Infection par le keylogger double ^ et ¨
Cooly007
Messages postés
23
Statut
Membre
-
AnthraxProd Messages postés 526 Statut Membre -
AnthraxProd Messages postés 526 Statut Membre -
Bonjour à tous,
Je viens vous demander votre aide suite à ce que je pense bien être une infection par un keylogger. Tout a commencé par mail que j'ai reçu, et qui disait :
"Chère Cliente, Cher Client,
Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.
suite à votre commande n° 789523182FV passée sur le site www.cdiscount.com et expédiée. Nous vous transmettons la facture correspondante.
Vous trouverez en pièce jointe de votre facture 89559892 au télérèglement concernant votre commande 895P12016 du 30 mai 2011
Ce message confirme que vous avez acheté les articles suivants :
Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc
Montant total de la commande : EUR 995,11
Infos livraison : commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11
Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :
Type de Payment : PAYPAL
Nous avons le plaisir de vous informer que votre colis 798859110901078 est prêt.
Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.
Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.
Vous pouvez bien entendu suivre votre commande via votre Espace clients.
Nous vous remercions de votre confiance.
Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement
Cordialement,
Votre Service Clients"
Dans la panique, et en voulant trouver des indices sur cette soi-disant "vente", j'ai téléchargé la "facture" en pièce jointe, dézippé et ouvert le fichier. Ce n'est qu'à ce moment-là que j'ai réalisé que l'extension du dit fichier correspondait à un script (.vbs) et donc conteneur potentiel de virus...
Je suis allée sur Hoax Buster, voir si ce mail avait été répertorié, mais rien. Puis je suis passée à Google, et là j'ai trouvé de nombreux forums où il en était question, et qui l'identifiaient comme un keylogger mais sans explication pour s'en débarrasser.
Il se trouve que j'ai les mêmes "symptômes" qu'un des personnes sur un forum en particulier : lorsque je clique sur le trémas ou l'accent circonflexe, il y en a automatiquement deux qui s'affichent comme ceci ^^ ou ¨¨.
J'ai lancé malwarebytes (et gardé précieusement le rapport) qui a trouvé 6 fichiers infectés dont il s'est débarrassé + deux alertes disant
"Malwarebytes' antimalware a détecté qu'un processus malicieux essaie de démarrer et a bloqué la tentative d'exécution. Choisissez une option ci-dessous. [Désactiver la protection] [ignorer] [Mettre en quarantaine]"
J'ai choisi la mise en quarantaine pour les deux alertes mais la première semble avoir échoué car une petite fenêtre d'erreur s'est ouverte deux fois.
Cependant depuis le scan, je n'ai plus de problème avec les trémas et les accents circonflexe, mais j'ai peur que des traces keylogger soient encore là...
En attendant, j'ai évité d'aller sur les sites internet ayant une quelconque importance et dont les id pourraient être utiles, et même pour m'identifier ici, je n'ai employé que des copié/collé lettre par lettre afin de m'assurer qu'un enregistrement basé sur mon clavier ne pourrait rien divulguer (enfin je ne suis pas certaine si c'était utile ou pas...). Je vais aussi garder mon ordinateur allumé, pour éviter qu'il ne réagisse comme celui de l'autre personne infectée lors du redémarrage (écran noir, impossibilité de lancer windows etc, son amie a dû lui installer Linux au final).
En vous remerciant par avance...
Je viens vous demander votre aide suite à ce que je pense bien être une infection par un keylogger. Tout a commencé par mail que j'ai reçu, et qui disait :
"Chère Cliente, Cher Client,
Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.
suite à votre commande n° 789523182FV passée sur le site www.cdiscount.com et expédiée. Nous vous transmettons la facture correspondante.
Vous trouverez en pièce jointe de votre facture 89559892 au télérèglement concernant votre commande 895P12016 du 30 mai 2011
Ce message confirme que vous avez acheté les articles suivants :
Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc
Montant total de la commande : EUR 995,11
Infos livraison : commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11
Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :
Type de Payment : PAYPAL
Nous avons le plaisir de vous informer que votre colis 798859110901078 est prêt.
Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.
Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.
Vous pouvez bien entendu suivre votre commande via votre Espace clients.
Nous vous remercions de votre confiance.
Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement
Cordialement,
Votre Service Clients"
Dans la panique, et en voulant trouver des indices sur cette soi-disant "vente", j'ai téléchargé la "facture" en pièce jointe, dézippé et ouvert le fichier. Ce n'est qu'à ce moment-là que j'ai réalisé que l'extension du dit fichier correspondait à un script (.vbs) et donc conteneur potentiel de virus...
Je suis allée sur Hoax Buster, voir si ce mail avait été répertorié, mais rien. Puis je suis passée à Google, et là j'ai trouvé de nombreux forums où il en était question, et qui l'identifiaient comme un keylogger mais sans explication pour s'en débarrasser.
Il se trouve que j'ai les mêmes "symptômes" qu'un des personnes sur un forum en particulier : lorsque je clique sur le trémas ou l'accent circonflexe, il y en a automatiquement deux qui s'affichent comme ceci ^^ ou ¨¨.
J'ai lancé malwarebytes (et gardé précieusement le rapport) qui a trouvé 6 fichiers infectés dont il s'est débarrassé + deux alertes disant
"Malwarebytes' antimalware a détecté qu'un processus malicieux essaie de démarrer et a bloqué la tentative d'exécution. Choisissez une option ci-dessous. [Désactiver la protection] [ignorer] [Mettre en quarantaine]"
J'ai choisi la mise en quarantaine pour les deux alertes mais la première semble avoir échoué car une petite fenêtre d'erreur s'est ouverte deux fois.
Cependant depuis le scan, je n'ai plus de problème avec les trémas et les accents circonflexe, mais j'ai peur que des traces keylogger soient encore là...
En attendant, j'ai évité d'aller sur les sites internet ayant une quelconque importance et dont les id pourraient être utiles, et même pour m'identifier ici, je n'ai employé que des copié/collé lettre par lettre afin de m'assurer qu'un enregistrement basé sur mon clavier ne pourrait rien divulguer (enfin je ne suis pas certaine si c'était utile ou pas...). Je vais aussi garder mon ordinateur allumé, pour éviter qu'il ne réagisse comme celui de l'autre personne infectée lors du redémarrage (écran noir, impossibilité de lancer windows etc, son amie a dû lui installer Linux au final).
En vous remerciant par avance...
A voir également:
- Infection par le keylogger double ^ et ¨
- Double ecran - Guide
- Whatsapp double sim - Guide
- Double driver - Télécharger - Pilotes & Matériel
- Double appel - Guide
- Double boot - Guide
8 réponses
Voici le rapport de Malwarebyte's :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijwcfjplS.doc
(et celui d'hier soir : http://www.cijoint.fr/cjlink.php?file=cj201106/cijPwnpbEl.doc )
http://www.cijoint.fr/cjlink.php?file=cj201106/cijwcfjplS.doc
(et celui d'hier soir : http://www.cijoint.fr/cjlink.php?file=cj201106/cijPwnpbEl.doc )
Le rapport d'OTL :
https://pjjoint.malekal.com/files.php?id=a430504a2f71211
(Et le rapport Extra au cas où :
https://pjjoint.malekal.com/files.php?id=2fb10df0dc131414 )
https://pjjoint.malekal.com/files.php?id=a430504a2f71211
(Et le rapport Extra au cas où :
https://pjjoint.malekal.com/files.php?id=2fb10df0dc131414 )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci beaucoup ! Me voilà bien soulagée !
Cela dit, je vous rappelle que le mail était un faux et qu'il circule sur le net depuis quelques temps déjà. Je vous ai dit que j'avais trouvé d'autres gens sur des forum l'ayant reçus et ayant déclenchés le virus. Leur mail était en tout point identique au mien, mot pour mot (même n° de commande, de colis et exactement le même produit, etc...).
De plus, le nom de domaine de l'adresse e-mail n'est pas celle qu'utilise Apple, et dans une facture, le vendeur s'adresse à l'acheteur en l'appelant par son nom et non pas par un simple "Chère cliente, cher client". Et de toute façon, j'ai un oeil sur mes comptes ;)
Encore merci mille fois pour votre aide !
Cela dit, je vous rappelle que le mail était un faux et qu'il circule sur le net depuis quelques temps déjà. Je vous ai dit que j'avais trouvé d'autres gens sur des forum l'ayant reçus et ayant déclenchés le virus. Leur mail était en tout point identique au mien, mot pour mot (même n° de commande, de colis et exactement le même produit, etc...).
De plus, le nom de domaine de l'adresse e-mail n'est pas celle qu'utilise Apple, et dans une facture, le vendeur s'adresse à l'acheteur en l'appelant par son nom et non pas par un simple "Chère cliente, cher client". Et de toute façon, j'ai un oeil sur mes comptes ;)
Encore merci mille fois pour votre aide !
Salut,
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
J'ai lancé Malwarebytes' hier soir, voulez-vous ce rapport là ou que j'en fasse un nouveau ?
Ah et je n'ai pas pu lancer de scan Bitdefender, je ne sais pas pourquoi (j'étais bien en train d'exécuter IE en tant qu'administrateur...). Au moment du démarrage il m'a annoncé "Scan failed! could not check the computer for viruses".
Je lance l'étape 1
Ah et je n'ai pas pu lancer de scan Bitdefender, je ne sais pas pourquoi (j'étais bien en train d'exécuter IE en tant qu'administrateur...). Au moment du démarrage il m'a annoncé "Scan failed! could not check the computer for viruses".
Je lance l'étape 1
