Keylogger comment s'en débarrasser ?

Résolu/Fermé
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 - 30 mars 2013 à 13:13
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 30 mars 2013 à 20:53
Salut à tous ,
J'ai choppé depuis hier matin un keylogger sur mon pc, comment je l'ai su ? tout simplement car je me suis fait pirater un compte de jeu que j'ai heureusement récupéré .
Ensuite avec certains doute j'ai fait des analyses Avast ( rien donné ) , adw cleaner ( rien donné et étonnant d'ailleurs ) , malwaresbytes ( pareil rien ) et heureusement spybot qui m'a détécté un keylogger du nom de : KGB.Keylogger.REFOG

Seulement quand je veux le supprimer avec spybot je n'y parviens pas et quand je vais à l'emplacement de la clé de Kgb Keylogger et que je tente de la supprimer je n'y parviens pas non plus ( étrange )
Donc j'attend une réponse de votre part et je vous souhaites un bon week-end de pâque !


PS :
https://mega.co.nz/#F!aZkHACpS!EBF3SShwfvc5sjSPZ9sl6g
Voilà le petit lien d'un fichier ou vous trouverez mon rapport spybot et une capture d'écran de la clé que je souhaite effacer .

18 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 18:28
ok,

Par précaution, change tous tes mots de passe.

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==


1. Lance OTL

● Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

2. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau



== == == == == == == == == MISES A JOUR == == == == == == == == ==


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bon weekend

1
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
Modifié par kalimusic le 30/03/2013 à 13:23
Bonjour,

Ton lien n'est pas accessible, héberge ici par exemple : https://security-x.fr/up/

A +



«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0
Utilisateur anonyme
30 mars 2013 à 13:37
bonjour
le lien est accessible kalimusic?!
Tu veux les captures?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 13:40
Bah chez moi ça ouvre sur le site : https://mega.co.nz/#F
Envoi :)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 13:54
ha ok j'avais pas compris, merci.

Bon au moins, je sais que je ne suis pas beaucoup plus avancé avec ça :/
0
Utilisateur anonyme
30 mars 2013 à 13:57
lol ouais :-) bon nettoyage et bon courage.
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 14:13
log76

adw cleaner ( rien donné et étonnant d'ailleurs )
Normal, cet outil est fait pour supprimer les adwares, PUP, barre d'outils, etc...

heureusement spybot qui m'a détécté un keylogger du nom de : KGB.Keylogger.REFOG
Il s'agit de clés sans réelle importance.
Un résidu de la barre d'outils Babylon et une autre de ce logiciel : https://www.clubic.com/telecharger-fiche56010-kgb-free-keylogger.html
C'est toi qui l'avait installé ?

A +
0
Utilisateur anonyme
30 mars 2013 à 14:23
Faut télécharger sur CCM :-)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 14:25
Ou sur le site de l'éditeur ;)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 14:38
re-salut juju, on a fait sauter mon message^^
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
30 mars 2013 à 14:42
oui c'est moi ! va voir tes mails ! mdr
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 14:49
abus de pouvoir
0
petitmecano Messages postés 5310 Date d'inscription mardi 7 août 2012 Statut Membre Dernière intervention 29 novembre 2019 1 117
30 mars 2013 à 14:33
Je suis la désinfection ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 15:07
Merci de vos réponses aussi rapide ^^
Donc pas de danger pour cette clé ?
Par contre je ne suis pas aller télécharger ce logiciel et c'est pour ça que je ne comprend pas ce que cela viens faire sur mon pc ( ma mère y est aller hier matin et elle a peut êtres pu chopper ça sur un spam dans sa boite mail ? )

et du coup du coup savez vous quel antivirus pourrait détecter ce genre de logiciel avant qu'il arrive sur mon pc ? AVG , Bit defender , aucun ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
30 mars 2013 à 15:11
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 15:14
log76,

et du coup du coup savez vous quel antivirus pourrait détecter ce genre de logiciel avant qu'il arrive sur mon pc ? AVG , Bit defender , aucun ?

Aucun.
Et rien ne dit que c'est de cette façon que ton compte a été piraté.

On va quand même vérifier que ton système est sain.


1. Désinstalle Spybot S&D, logiciel sans réelle efficacité et qui consomme des ressources inutilment.


2. Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface s'ouvre.
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

msconfig 
netsvcs 
safebootminimal 
safebootnetwork 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 15:16
Ok merci je vais l'essayer
Toute à l'heure j'avais oubliés de dire que j'avais avant aussi fait un scan avec Hitman pro mais que je n'avais pas trouvé lekeylogger avec.
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 15:32
Ce qui rejoint l'idée que si ton compte a été piraté, ce n'est pas à partir de ton pc.
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 15:46
https://security-x.fr/up/file.php?h=R6f3dd721277f05a2570a9932434bde33

et

https://security-x.fr/up/file.php?h=R1dbe359d0b5a585ed7758d896619a89f

Voilà les deux liens des deux fichiers respectifs Extras et OTL

ça me rassure que ce ne soit pas mon pc qui ait été piraté alors
Là je voulais vraiment en êtres assuré au cas ou le keylogger aurait encore été présent sur mon pc et ait pu voir ce que je tapais quand je me connectais à mes différents compte

Mais c'est bizarre quand même car c'est pile hier que j'ai détécter ce keylogger ( après avoir fait mon scan alors que j'en avait fait un 3 jours auparavant et rien à signaler )
et avant avoir fait ce scan qui révélait ce keylogger je m'étais fait pirater un compte battle.net ( que j'ai récupéré auprès de l'assistance de ce site qui m'a signalé qu'il était fort probable que ce soit un keylogger qui avait recolter mon mot de passe et adresse mail pour se connecter sur mon compte )
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 16:22
re,

Analyse le fichier CCGNU32.dll sur https://www.virustotal.com/gui/

Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

Tu refais la même chose avec ce fichier nmapwin.exe


A +

0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 17:12
Re,
Je n'arrive pas à trouvé les fichiers nmapwin.exe et CCGNU32.dll pour les scans avec virustotal ...
Et même après avoir décoché et coché ce qu'il faut dans l'option des dossiers
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 17:19
Zut, J'avais oublié de te préciser le dossier où les fichiers se trouvent.

C:\Windows\SysWow64


A +
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 17:27
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 17:34
Ils ont été crées en même temps, l'un d'entre eux semble appartenir à ce logiciel : https://sourceforge.net/projects/nmapwin/
ça te dit quelque chose ?


A +
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 17:52
Non je n'ai jamais téléchargé un logiciel de ce nom mais je vois que c'est un logiciel de scan de virus en quelques sortes .
Donc peut êtres que je l'ai choppé en téléchargeant un autre logiciel antimalwares ^^ .
Et c'est important de les supprimer d'après toi ? sinon comment faire ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 18:10
Mon message a été supprimé par le "robot ccm", j'ai demandé sa restauration.
Si besoin je le referai, A +
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 18:07
ok,



== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait l'endommager.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.

== == == == == == == == == == == == == == == == == == == == == ==


Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
[2012/12/28 23:39:47 | 000,000,000 | ---D | M] (SaveByclick) -- C:\Users\Gregory\AppData\Roaming\mozilla\Firefox\Profiles\j8hj3u3d.default\extensions\50dcc43770c4d@50dcc43770c86.com 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.   
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.  
O8 - Extra context menu item: Free YouTube Download - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Gregory\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found   
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\\browse~1.dll) -  File not found
[2013/03/16 21:42:30 | 000,114,688 | ---- | C] (Open Source Telecom) -- C:\windows\SysWow64\CCGNU32.dll 
[2013/03/16 21:42:30 | 000,077,824 | ---- | C] (JVSoftware) -- C:\\windows\SysWow64\nmapwin.exe 
[2013/03/29 21:53:53 | 000,000,304 | ---- | M] () -- C:\windows\tasks\Spybot - Search & Destroy -  Scheduled Task.job     
[2013/03/29 21:34:03 | 000,000,282 | ---- | M] () -- C:\windows\tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job     
[3 C:\windows\SysWow64\*.tmp files -> C:\windows\SysWow64\*.tmp -> ] 
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] 
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]

Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles


Poste le rapport, A +
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 18:24
J'ai fais comme tu m'as dit et voici le rapport :
https://security-x.fr/up/file.php?h=R595c2e3e09c10fb5ec94fe05a6102bb4
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 18:44
Je modifie certains mot de passe que j'ai utilisé ces derniers jours ^^.
J'ai bien fait tout ce que tu m'as dit dans ton dernier message et ne t'inquiète pas je ne coche jamais les cases de toolbar ou babylon bar quand j'installe un nouveau logiciel et c'était bizarre que j'avais une clé de registre babylon barre alors que je ne coche jamais ce genre de cases !

En tout cas je te remercie vraiment de ton aide et j'espère ne plus avoir de problèmes avec les keylogger ! :)
de toutes manières je fais souvent des scans avec malwaresbytes, hitmanpro adw etc ...
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 18:55
C'était juste un petit rappel pour les barres d'outils.

Pour ne pas avoir de keyloggers, il faut se méfier de tout ce que tu télécharges.
Les patchs, les trucs pour tricher, etc...à éviter.

AdwCleaner cible les adwares, si tu fais attention, tu n'en installeras pas, pas besoin de cet outil.

Hitman Pro, attention ce logiciel fait parfois des erreurs, on a déjà vu des pc plantés avec. Il semble s'être amélioré, Il faut bien analyser ce qu'il trouve.

Malwarebytes, pas de soucis, c'est un bon outil de complément.
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 19:01
Ok ça marche merci bien ^^
Et tu ne connaîtrais pas un très bon logiciel pour traquer les keylogger autres que ceux que je t'ai dit ?
Car ce n'est pas que j'en choppe beaucoup mais comme j'ai beaucoup de compte de différentes sortes ( comme tout le monde en même temps ^^ ) et bien j'aimerais ne pas chopper ce genre de saloperie même en faisant gaffe on sait jamais
Merci d'avance
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 19:07
Le mieux c'est la prévention, je sais mais c'est comme ça.

Normalement Malwarebytes doit les voir, après cela dépend du talent de la personne qui l'a conçu et installé chez toi.

Sinon, un outil de diagnostic (comme OTL ou un autre) le trouvera mais il faut savoir lire et interprété les rapports.
0
Log76 Messages postés 48 Date d'inscription dimanche 4 novembre 2012 Statut Membre Dernière intervention 20 avril 2013 2
30 mars 2013 à 20:51
Ok merci bah je ferrais attention et surtout je verrais pour télécharger OTL ou d'autres logiciel du même style et avec un peu d'entrainement pour lire les rapports ce sera bon .
Aller merci et bon week-end à toi, je met le sujet en résolu !
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
30 mars 2013 à 20:53
Tu peux toujours venir te faire aider CCM, en cas de doute.

Bon weekend
0