Un keylogger dans mon ordi ! Fermé

Question

Bonjour,
J'ai un probléme qui m'embête beaucoup, surtout que je m'apprette a commander sur internet. 
En fait quand je vais sur mon ordi portable  " Windows vista  "   et que je met le gestionnaire des taches, il ya d'afficher  " Keylogger " suivi de " en cours".  Quand je clique sur aller dans le processus, il y a " Windows update" qui se met en bleu... Alors pour essayer j'ai été dans le fichier contenant WindowsUpdate pour cliquer dessus, et au fur et a mesure que je cliquer dessus, le message Keylogger s'affiche dans mon gestionnaire des taches. 
J'ai besoin d'étre eclairé a ce sujet car je n'est jamais dut faire face a ce genre de problémes ! 
Merci

pimprenelle27 · Answer

Bonjour,

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Leptitmecmagic · Answer

Je n'est que le rapport log - Bloc-notes qui s'affiche :s

pimprenelle27 · Answer

il est peut être en entier poste le moi que je regarde.

Leptitmecmagic · Answer

https://www.cjoint.com/?ippjiUDdyp
Voila !
J'ai un keylogger ou pas alors ?

pimprenelle27 · Answer

Effectivement il n'est pas entier tu peux recommencer?

Leptitmecmagic · Answer

j'ai beau recommencé, je n'est que le premier rapport

pimprenelle27 · Answer

Infections sur le Pc 

- EOZERO

- Navipromo

on va procéder par ordre : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

&#x25B6; tutoriel installation

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "L" et tape sur [entrée] .

&#x25B6; Laisse travailler l'outil et ne touche à rien ...

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Leptitmecmagic · Answer

https://www.cjoint.com/?iqanpOUJyC

Voila le rapport !

pimprenelle27 · Answer

A supprimer source de virus : 

C:\Users\Pierre et Julie\AppData\Local\Temp\Temp1_moonshell171p1_with_dpgtools131.zip\moonshell171p1_with_dpgtools131\DLDI\AutoPatch.dldi 
C:\Users\Pierre et Julie\AppData\Local\Temp\Temp1_moonshell171p1_with_dpgtools131.zip\moonshell171p1_with_dpgtools131\DLDI\AutoPatch.ini 
C:\Users\Pierre et Julie\AppData\Local\Temp\Temp2_moonshell171p1_with_dpgtools131.zip\moonshell171p1_with_dpgtools131\DLDI\AutoPatch.dldi 
C:\Users\Pierre et Julie\AppData\Local\Temp\Temp2_moonshell171p1_with_dpgtools131.zip\moonshell171p1_with_dpgtools131\DLDI\AutoPatch.ini 


Ensuite : 

Tu peux me refaire AD remover sur la session administrateur car ADremover n'a pas supprimer le fichiers merci et me reposter le rapport.

Leptitmecmagic · Answer

Ok je vais le faire

Leptitmecmagic · Answer

https://www.cjoint.com/?iqmH7tzUTt

Voila !

Leptitmecmagic · Answer

Mais ca maffiche toujours " keylogger" dans la barre des taches au demarage ! :s

pimprenelle27 · Answer

c'est pas fin déjà donc le keylogger est toujours  c'est normale si on veux.


Ensuite ad remover n'a toujours pas supprimé les fichers il marque fichiers trouvé au lieu de ELEMENTS REMOVED  où éléments supprimé tu peux essayé en mode sans echec


    *   Démarrer en mode sans échec manuellement
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec avec prise ne charge réseau et appuyez sur la touche entrée de votre clavier.

leptitmecmagic · Answer

Voila jarrive a me connecter en mode sans echec avec prise en charge reseaux, mais je n'est pas internet.
Que dois-je faire sur ce mode sans echec ?

funk68 · Answer

alors un keylloger dans votre ordi :s

leptitmecmagic · Answer

https://www.cjoint.com/?izu7wTT1Rw

Voila

pimprenelle27 · Answer

Ensuite pour demain l'infection navipromo : 

Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


Ton PC est infecté par l'ad-aware Navipromo/Magic Control qui affiche des publicités intempestives.
Il s'installe via certains programmes, dont ceux-ci :

&#9679; Funky Emoticons
&#9679; go-astro
&#9679; GoRecord
&#9679; HotTVPlayer / HotTVPlayer & Paris Hilton
&#9679; Live-Player
&#9679; MailSkinner
&#9679; Messenger Skinner
&#9679; Instant Access
&#9679; InternetGameBox
&#9679; Officiale Emule (Version d'Emule modifiée)
&#9679; Original Solitaire
&#9679; SuperSexPlayer
&#9679; Speed Downloading
&#9679; Sudoplanet
&#9679; Webmediaplayer

/!\ Fais attention de ne pas faire la même erreur, donc évite ces programmes /!\


&#x25B6; Télécharge sur le bureau Navilog1 

*Si ton antivirus s'affole , le désactiver
&#x25B6; sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
&#x25B6; Sous XP : double-clic dessus pour l'installer et le lancer

 
&#x25B6; Quand installé
&#x25B6; taper F
&#x25B6; Appuyer sur une touche jusqu' arriver aux options
&#x25B6; Choisir Recherche ( = taper 1 )

&#x25B6;ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

&#x25B6;un rapport : fixnavi.txt dans ==> C:
 
&#x25B6;le copier et le coller dans la réponse

leptitmecmagic · Answer

https://www.cjoint.com/?iAobNDrnSN

pimprenelle27 · Answer

ok tu peux faire l'option de supression.

leptitmecmagic · Answer

Tu peux preciser stp ?
J'ai pas compris comment faire quoi Oo"

pimprenelle27 · Answer

j'ai rien dis excuse moi . tu peux me refaire un RSIT complet log.txt + info.txt

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

leptitmecmagic · Answer

http://www.cijoint.fr/cjlink.php?file=cj200908/cijgoQVr42.txt


Voila, je l'avais deja fait la derniere fois.

pimprenelle27 · Answer

Tu peux me poster aussi le rapport qui se trouve là merci : C:\RSIT\info.txt

leptitmecmagic · Answer

http://www.cijoint.fr/cjlink.php?file=cj200908/cijWOSvheK.txt 



Voila ;)

pimprenelle27 · Answer

Bonsoir,

Désolé la rapport info.txt n'est pas complet?

leptitmecmagic · Answer

http://www.cijoint.fr/cjlink.php?file=cj200908/cijwSxP35w.txt  <--- Rapport info.txt
http://www.cijoint.fr/cjlink.php?file=cj200908/cijx253cLn.txt     <--- Rapport log.txt

pimprenelle27 · Answer

le rapport info.txt n'est toujours pas complet il s'arrête là Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion T

il n'y a pas EOF à la fin il manque un bout.

leptitmecmagic · Answer

Ok je vais essayer de refaire un rapport

pimprenelle27 · Answer

où où tu es encore là.

Leptitmecmagic · Answer

Je vais refaire le rapport mais avec la rentré je n'ai pas le temps