Peur d'un keylogger

triptik51 Messages postés 10 Statut Membre -  
 triptik51 -
Bonjour,
je vient d'arriver cher moi et je vient de me rendre compte que je ne peut plus accédé a mon compte de jeu et mon compte ncsoft. Je vient donc vous demander votre aide, afin de rechercher un éventuelle keylogger pour sauver les informations qu'il me reste.
En effet j'ai peur que mes coordonnées bancaires ait était saisie par cet éventuel keylogger si il y 'en as un.
Je me suis balader a droite , a gauche pour essayer de comprendre comment un keylogger marchait et j'ai crut comprendre que si l'on trouver des rookits et bien on trouver le keylogger.
J'ai quand même vérifié mes processus en cours d'exécution un par un pour eventuellement le trouver mais rien, j'ai fait un log hijackthis dont je vous envoie le rapport ci-dessous mais je ne suit pas assez competent pour savoir quel ligne est suspecte ou non. Et j'ai même fait un scan rootkits avec un logiciel dont je ne me rappelle plus le nom mais aucune ligne rouge. Je me suis permis de faire un scan spyware avec le logiciel search&destroy mais rien non plus et j'ai aussi fait un scan complet de virus avec AVG mais rien non plus. Ce qui m'intrigue c'est que dans les options d'analyse que je possédé avec AVG je ne peut cocher la case analyser les rootkits et j'ai donc peur que le keylogger empêche l'antivirus de faire le scan.

Merci de votre compréhension et de votre aide, soit je suis parano et c'est donc un simple compte hacker, ça n'en fait qu'un de plus ou bien c'est bien un keylogger.Encore désoler de ma paranoïa.

Voici le log hijack et merci de votre compréhension:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:03, on 28/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\ASUS\EPU\EPU.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\EPU\EPU.exe" -r
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7408 bytes
Encore merci :)
Configuration: Windows XP
Firefox 2.0.0.20

22 réponses

  • 1
  • 2
  1. triptik51 Messages postés 10 Statut Membre
     
    Merci de ta réponse très rapide,je suis entrain de faire l'analyse je post très rapidement le log^^
    0
  2. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Ok , je t'attends =)
    0
  3. triptik51 Messages postés 10 Statut Membre
     
    Voici le rapport :) :

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3250
    Windows 5.1.2600 Service Pack 3

    28/11/2009 16:43:51
    mbam-log-2009-11-28 (16-43-51).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
    Eléments examinés: 187046
    Temps écoulé: 16 minute(s), 39 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Ok ;)

    Si c'est un rootkit , on va essayer GMer =)

    Première Méthode en utilisant Gmer

    Gmer est un détecteur de rootkits puissant.

    Utilisation :

    * Rendez-vous sur cette page : http://www.gmer.net/ , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
    * Lancez Gmer
    * Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
    * Des lignes rouges doivent apparaître en cas d'infection :
    o Sur ces lignes rouges:
    + Services: Clic-droit puis delete service
    + Process: Clic-droit puis kill process
    + Adl, file: Clic-droit puis delete files

    Comment savoir s'il s'agit d'un rootkit ?

    Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

    A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :

    * .dat
    * .exe
    * _nav.dat
    * _navps.dat
    0
  6. triptik51 Messages postés 10 Statut Membre
     
    Je vient de trouver une ligne rouge :S je n'est pas très bien compris comment je doit faire pour la supprimer,
    elle se nomme C:\Documents(***hidden***)@C:\Documents[144]
    Elle est de type library.
    0
  7. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Ok , fais un clic droit dessus , tu as quoi comme options qu'on te propose ?
    0
  8. triptik51 Messages postés 10 Statut Membre
     
    je ne peut rien faire a part faire options qui me donne (IRP hooks, NTAPI registry scan,IRP files scan,File version info,only non ms files) et je peut aussi cliquer sur about. Tous les autres solutions sont grisé :s
    0
  9. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Va dans l'onglet " Services " , et regarde si tu vois une ligne rouge.
    0
  10. triptik51 Messages postés 10 Statut Membre
     
    Non cette ligne rouge je ne la voit que dans rootkits/malware, je ne la voit ni dans service ni processes ni dans modules ni dans files ni dans registry...
    0
  11. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Tu peux me donner le nom exact stp ?
    0
  12. triptik51 Messages postés 10 Statut Membre
     
    type:Library
    Name:C:\Documents(***hidden***)@ C:\Documents [144]
    Value:0x00400000
    0
  13. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Ce que tu peux faire :

    Faire un Ctrl/Alt + Suppr. puis Gestionnaires de Taches
    Va dans l'onglet affichage , puis selectionner des colonnes
    Coche PID
    Ensuite recherche le processus avec PID 144

    Je t'attends ;)
    0
  14. triptik51 Messages postés 10 Statut Membre
     
    Le processus avec PID 144 c'est f5bhwwbk.exe et c'est le programme GMER que j'utilise qui s'appelle comme cela. Je l'est télécharger a partir du lien que tu mas donner.
    0
  15. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Bizarre , je laisse le soin a un vrai Helper de t'aider

    En tous le site et le gmer sont inoffensifs ;)

    Bonne Soirée
    0
  16. triptik51 Messages postés 10 Statut Membre
     
    ah d'accord merci encore donc tu pense que je n'est rien?
    0
  17. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Je ne peux pas te dire , je pense que non , mais je suis ne suis pas un pro en la matière

    Bonne Soirée !
    0
  18. triptik51 Messages postés 10 Statut Membre
     
    Merci pour ton aide FrenchKilleR bonne soirée a toi aussi, je suis vraiment content que tu ait put repondre aussi rapidement a mon post:)
    Si un autre helper peut me conseiller ça serait sympa.
    0
  19. FrenchKilleR Messages postés 182 Statut Membre 17
     
    Bon je vais voir ce que je peux faire :

    Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
    - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
    C:\Program Files\EsetOnlineScanner\log.txt
    0
  • 1
  • 2