le Bluetooth sont de la partie. Des ports USB 2.0, USB 3.1 et HDMI sont présents. Le tout tourne sous Windows 11. Il pèse 1,2 kg et offre un autonomie d'environ 8 h.  Une sacoche est également fournie.


> Voir l'offre

Sujets relatifs
MalwareBytes trouve un fichier infecté " Trojan "
Trojan.Agent trouvé par Malwarebytes
Avast trouve un Trojan dans Free Panda Cloud Cleaner!
Malwarebytes à trouvé une infection ?
Avast me trouve un trojan
Trojan FakeMs trouvé
Rapport Malwarebytes rempli de Trojan
Trojan récalcitrant à Malwarebytes
KAV a trouvé un trojan dans SA base!
Trojan Dropper détecté par Malwarebytes
Plus de sujets relatifs à Trojan MSIL Trouvé par MalwareBytes
 > Tous les forums > Forum Sécurité