Espionnée?

Question

Bonjour, 

Comme j'ai récemment été sous écoute téléphonique par mon mari, bientôt ex-mari, (et que je le suis peut-être encore d'ailleurs, je n'ai plus de preuve mais...), pourriez-vous m'aider à vérifier si mon ordinateur est infecté par un keylogger ou autre chose...je n'y connais pas grand chose à tout ça...

Je vous remerci beaucoup.

Voici le rapport après vérification de mon ordinateur par Malwarebyte's :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

15/09/2011 17:43:37
mbam-log-2011-09-15 (17-43-25).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Elément(s) analysé(s): 336170
Temps écoulé: 1 heure(s), 5 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> No action taken.
HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\programdata\2aca5cc3-0f83-453d-a079-1076fe1a8b65 (Adware.Seekmo) -> No action taken.
c:\program files (x86)\shoppingreport2 (Adware.ShoppingReport2) -> No action taken.
c:\program files (x86)\shoppingreport2\Bin (Adware.ShoppingReport2) -> No action taken.
c:\program files (x86)\shoppingreport2\Bin\2.7.37 (Adware.ShoppingReport2) -> No action taken.

Fichier(s) infecté(s):
c:\program files (x86)\freezefrog\bin\1.0.670.0\launchhelp.dll (Adware.Seekmo) -> No action taken.
c:\Users\Vicki\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> No action taken.
c:\Users\Vicki\AppData\Roaming\microsoft\Windows\start menu\pages annuaire.lnk (Adware.GibMedia) -> No action taken.
c:\program files (x86)\shoppingreport2\Uninst.exe (Adware.ShoppingReport2) -> No action taken.


Encore merci.

Victoirejavel

Utilisateur anonyme · Answer

Bonsoir
Relance Malwarebytes et va dans la quarantaine, puis clique sur
tout supprimer, puis poste le rapport de suppression

Ensuite, on va vérifier si le PC est encore infecté
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Note : Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

victoirejavel · Answer

J'ai fait "tout supprimer" dans "quarantaine" de Malwarebyte"'s mais je ne trouve pas le rapport de suppression...ça s'appelle comment au juste?

victoirejavel · Answer

où puis-je trouver adwcleaner de façon sécuritaire?

victoirejavel · Answer

Voilà le rapport Adw-cleaner :

# AdwCleaner v1.306 - Rapport créé le 16/09/2011 à 00:00:47
# Mis à jour le 14/09/11 à 13h par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Vicki - TOUTBLANC (Administrateur)
# Exécuté depuis : C:\Users\Vicki\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\ProgramData\FREEzeFrogSA
Dossier Présent : C:\Users\Vicki\AppData\Roaming\FREEzeFrog
Dossier Présent : C:\Users\Vicki\AppData\Roaming\OfferBox
Dossier Présent : C:\Program Files (x86)\Conduit
Dossier Présent : C:\Program Files (x86)\ConduitEngine
Dossier Présent : C:\Program Files (x86)\FREEzefrog
Dossier Présent : C:\Program Files (x86)\ShoppingReport2

***** [Registre] *****

Clé Présente : HKCU\Software\FREEzeFrogSA
Clé Présente : HKCU\Software\Offerbox
Clé Présente : HKCU\Software\ShoppingReport2
Clé Présente : HKCU\Software\AppDataLow\Toolbar
Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\conduitEngine
Clé Présente : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\conduitEngine
Clé Présente : HKLM\SOFTWARE\FREEzeFrog
Clé Présente : HKLM\SOFTWARE\Offerbox
Clé Présente : HKLM\SOFTWARE\QuestScan
Clé Présente : HKLM\SOFTWARE\ShoppingReport2
Clé Présente : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Présente : HKLM\SOFTWARE\Classes\FREEzeFrogAx.Info.1
Clé Présente : HKLM\SOFTWARE\Classes\FREEzeFrogAx.Info
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.HbAx
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.HbAx.1
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.HbInfoBand
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.HbInfoBand.1
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.IEButton
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.IEButton.1
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.IEButtonA
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.IEButtonA.1
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.RprtCtrl
Clé Présente : HKLM\SOFTWARE\Classes\ShoppingReport2.RprtCtrl.1
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D44FD6F0-9746-484E-B5C4-C66688393872}
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FREEzeFrogSA
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]

***** [Registre (64 bits)] *****

[x64] Clé Présente : HKCU64\Software\FREEzeFrogSA
[x64] Clé Présente : HKCU64\Software\Offerbox
[x64] Clé Présente : HKCU64\Software\ShoppingReport2
[x64] Clé Présente : HKCU64\Software\AppDataLow\Toolbar
[x64] Clé Présente : HKCU64\Software\AppDataLow\Software\Conduit
[x64] Clé Présente : HKCU64\Software\AppDataLow\Software\conduitEngine
[x64] Clé Présente : HKCU64\Software\AppDataLow\Software\ShoppingReport2
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\Conduit.Engine
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\FREEzeFrogAx.Info.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\FREEzeFrogAx.Info
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.HbAx
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.HbAx.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.HbInfoBand
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.HbInfoBand.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.IEButton
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.IEButton.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.IEButtonA
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.IEButtonA.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.RprtCtrl
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\ShoppingReport2.RprtCtrl.1
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\TypeLib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6}
[x64] Clé Présente : HKLM64\SOFTWARE\Classes\TypeLib\{D44FD6F0-9746-484E-B5C4-C66688393872}
[x64] Clé Présente : HKCU64\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}
[x64] Clé Présente : HKCU64\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
[x64] Valeur Présente : HKCU64\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Vicki\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [6745 octets] - [16/09/2011 00:00:47]

########## EOF - C:\AdwCleaner[R1].txt - [6873 octets] ##########


Je te remercie infiniment de ton aide....

victoirejavel · Answer

d'accord mais en le supprimant, même si j'ai gardé le rapport d'analyse, ça ne supprime pas la preuve?? le rapport suffit? les rapports ne peuvent-il pas être modifiés?? ne devrais-je pas aller directement voir un gendarme pour lui en parler et lui montrer mon pc infecté?

g3n-h@ckm@n · Answer

bonsoir Jawaryinty m'a demmandé d'avancer en son absence

poste le rapport de suppression de ADWCleaner

victoirejavel · Answer

bonjour! suite à ce que j'avais commencé hier avec Jawaryinty, est-ce que quelqu'un peut me dire si, à partir de ce keylogger que j'ai dans mon ordinateur, je peux savoir QUI a mis ça là et OU vont les informations récupérées par ce keylogger?

Je l'ai toujours dans mon ordinateur, j'ai peur de l'enlever et qu'ensuite, je ne sois plus capable d'avoir les infos que je veux sur qui a mis ça là et où les infos vont?

Merci beaucoup

g3n-h@ckm@n · Answer

d'accord donne le contenu de ces trois dossiers

C:\ProgramData\FREEzeFrogSA
C:\Users\Vicki\AppData\Roaming\FREEzeFrog
C:\Program Files (x86)\FREEzefrog

victoirejavel · Answer

voici ce qu'il y a dans C:\ProgramData\FREEzeFrogSA :
[url=https://www.luanagames.com/index.fr.html]FREEzeFrogSA.dat[/url]
[url=https://www.luanagames.com/index.fr.html]FreezeFrogSA_kyf.dat[/url]
[url=https://www.luanagames.com/index.fr.html]FREEzeFrogSAAbout.mht[/url]
[url=https://www.luanagames.com/index.fr.html]FreezeFrogSAau.dat[/url]
[url=https://www.luanagames.com/index.fr.html]FREEzeFrogSAEULA.mht[/url]

Voici ce qu'il y a dans C:\Users\Vicki\AppData\Roaming\FREEzeFrog :
il est complètement vide

Et dans le fichier C:\Program Files (x86)\FREEzefrog, il y a un fichier appelé "Bin" dans lequel il y a un fichier appelé "1.0.670.0", dans lequel il y a "FREEzeFrogUninstaller" et "LaunchHelp.dll".

Voilà. J'ai fait comme j'ai pu, je suis désolée, je ne suis pas vraiment top côté informatique... j'espère que tu pourras m'aider. J'ai discuté avec un mec qui a une boîte d'informatique près de chez-moi et il dit qu'il est impossible de savoir où va l'information mais sur le net, je trouve le contraire...je ne sais pas où est la vérité et je n'ai pas du tout l'intention de devenir parano. Je veux juste avoir l'heure juste sur tout ça. Merci.

g3n-h@ckm@n · Answer

les informaticiens n'y comprennent rien....

le site qui ressort le plus souvent dans les fichiers est celui-ci :

hxxp://www.clickpotato.com

victoirejavel · Answer

quand je regarde sur le net; click potatoe n'est qu'un programme pour voir des films étrangers ou un truc du genre. Du coup, je peux conclure "certainement" à une erreur de téléchargement de ma part en naviguant sur un site de flims étrangers? Ce n'est donc pas une personne qui a installé ça sur mon pc, je peux dire ça comme ça?

victoirejavel · Answer

Voici le rapport de suppression de ADWCleaner :

[url=https://www.luanagames.com/index.fr.html]AdwCleaner[S1] supression.txt[/url]

Dois-je faire d'autres manips pour m'assurer que mon portable est protégé et non espionné?

Merci.

g3n-h@ckm@n · Answer

Ce n'est donc pas une personne qui a installé ça sur mon pc, je peux dire ça comme ça?

exactement

relance zhpdiag , coche tout au tournevis puis heberge le rapport après un clic sur la loupe et scan effectué

victoirejavel · Answer

Ca y est, voici le dernier rapport ZHPDiag, en ayant coché tous dans le tournevis!

[url=https://www.luanagames.com/index.fr.html]ZHPDiag5[/url]

g3n-h@ckm@n · Answer

re

non ca ne va pas , il faut que tu mettes à jour windows

victoirejavel · Answer

ok! je fais ça! Merci beaucoup!!

Après, tout sera ok? (Une chance qu'il y a des personnes comme toi pour me montrer la voie!! Autrement, je serais saisie de tous bords par les côtés sombres de l'informatique....j'ai toujours l'impression que ses ténèbres me guettent...)

g3n-h@ckm@n · Answer

apres tu referas un zhpdiag une fois les mises à jours faites

victoirejavel · Answer

Salut g3n!


Voici donc le rapport après mise à jour :

[url=https://www.luanagames.com/index.fr.html]ZHPDiag6[/url]

Alors, vais-je enfin voir la lumière?? ;)

Bonne journée!

g3n-h@ckm@n · Answer

non heberge-le ici il est trop long :

https://www.cjoint.com/

victoirejavel · Answer

Voici le rapport après mises à jour :

https://www.cjoint.com/?AIuuVZQ0QKy

Merci et bonne soirée!!

g3n-h@ckm@n · Answer

ecoute je sais pas ce que tu fais avec les rapports mais pourquoi tu enleves l'extension ?

Espionnée?

21 réponses

Votre réponse

Newsletters