Soupçon Keylogger

Résolu
GalopinBleu -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour, je soupçonne depuis quelques jours d'avoir un keylogger sur mon ordinateur.
J'ai fait une analyse avec " ZHPDiag ", si des spécialistes pourraient m'aider, ça serait vraiment sympa.

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130602_t5b5f6j14q11

Merci d'avance.

20 réponses

  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    desinstalle zhpdiag

    ===========

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    HKCU\Software
    HKLM\Software
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %programFiles%\*
    %programFiles%\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
    0
  2. GalopinBleu
     
    Salut, merci de répondre aussi vite.

    http://cjoint.com/data3/3Fcb6flzsWr.htm

    http://cjoint.com/13jn/CFcb5VbNnSq.htm
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    bof....

    Service : WSCSVC : Restored
    Service : WINDEFEND : Restored
    0
  4. GalopinBleu
     
    Je dois conclure qu'il n'y a aucun problème ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    0
  7. GalopinnBleuu
     
    Salut, je n'ai pas d'onglet " résultat " et je n'avais pas d'objets infectés.

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.06.01.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 8.0.7601.17514
    Utilisateur :: P7P55D-E [administrateur]

    02/06/2013 02:50:37
    mbam-log-2013-06-02 (02-50-37).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
    Options d'examen désactivées:
    Elément(s) analysé(s): 425478
    Temps écoulé: 57 minute(s), 44 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    up une heure après t'abuses pas un peu non ?
    0
  9. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    Télécharge et enregistre ADWCleaner sur ton bureau :

    (la grosse flèche verte en milieu de page)

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  10. GalopinnBleuu
     
    Hop!

    http://cjoint.com/13jn/CFcqiyeOLGW.htm
    0
  11. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    bien refais OTL sous les mêmes conditions
    0
  12. GalopinnBleuu
     
    Voila :

    http://cjoint.com/data3/3FcqRnDxvkn.htm

    http://cjoint.com/data3/3FcqRoVTBji.htm
    0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    desinstalle spybot search and destroy rien du tout
    desinstalle audacity toolbar
    desinstalle Pando Media booster

    =====

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe
    safari.exe
    opera.exe
    rundll32.exe

    :OTL
    IE - HKU\S-1-5-21-1879538334-3286286908-1715206958-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
    IE - HKU\S-1-5-21-1879538334-3286286908-1715206958-1000\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found
    FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
    FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
    [2012/04/25 18:12:13 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\Utilisateur\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O3 - HKU\S-1-5-21-1879538334-3286286908-1715206958-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O3 - HKU\S-1-5-21-1879538334-3286286908-1715206958-1000\..\Toolbar\WebBrowser: (no name) - {32B29DF0-2237-4370-9A29-37CEBB730E9B} - No CLSID value found.
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O8 - Extra context menu item: Free YouTube Download - C:\Users\Utilisateur\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm File not found
    O8 - Extra context menu item: Free YouTube Download - C:\Users\Utilisateur\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm File not found
    O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.13.2)
    [5 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
    [4 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]

    :Reg
    [-HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????]

    :Files
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    C:\Program Files (x86)\Spybot - Search & Destroy
    C:\ProgramData\Software
    C:\Users\Utilisateur\AppData\Local\Software
    C:\Users\Utilisateur\AppData\Local\{*}
    C:\Program Files (x86)\Audacity-tools
    C:\Program Files (x86)\Pando Networks

    :commands
    [emptytemp]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  14. GalopinpinBleu
     
    Je ne trouve pas Audacity Toolbar & Pando Media Booster

    Voici les résultats :

    http://cjoint.com/data3/3FcsaMRAmFv.htm
    0
  15. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    desinstalle tout Java

    ====

    ? Télécharge : Gmer clique sur "Download EXE" et enregistre-le sur ton bureau

    Desactive toutes tes protections : https://forum.pcastuces.com/default.asp

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit "executer en tant que...."

    ? clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ? Les lignes rouges indiquent la presence d'un rootkit.

    Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    ensuite :

    fais bien attention que toutes les cases à droites soient cochées( sauf quick scan) , puis clique sur scan

    j'attends donc deux rapports hébergés

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    Windows 8 => meme flop que Vista X 10
    0
  16. GalopinpinBleu
     
    Voici les scans :

    http://cjoint.com/data3/3Fcs02zE955.htm

    http://cjoint.com/data3/3Fcs1eZ2aOA.htm
    0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c'est bon tu peux faire le menage :

    https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
    0
  18. GalopinpinBleu
     
    Merci beaucoup, je vais suivre les instructions, mais peux-tu me confirmer si oui ou non, il y avait un keylogger ?
    0
  19. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    non
    0
  20. GalopinpinBleu
     
    Ok, fausse alerte alors, tant mieux! ^^

    Merci beaucoup.
    0
  21. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    :)
    0