Keylogger comment s'en débarrasser ? Résolu/Fermé

Question

Salut à tous , 
J'ai choppé depuis hier matin un keylogger sur mon pc, comment je l'ai su ? tout simplement car je me suis fait pirater un compte de jeu que j'ai heureusement récupéré .
Ensuite avec certains doute j'ai fait des analyses Avast ( rien donné ) , adw cleaner ( rien donné et étonnant d'ailleurs ) , malwaresbytes ( pareil rien ) et heureusement spybot qui m'a détécté un keylogger du nom de : KGB.Keylogger.REFOG 

Seulement quand je veux le supprimer avec spybot je n'y parviens pas et quand je vais à l'emplacement de la clé de Kgb Keylogger et que je tente de la supprimer je n'y parviens pas non plus ( étrange ) 
Donc j'attend une réponse de votre part et je vous souhaites un bon week-end de pâque !


PS :
https://mega.co.nz/#F!aZkHACpS!EBF3SShwfvc5sjSPZ9sl6g
Voilà le petit lien d'un fichier ou vous trouverez mon rapport spybot et une capture d'écran de la clé que je souhaite effacer .

kalimusic · Answer

Bonjour,  

Ton lien n'est pas accessible, héberge ici par exemple : https://security-x.fr/up/  

A +  

   
   
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

kalimusic · Answer

log76

adw cleaner ( rien donné et étonnant d'ailleurs ) 
Normal, cet outil est fait pour supprimer les adwares, PUP, barre d'outils, etc...

heureusement spybot qui m'a détécté un keylogger du nom de : KGB.Keylogger.REFOG 
Il s'agit de clés sans réelle importance.
Un résidu de la barre d'outils Babylon et une autre de ce logiciel : https://www.clubic.com/telecharger-fiche56010-kgb-free-keylogger.html
C'est toi qui l'avait installé ? 

A +

petitmecano · Answer

Je suis la désinfection ^^

Log76 · Answer

Merci de vos réponses aussi rapide ^^ 
Donc pas de danger pour cette clé ? 
Par contre je ne suis pas aller télécharger ce logiciel et c'est pour ça que je ne comprend pas ce que cela viens faire sur mon pc ( ma mère y est aller hier matin et elle a peut êtres pu chopper ça sur un spam dans sa boite mail ? ) 

et  du coup du coup savez vous quel antivirus pourrait détecter ce genre de logiciel avant qu'il arrive sur mon pc ? AVG , Bit defender , aucun ?

juju666 · Answer

Spybot => poubelle

https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

kalimusic · Answer

log76,

et du coup du coup savez vous quel antivirus pourrait détecter ce genre de logiciel avant qu'il arrive sur mon pc ? AVG , Bit defender , aucun ?
Aucun.
Et rien ne dit que c'est de cette façon que ton compte a été piraté.

On va quand même vérifier que ton système est sain.


1. Désinstalle Spybot S&D, logiciel sans réelle efficacité et qui consomme des ressources inutilment.


2. Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
safebootminimal 
safebootnetwork 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

Log76 · Answer

Ok merci je vais l'essayer
Toute à l'heure j'avais oubliés de dire que j'avais avant aussi fait un scan avec Hitman pro mais que je n'avais pas trouvé lekeylogger avec.

Log76 · Answer

https://security-x.fr/up/file.php?h=R6f3dd721277f05a2570a9932434bde33

et

https://security-x.fr/up/file.php?h=R1dbe359d0b5a585ed7758d896619a89f

Voilà les deux liens des deux fichiers respectifs Extras et OTL 

ça me rassure que ce ne soit pas mon pc qui ait été piraté alors 
Là je voulais vraiment en êtres assuré au cas ou le keylogger aurait encore été présent sur mon pc et ait pu voir ce que je tapais quand je me connectais à mes différents compte 

Mais c'est bizarre quand même car c'est pile hier que j'ai détécter ce keylogger ( après avoir fait mon scan alors que j'en avait fait un 3 jours auparavant et rien à signaler ) 
et avant avoir fait ce scan qui révélait ce keylogger je m'étais fait pirater un compte battle.net ( que j'ai récupéré auprès de l'assistance de ce site qui m'a signalé qu'il était fort probable que ce soit un keylogger qui avait recolter mon mot de passe et adresse mail pour se connecter sur mon compte )

kalimusic · Answer

re,

Analyse le fichier CCGNU32.dll  sur https://www.virustotal.com/gui/

Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

Tu refais la même chose avec ce fichier nmapwin.exe 


A +

Log76 · Answer

Re, 
Je n'arrive pas à trouvé les fichiers nmapwin.exe  et CCGNU32.dll pour les scans avec virustotal ... 
Et même après avoir décoché et coché ce qu'il faut dans l'option des dossiers

kalimusic · Answer

Zut, J'avais oublié de te préciser le dossier où les fichiers se trouvent.

C:\Windows\SysWow64


A +

Log76 · Answer

Ok ça marche , 
et effectivement tu avais de bonnes suspicions sur ces deux fichiers :

https://www.virustotal.com/gui/file/b476495afd6f92479db8c1b3a6b100b7818d3b66cacb47238584ec79f6ba82d7

https://www.virustotal.com/gui/file/71208bbee742091e63ab0510631bf495c140aa296d45d0919aeb6ab335a7b944

kalimusic · Answer

Ils ont été crées en même temps, l'un d'entre eux semble appartenir à ce logiciel : https://sourceforge.net/projects/nmapwin/
ça te dit quelque chose ?


A +

Log76 · Answer

Non je n'ai jamais téléchargé un logiciel de ce nom mais je vois que c'est un logiciel de scan de virus en quelques sortes .
Donc peut êtres que je l'ai choppé en téléchargeant un autre logiciel antimalwares ^^ .
Et c'est important  de les supprimer d'après toi ? sinon comment faire ?

kalimusic · Answer

ok,



== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait l'endommager.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
[2012/12/28 23:39:47 | 000,000,000 | ---D | M] (SaveByclick) -- C:\Users\Gregory\AppData\Roaming\mozilla\Firefox\Profiles\j8hj3u3d.default\extensions\50dcc43770c4d@50dcc43770c86.com 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.   
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.  
O8 - Extra context menu item: Free YouTube Download - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found   
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) -  File not found
[2013/03/16 21:42:30 | 000,114,688 | ---- | C] (Open Source Telecom) -- C:\windows\SysWow64\CCGNU32.dll 
[2013/03/16 21:42:30 | 000,077,824 | ---- | C] (JVSoftware) -- C:\windows\SysWow64
mapwin.exe 
[2013/03/29 21:53:53 | 000,000,304 | ---- | M] () -- C:\windows	asks\Spybot - Search & Destroy -  Scheduled Task.job     
[2013/03/29 21:34:03 | 000,000,282 | ---- | M] () -- C:\windows	asks\Spybot - Search & Destroy Updater -  Scheduled Task.job     
[3 C:\windows\SysWow64\*.tmp files -> C:\windows\SysWow64\*.tmp -> ] 
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] 
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Ferme impérativement les applications en cours.
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  


Poste le rapport, A +

Log76 · Answer

J'ai fais comme tu m'as dit et voici le rapport :
https://security-x.fr/up/file.php?h=R595c2e3e09c10fb5ec94fe05a6102bb4

kalimusic · Answer

ok,

Par précaution, change tous tes mots de passe.

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==


1. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau



 == == == == == == == == == MISES A JOUR == == == == == == == == == 


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bon weekend

Log76 · Answer

Je modifie certains mot de passe que j'ai utilisé ces derniers jours ^^.
J'ai bien fait tout ce que tu m'as dit dans ton dernier message et ne t'inquiète pas je ne coche jamais les cases de toolbar ou babylon bar quand j'installe un nouveau logiciel et c'était bizarre que j'avais une clé de registre babylon barre alors que je ne coche jamais ce genre de cases !

En tout cas je te remercie vraiment de ton aide  et j'espère ne plus avoir de problèmes avec les keylogger ! :) 
de toutes manières je fais souvent des scans avec malwaresbytes, hitmanpro adw etc ...

Keylogger comment s'en débarrasser ?

18 réponses

Discussions similaires