Keyloggée !...Again T___T (ou pire) Résolu/Fermé

Question

Bonjour, voilà hier mon ex à reçu des sms de msg publiés sur mon mur FB, il n'y a pas accès lui, et le plus fun dans tout ça c'est que son tel il l'a depuis 10 jours à peine....
J'ai bien tapé son numéro au clavier pour aller sur son espace client sur le net et donc je suppose que je suis keyloggée ou dans tout les cas, espionnée...
J'ai fais le tour des topics résolus ici sur ce sujet et tenté de le dénicher par moi même mais j'ai trouvé que des clé orphelines ou autres petites lignes de commandes toutes bêtes à fixer...
Donc je viens solliciter de l'aide pour le dénicher et le virer è___é

Merci d'avance du temps que vous m'accorderez ^.^

Cordialement,
 
Hino



Configuration: trop compliqué xD

Ewaniac · Answer

Ton ex a du installer un keylogger sur ton pc quoi :) et si j'ai bien compris il t'espionne comme il veut ?

BmV · Answer

As-tu un firewall ????

hinoto · Answer

Non, mais je vois pas en quoi il aurait empêché le programme d'agir, le firewall ca sert à empêcher les programmes malveillants d'entrer non ? Si il est déjà dans mon pc ça changera rien, il faut d'abord que je désinfecte et ensuite que je renforce ma sécurité je pense, non ?

BmV · Answer

"il faut d'abord que je désinfecte et ensuite que je renforce ma sécurité je pense, non ?" : oui, bien sûr. 
Il faut vérifier si un keylogger est bien là et le virer !

"le firewall ca sert à empêcher les programmes malveillants d'entrer non ?" : oui, mais aussi à ne pas laisser sortir des données dont tu ne veux pas qu'elles sortent !!!

==> https://www.commentcamarche.net/contents/992-firewall-pare-feu
==> https://www.commentcamarche.net/faq/13058-vista-afficher-le-pare-feu-avance

hinoto · Answer

Ok donc je vais peut être commencer par le commencement hein...et trouver si y en à un pour le virer...Donc des idées ? Parce que c'était quand même le but premier de ce topic...

hinoto · Answer

Bon je viens d'utiliser malwarebyte, 0 infections, je continues mes recherches... *soupire* x_x

Edit 1 : roguekiller, RAS

hinoto · Answer

Un pti up sans trop y croire...j'ai lu des bonne chose sur OTL je l'ai dl, et utilisé mais je suis incapable de déchiffrer les rapports ... Si qqun passe par là..

Utilisateur anonyme · Answer

Bonjour 
Aurais tu ces rapports ? 
Il faudrait les héberger ICI, et me donner les
liens
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

hinoto · Answer

Owiii une réponse merciii (désolée du temps de réponse de mon côté ) 

Alors un rapport OTL : 

[url=https://www.luanagames.com/index.fr.html]OTL.Txt[/url]] 

https://www.luanagames.com/index.fr.html

et son Extra : 

[url=https://www.luanagames.com/index.fr.html]Extras.Txt[/url]] 

https://www.luanagames.com/index.fr.html

En espérant que ca soit les bons je trouve les liens assez originaux. Oô

Edit: dans le doute je met les 2 liens générés par rapport.

Utilisateur anonyme · Answer

bonjour,

tu es sous xp,

il y a une infection sur ton rappor d'OTL, mais je ne suis pas un speciliste de cet outil, donc je te demande de passer plutôt un zhpdiag  :-)



* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

hinoto · Answer

Coucou, 

D'abord merci pour ton temps.

Puis voici le lien pour zhp ^^

http://www.cijoint.fr/cjlink.php?file=cj201104/cij5zxxIgW.txt

juju666 · Answer

salut, mon jedi bosse, jawaryinti aussi
pour avancer:

tu n'as rien de grave sur ton rapport zhpdiag. change ton mot de passe facebook ainsi que celui de ta boite email !

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Processes
explorer.exe
:Reg
[-HKCR\.b4f]
[-HKCR\b4fm.sxcontextmenu1]
[-HKCR\burn4free project]
[-HKLM\Software\Classes\b4fm.sxcontextmenu1]
[-HKLM\Software\Classes\burn4free project]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\burn4free]
:Commands
[start explorer]
[purity]
[emptytemp]
[emptyflash]


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

bonjour,

coucou juju  :-)

j'allais le faire, mais je bosse  :-)

Utilisateur anonyme · Answer

change tous tes mots de passe au cas ou, on ne sait jamais  :P

continue avec juju, je suis le poste mais pas mal pris en ce moment  :-)

hinoto · Answer

Problème technique : une fois cliqué sur MoveIt! un sablier apparait et plus rien ne se passe T___T obligé d'interrompre le processus avec le gestionnaire des tâche puis de reboot mon pc manuellement parce que mon bureau disparait x_X

Sinon, dans dans la case de droite ca marque : all processes killed, en dessous "no filed called explorer.exe was found" et dans registre y a rien et après vérification pas de rapport généré :/ les dossiers sont crées mais vides...

^^'

juju666 · Answer

On tente avec OTL :

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Reg
[-HKCR\.b4f]
[-HKCR\b4fm.sxcontextmenu1]
[-HKCR\burn4free project]
[-HKLM\Software\Classes\b4fm.sxcontextmenu1]
[-HKLM\Software\Classes\burn4free project]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\burn4free]

:Files

:commands
[emptytemp]
[start explorer]
[emptyflash]
[purity]


&#9654 Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

hinoto · Answer

Et hop !

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CLASSES_ROOT\.b4f\ deleted successfully.
Registry value HKEY_CLASSES_ROOT\b4fm.sxcontextmenu1\ deleted successfully.
Registry value HKEY_CLASSES_ROOT\burn4free project\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\b4fm.sxcontextmenu1\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\burn4free project\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\burn4free\ deleted successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: lilly
->Temp folder emptied: 7910305 bytes
->Temporary Internet Files folder emptied: 22287089 bytes
->FireFox cache emptied: 56441441 bytes
->Flash cache emptied: 2433 bytes
 
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 101685 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 4528640 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 244032 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 71427 bytes
RecycleBin emptied: 113554 bytes
 
Total Files Cleaned = 89,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: lilly
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04112011_135000

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Voili voilou je poste mes enfants et je re ^^

juju666 · Answer

et voilà le travail :P

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

hinoto · Answer

Me suis endormie ^^'

voila le rapport 0 infections nananèreuh :P

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6331

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/04/2011 14:49:17
mbam-log-2011-04-11 (14-49-17).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 171113
Temps écoulé: 35 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

(suite à mon excellent travail nananèreuh *.*)
(ok je sors)

maintenant fais une analyse avec ton antivirus et tiens moi au jus :P

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifs en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

hinoto · Answer

Scan avast fini , 3 "menaces" dans F:/ ...virées

Pour cCleaner, j'utilise Glary utilities ça revient au même non ? Idem pour delfix, Glary s'occupe de la désinstallations des programmes récents.

Je met à jour les java et autre et je repasse après, et pour ce qui est de mes mdp... J'ai jamais été keyloggée u_u, je m'absente 3 x 5 minutes par jours pour mettre/aller chercher mes enfant à l'école... Voilà comment il a eut accès à mes informations... ça me dégoute ...

Mais bon ca m'aura donné l'occasion de nettoyer mon pc un bon coup, c'est le printemps après tout.

Je vais finir le tout et reviens mettre en "résolu" désolée pour le temps perdu ...

juju666 · Answer

passe delfix ça supprime toutes les traces des outils utilisés

ok pour glary vs ccleaner ;)

je passe en résolu, oublie pas de changer les mot de passe ;)

hinoto · Answer

Merci et bonne continuation à vous tous .

Keyloggée !...Again T___T (ou pire)

23 réponses

Discussions similaires