J'ai un keyloger ?
Fred
-
Fred -
Fred -
Bonjour à tous,
En scannant mon PC avec Norton, je me suis aperçu qu'il passait beaucoup de temps sur le répertoire:
C:\WINDOWS\system32\data
En analysant le contenu de ce répertoire, je me suis aperçu qu'il se remplit à chaque clic de souris de 2 fichiers:
- un premier sans extension avec comme format la date et l'heure
ex: 2004-11-14_22-04-02
- le même avec "thumb" en en-tête
Quand j'ouvre ces fichiers avec un éditeur graphique, je constate qu'il s'agit d'une capture de mon écran WinXP, prise à chaque fois que je clique avec la souris. Inutile de vous dire que ça se remplit vite !
Quand je supprime ce répertoire data, il réapparait automatiquement.
Je me demande s'il ne s'agirait pas d'un keyloger ?
Toujours est-il que ni Ad-aware, ni Spybot, ni Trojan scan, ni Norton AV ne détectent quoi que ce soit ...
Une idée ?!
Merci d'avance
En scannant mon PC avec Norton, je me suis aperçu qu'il passait beaucoup de temps sur le répertoire:
C:\WINDOWS\system32\data
En analysant le contenu de ce répertoire, je me suis aperçu qu'il se remplit à chaque clic de souris de 2 fichiers:
- un premier sans extension avec comme format la date et l'heure
ex: 2004-11-14_22-04-02
- le même avec "thumb" en en-tête
Quand j'ouvre ces fichiers avec un éditeur graphique, je constate qu'il s'agit d'une capture de mon écran WinXP, prise à chaque fois que je clique avec la souris. Inutile de vous dire que ça se remplit vite !
Quand je supprime ce répertoire data, il réapparait automatiquement.
Je me demande s'il ne s'agirait pas d'un keyloger ?
Toujours est-il que ni Ad-aware, ni Spybot, ni Trojan scan, ni Norton AV ne détectent quoi que ce soit ...
Une idée ?!
Merci d'avance
12 réponses
salut
Nettoyage virus
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
si aucun virus detecter
fait ceci
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/balltrap34/page%20virus.htm
telecharge le et met le dans son propre dossier ex/c :hj
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
-----------------
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Nettoyage virus
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
si aucun virus detecter
fait ceci
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/balltrap34/page%20virus.htm
telecharge le et met le dans son propre dossier ex/c :hj
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
-----------------
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Malheureusement, RAV n'a rien trouvé:
RAV Scan ReportStatistics
Scanned files: 75186
Scanned directories:6666
Scanned archives:6369
Size of the scanned files:1685710517
Packed files:2639
Known viruses found:0
Virus bodies:0
Suspicious files:0
Disinfected files:0
Deleted files:0
Renamed files:0
Copied files:0
I/O errors:0
Warnings:0
Corrupted files:0
New files:219034
Mail files:100
Found viruses
No virus found
HiJackThis non plus:
Logfile of HijackThis v1.97.7
Scan saved at 21:32:00, on 15/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\Fast.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\Atiptaxx.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\NortonAV.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\System32\srvreg.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Paps\Local Settings\Temporary Internet Files\Content.IE5\49KPY7KX\HijackThis[1].exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Moi\Application Data\Mozilla\Profiles\default\5l184bvl.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ToolBar NetCourrier - {0000ED9A-DFFC-11D4-8D7A-B396C6A4A836} - C:\Program Files\NetCourrier\mtctltb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\System32\srvreg.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {0000ED9A-DFFC-11D4-8D7A-B396C6A4A836} (ToolBar NetCourrier) - http://img.medianet-technologies.com/netc/toolbar/mttoolbar.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17EB38E4-3AD8-4DB5-AB9E-AED5DF0FDF0C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CAF6692-89A2-4BC9-B04A-A41B034C6F1A}: NameServer = 192.168.0.1
En tout cas je ne vois rien de suspect dans son rapport ...
Depuis deux jours, j'écume les bases de connaissances des éditeurs (Symantec, Pestpatrol, ...) et je ne trouve rien ...
Depuis , j'ai scanné aussi avec Stinger, Pestpatrol, BPS Spyware remover, Kaspersky et ... aucun d'entre eux ne détecte d'anomalie.
J'ai peur que ça finisse par un format C: !
Si vous avez mieux à me proposer, je prend !
RAV Scan ReportStatistics
Scanned files: 75186
Scanned directories:6666
Scanned archives:6369
Size of the scanned files:1685710517
Packed files:2639
Known viruses found:0
Virus bodies:0
Suspicious files:0
Disinfected files:0
Deleted files:0
Renamed files:0
Copied files:0
I/O errors:0
Warnings:0
Corrupted files:0
New files:219034
Mail files:100
Found viruses
No virus found
HiJackThis non plus:
Logfile of HijackThis v1.97.7
Scan saved at 21:32:00, on 15/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\Fast.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\Atiptaxx.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\NortonAV.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\System32\srvreg.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Paps\Local Settings\Temporary Internet Files\Content.IE5\49KPY7KX\HijackThis[1].exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Moi\Application Data\Mozilla\Profiles\default\5l184bvl.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ToolBar NetCourrier - {0000ED9A-DFFC-11D4-8D7A-B396C6A4A836} - C:\Program Files\NetCourrier\mtctltb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\System32\srvreg.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {0000ED9A-DFFC-11D4-8D7A-B396C6A4A836} (ToolBar NetCourrier) - http://img.medianet-technologies.com/netc/toolbar/mttoolbar.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17EB38E4-3AD8-4DB5-AB9E-AED5DF0FDF0C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CAF6692-89A2-4BC9-B04A-A41B034C6F1A}: NameServer = 192.168.0.1
En tout cas je ne vois rien de suspect dans son rapport ...
Depuis deux jours, j'écume les bases de connaissances des éditeurs (Symantec, Pestpatrol, ...) et je ne trouve rien ...
Depuis , j'ai scanné aussi avec Stinger, Pestpatrol, BPS Spyware remover, Kaspersky et ... aucun d'entre eux ne détecte d'anomalie.
J'ai peur que ça finisse par un format C: !
Si vous avez mieux à me proposer, je prend !
edit:
J'ai passé mon rapport à l'analyse sur hijackthis.de et viré tout ce qui était déclaré "méchant" ou "éventuellement méchant": pas de changements ...
ouinnnnnn, je craque !!!
J'ai passé mon rapport à l'analyse sur hijackthis.de et viré tout ce qui était déclaré "méchant" ou "éventuellement méchant": pas de changements ...
ouinnnnnn, je craque !!!
J'ai trouvé !!!
Après avoir essayé une palanquée d'outils, je me suis basé sur le classement des anti-keyloggers de l'excellent site assiste.com.
J'ai donc essayé:
- Tauscan: n'a rien vu
- Trojan remover: n'a rien vu
- TDS-3: miracle ! c'est le seul a avoir mis le doigt sur le fichier qui me posait problème: C:\WINDOWS\System32\NortonAV.exe
Incroyable ! HiJackThis l'avait vu mais le déclarait simplement comme
"Tache inconnue" ...
Bref, TDS-3 me l'a effacé et depuis j'ai plus de screenshots à chaque clic !
Là j'ai besoin de l'avis de spécialistes: c'est un fichier qui se fait passer
pour Norton Antivirus (qui était effectivement installé il y a peu sur mon PC. Je l'ai viré depuis, mon abonnement étant expiré) ou alors c'est Norton qui est plein de mauvaises intentions ? En tout cas je ne regrette pas d'avoir donné ma préference à Kaspersky !
Désolé de faire un monologue, mais ayant réussi à me débarasser de cette saloperie, je crois utile d'en faire profiter ceux d'entre vous qui auraient les mêmes soucis.
Après avoir essayé une palanquée d'outils, je me suis basé sur le classement des anti-keyloggers de l'excellent site assiste.com.
J'ai donc essayé:
- Tauscan: n'a rien vu
- Trojan remover: n'a rien vu
- TDS-3: miracle ! c'est le seul a avoir mis le doigt sur le fichier qui me posait problème: C:\WINDOWS\System32\NortonAV.exe
Incroyable ! HiJackThis l'avait vu mais le déclarait simplement comme
"Tache inconnue" ...
Bref, TDS-3 me l'a effacé et depuis j'ai plus de screenshots à chaque clic !
Là j'ai besoin de l'avis de spécialistes: c'est un fichier qui se fait passer
pour Norton Antivirus (qui était effectivement installé il y a peu sur mon PC. Je l'ai viré depuis, mon abonnement étant expiré) ou alors c'est Norton qui est plein de mauvaises intentions ? En tout cas je ne regrette pas d'avoir donné ma préference à Kaspersky !
Désolé de faire un monologue, mais ayant réussi à me débarasser de cette saloperie, je crois utile d'en faire profiter ceux d'entre vous qui auraient les mêmes soucis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et pour finir ...
ce serait le ver WORM_AGOBOT.QN d'après trend micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.QN
ce serait le ver WORM_AGOBOT.QN d'après trend micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.QN
Bonjour,
Oui, c'est un truc bien connu que les auteurs de malveillances donnent très souvent des noms qui font penser qu'il s'agit d'un programme légitime. Il faut donc se méfier même de ce qui semble familier.
Au moindre doute, aller voir sur la liste de PacMan http://www.sysinfo.org/startuplist.php , vérifier si le nom est connu et sinon faire une recherche sur Google.
Se méfier aussi des fichiers qui ont un nom identique mais ne sont pas situés à l'emplacement normal.
Maintenant que ton problème de keylogger est résolu, pense à changer tous tes mots de passe et installe un vrai pare-feu. Ne te fie pas au jouet de Windows XP.
@+
Vazkor [W2K+Moz 1.7.3 Fr+ ...]
c'est un fichier qui se fait passer pour Norton Antivirus
Oui, c'est un truc bien connu que les auteurs de malveillances donnent très souvent des noms qui font penser qu'il s'agit d'un programme légitime. Il faut donc se méfier même de ce qui semble familier.
Au moindre doute, aller voir sur la liste de PacMan http://www.sysinfo.org/startuplist.php , vérifier si le nom est connu et sinon faire une recherche sur Google.
Se méfier aussi des fichiers qui ont un nom identique mais ne sont pas situés à l'emplacement normal.
Maintenant que ton problème de keylogger est résolu, pense à changer tous tes mots de passe et installe un vrai pare-feu. Ne te fie pas au jouet de Windows XP.
@+
Vazkor [W2K+Moz 1.7.3 Fr+ ...]
Merci Vazkor pour tes précisions.
Peut-être peux-tu compléter en répondant à cette interrogation que j'ai sur ce ver, et pour laquelle je n'ai pas trouvé de réponse:
Ce keylogger a-t-il comme action de collecter des infos personnelles puis de les transmettre en temps réel via internet à un destinataire ou se contente-t-il de laisser sa collecte sur mon disque dur, tout en créant une faille de sécurité qui permettrait à un hacker d'y accéder ?
Ce qui m'importe c'est de savoir si ces infos ont pu sortir depuis fin août où les premières captures ont eu lieu ou si j'ai des chances qu'elles n'aient pas pu être vues grace à la protection du firewall matériel de mon routeur Netgear ?
J'ai déjà installé Zonealarm, par prudence je vais changer mes mots de passe !
Merci encore
Peut-être peux-tu compléter en répondant à cette interrogation que j'ai sur ce ver, et pour laquelle je n'ai pas trouvé de réponse:
Ce keylogger a-t-il comme action de collecter des infos personnelles puis de les transmettre en temps réel via internet à un destinataire ou se contente-t-il de laisser sa collecte sur mon disque dur, tout en créant une faille de sécurité qui permettrait à un hacker d'y accéder ?
Ce qui m'importe c'est de savoir si ces infos ont pu sortir depuis fin août où les premières captures ont eu lieu ou si j'ai des chances qu'elles n'aient pas pu être vues grace à la protection du firewall matériel de mon routeur Netgear ?
J'ai déjà installé Zonealarm, par prudence je vais changer mes mots de passe !
Merci encore
Re'
D'après Sophos (W32/Agobot-KO) et Trend Micro (WORM_AGOBOT.QN), le ver se connecte à un serveur IRC et attend les instructions (décrites sur le lien de Trend Micro que tu donnes).
Si ton Firewall Netgear bloque les ports IRC (6667) il n'y a pas de risques. Vérifie s'il possède un log des connexions sortantes et regarde les ports et les serveurs contactés.
D'après Sophos (W32/Agobot-KO) et Trend Micro (WORM_AGOBOT.QN), le ver se connecte à un serveur IRC et attend les instructions (décrites sur le lien de Trend Micro que tu donnes).
Si ton Firewall Netgear bloque les ports IRC (6667) il n'y a pas de risques. Vérifie s'il possède un log des connexions sortantes et regarde les ports et les serveurs contactés.
http://www.sophos.fr/virusinfo/analyses/w32agobotko.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.QN&VSect=T http://www.symantec.fr/region/fr/techsupp/avcenter/venc/data/fr-w32.hllw.gaobot.gen.html
Merci de ta réponse !
J'ai regardé la config de mon firewall Netgear et le port 6667 ne fait pas partie de ceux que j'ai volontairement ouvert.
Me voilà tranquilisé !
Merci encore à tous ceux qui m'ont aidé sur ce problème
J'ai regardé la config de mon firewall Netgear et le port 6667 ne fait pas partie de ceux que j'ai volontairement ouvert.
Me voilà tranquilisé !
Merci encore à tous ceux qui m'ont aidé sur ce problème
s'il vous plaît dite moi oui je peut telecharger ce TDS-3 et comment l'utiliser?
please please please
please please please
Google est ton ami !
Allez, tiens :
http://tds.diamondcs.com.au/
C'est un logiciel payant mais la version d'essai de 30 jours peut te permettre comme moi de te tirer d'une mauvaise situation !
Allez, tiens :
http://tds.diamondcs.com.au/
C'est un logiciel payant mais la version d'essai de 30 jours peut te permettre comme moi de te tirer d'une mauvaise situation !
