MSIL est un Cheval de Troie qui usurpe le nom de processus système légitimes.
– Il doit être immédiatement supprimé car il présente un risque pour votre système et vos données personnelles.
– Recensé le 24/03/2013.

Caractéristiques :

– Il appartient à une famille de trojans avec des fonctionnalités de polluteware.
– Un cheval de Troie (trojan) est un programme indésirable qui s’installe à l’insu de l’utilisateur.
– Un polluteware est un logiciel qui pollue les unités de stockage et/ou la Base de Registres.

Actions principales :

– Il modifie le paramètre « Load » de la Base de registres
– Il modifie une valeur du fichier Win.Ini (F3)
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4)
– Il crée des dossiers supplémentaires (O43),
– Il installe un processus de taille variable au niveau des dossiers système (O44),
– Il installe de multiples clés de registre Image File Execution Options (IFEO) (O50))
– Il crée de multiples fichiers utilisateurs (O61),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),
– Il crée de multiples fichiers et dossiers (O88 ),

Aperçu ZHPDiag :

—\\ Etat du Centre de Sécurité Windows

[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] Load: Modified

—\\ Processus lancés
[MD5.88E05F3B2031980A48D458EB78C67659] – (.Microsoft Corporation – Microsoft® Resource File To COFF Object Con.) — c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cvtres.exe [35320] [PID.1804]

—\\ Analyse des lignes F0, F1, F2, F3 – IniFiles, Autoloading programs
F3 – REG:win.ini: load=C:\WINDOWS\system32\Microsoft.com

—\\ Applications lancées au démarrage du système (O4)
O4 – HKCU\..\RunOnce: [WindowsUpdate] . (.Connectify – Pas de description.) — C:\Program Files\Windows Manager\winmgr.exe
O4 – HKUS\S-1-5-21-117609710-1659004503-725345543-6119\..\RunOnce: [WindowsUpdate] . (.Connectify – Pas de description.) — C:\Program Files\Windows Manager\winmgr.exe

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 04/06/2014 – 09:40:01 – [] -SH-D C:\Program Files\Windows Manager

—\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC:[MD5.F35A8CBE140163BD4A1599D3B4EB4A17] – 02/06/2014 – 13:42:48 RSHA- . (.Connectify – Pas de description.) — C:\WINDOWS\system32\Microsoft.com [9157632]

—\\ Image File Execution Options (IFEO) (O50)
O50 – IFEO:Image File Execution Options – AvastSvc.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – AvastUI.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avcenter.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avconfig.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgcsrvx.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgidsagent.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgnt.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgrsx.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avguard.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgui.exe – C:\WINDOWS\system32\Microsoft.com
O50 – IFEO:Image File Execution Options – avgwdsvc.exe – C:\WINDOWS\system32\Microsoft.com

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC: 04/06/2014 – 11:09:26 —A- . (.Connectify.) — C:\Documents and Settings\Coolman\Local Settings\Temp\ConnectifyInstaller.exe [8478736]

—\\ Scan Additionnel (O88 )
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:WindowsUpdate[HKCU\Software\VB and VBA Program Settings\INSTALL\DATE] C:\Program Files\Windows Manager
C:\Program Files\Windows Manager\winmgr.exe
C:\WINDOWS\system32\Microsoft.com

Liens :

Examples of Troj/MSIL-QO include
Location of Microsoft.com and Associated Malware
How to remove Trojan.MSIL virus (Removal Guide)

Alias :

Troj/MSIL-QO [Sophos] Mal/MSILInj-O [Sophos] Trojan.MSIL [Malwarebytes]

trojan.msil

Supprimer (Remove) :

– Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans les rapports ZHPDiag