J'ai un keylogger sur mon pc ? Résolu/Fermé

Question

Bonjour, 

J'ai voulu installer un logiciel pour un jeu, mais à cause de celui-ci je me suis fait volé mon compte (jeu) une personne a eu accès à mes comptes d'email et mon ordinateur est devenu plus lent. j'ai l'impression d'être surveillé, vous auriez une solution à me donner ? s.v.p.

Merco.

Configuration: Windows 7 / Chrome 28.0.1500.72

billmaxime · Accepted Answer

salut

fais ceci

Télécharge roguekiller sur ton bureau 

Le lien https://www.luanagames.com/index.fr.html 

Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html 

Quitte tous tes programmes en cours

Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)

Laisse faire le prescan

Clique sur scan

Le rapport s'affichera sur ton bureau et dans C: RKReport[#].txt   

Poste le rapport via 1 copier/coller


@+

hardy38 · Answer

Voici le rapport : RogueKiller V8.6.3 [Jul 17 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Betty [Droits d'admin] Mode : Suppression -- Date : 07/25/2013 19:45:05 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 7 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\RunOnce : Windows Management Instrumentation (C:\Users\Betty\AppData\Roaming\Microsoft\Windows\wbemcore.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2416061817-1774990040-4118108695-1000\[...]\RunOnce : Windows Management Instrumentation (C:\Users\Betty\AppData\Roaming\Microsoft\Windows\wbemcore.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ POL] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [BROK VAL] HKCR\[...]\command : () -> CRÉÉ ("%1" %*) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200BEVT-60A23T0 ATA Device +++++ --- User --- [MBR] e7f58d5db021b6c3c72b913e4bd135eb [BSP] 5cfd903b5518df9dbb2db8bad618c379 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_07252013_194505.txt >> RKreport[0]_S_07252013_194346.txt

billmaxime · Answer

re

non, ton pc n'est pas encore clean, fais ceci maintenant

télécharge MBAM sur ton bureau 

le lien https://www.malwarebytes.com/ (prend le free) 

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/ 

exécute le en tant qu'administrateur (clic droit) 
met le a jour  (3ème bouton)

fais 1 scan complet (tous les disques) 

le scan peut durer +-2H (laisse le bosser) 

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

vérifie que tout soit coché avant de supprimer

si MBAM demande de redémarrer le pc, fais le

poste le rapport via 1 copier/coller 

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM 

@+

hardy38 · Answer

Rapport : 

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.25.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
Betty :: BETTY-PC [administrateur]

Protection: Désactivé

25/07/2013 20:10:16
mbam-log-2013-07-25 (20-10-16).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288051
Temps écoulé: 45 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\Betty\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 1
C:\Users\Betty\AppData\Roaming\dclogs\2013-07-25-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

(fin)

billmaxime · Answer

re

change tes mots de passe, ils ont pu être  volé

fais ceci maintenant s'il te plaît

 télécharge zhpdiag sur ton bureau (outil de diagnostic)  

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport 

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit) 

pour lancer le scan clique sur la loupe avec le + (2ème bouton en haut a gauche) 

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

@+ 
 
le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl

hardy38 · Answer

rapport zhpdiag :

http://cjoint.com/data3/3GAieu62Gs1.htm

billmaxime · Answer

re

fais ceci s'il te plaît

télécharge adwcleaner sur ton bureau (clique sur la flèche verte)

le lien https://toolslib.net 

utlisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit) 

choisis le mode suppression 

le rapport s'affichera sur ton bureau et dans C:\adw[S1].txt 

poste le rapport via 1 copier/coller 

@+

hardy38 · Answer

# AdwCleaner v2.306 - Rapport créé le 26/07/2013 à 02:09:44
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : Betty - BETTY-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Betty\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16635

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v28.0.1500.72

Fichier : C:\Users\Betty\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [893 octets] - [25/07/2013 18:20:51]
AdwCleaner[S2].txt - [819 octets] - [26/07/2013 02:09:44]

########## EOF - C:\AdwCleaner[S2].txt - [878 octets] ##########
 
Voilà !

billmaxime · Answer

re

c'est 1 vieux rapport (AdwCleaner v2.306 - Rapport créé le 26/07/2013 à 02:09:44)
tu peux repasser adwcleaner en mode suppression
@+

hardy38 · Answer

Ah non, ce n'est pas un vieux rapport, il est 2:28 chez moi.

billmaxime · Answer

re

ok, fais ceci maintenant

lance zhpfix en tant qu'administrateur (clic droit) 

copie tout le texte en gras ci-dessous 

clique sur le 2ème bouton en haut a gauche (coller le presse papier) 

clic sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

le texte a copier 

P2 - FPN: [HKLM] [@pandonetworks.com/PandoWebPlugin] - (...) -- C:\Program Files\Pando Networks\Media Booster
pPandoWebPlugin.dll (.not file.)
 R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (...) (No version) -- (.not file.)
 O20 - AppInit_DLLs: . (...) - C:\Program Files\search~1\datamngr\mgrldr.dll (.not file.)  =>PUP.Datamngr
 [HKLM\SYSTEM\CurrentControlSet\Services\HssSrv]   =>Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]   =>Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert
[HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert
[HKLM\Software\Google\Chrome\Extensions\oejkcgajlodefenbbjdnaiahmbnnoole]   =>Toolbar.AdAware
[HKLM\Software\Google\Chrome\Extensions
bmafkdmkkckhggblphicnnhlgljnoje]   =>Hijacker.TornTV
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}]   =>Toolbar.Avast
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}]   =>Toolbar.Avast
[HKLM\Software\Classes\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}]   =>Toolbar.Avast
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}]   =>Toolbar.Avast
C:\Users\Betty\Desktopcpsetup_softonic_sd_global.exe   =>Rogue.RegistryPowerCleaner^
[MD5.6D6E061CF36A0B2970B13477114F49DA] [SPRF][17/06/2013] (.Systweak Inc - RegClean Pro.) -- C:\Users\Betty\Desktopcpsetup_softonic_sd_global.exe   [3683336]  =>Rogue.RegistryPowerCleaner
 [MD5.DF40BD7E03EB74C3D109CA12878C772E] [SPRF][25/07/2013] (.Lavasoft - Ad-Aware Security Add-on Installer.) -- C:\Users\Betty\AppData\Local\Temp\618551a1-8dfa-47d4-9929-fa806e5352e1.exe   [3477864]
 [MD5.05BBB298B5856CBE9AB95CD6F4E8AD18] [SPRF][25/07/2013] (.Lavasoft Limited - AdAware Installer.) -- C:\Users\Betty\AppData\Local\Temp\63d1b2cb-ba40-4cee-be37-7b02dcb0f0b9.exe   [5616264]
 O61 - LFC: 25/07/2013 - 17:22:06 ---A- C:\Users\Betty\AppData\Roaming\LavasoftStatistics\adaware.xml   [925]

SysRestore 
FirewallRAZ 
EmptyCLSID 
EmptyTemp 
EmptyFlash 
  
 @+

hardy38 · Answer

Rapport ZHPFix :

http://cjoint.com/data3/3GAiTjON2LZ.htm

billmaxime · Answer

re

ok, et comment va le pc?

c'est sur ce site que tu as chopé le rogue (site a véviter et 01net aussi)

C:\Users\Betty\Desktop\rcpsetup_softonic_sd_global.exe   [3683336]  =>Rogue.RegistryPowerCleaner
 
@+

hardy38 · Answer

Bah le pc fontionne bien :)
Je pensais que ça avait avoir avec un faux lien sur youtube

billmaxime · Answer

re

et non c'était sur softonic

 relance adwcleaner et choisis désinstaller

puis fait ceci

télécharge delfix sur ton bureau

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

exécute le en tant qu'administrateur (clic droit)

vérifie que toutes les cases soient cochées:5

clique sur exécuter

le rapport s'affichera sur ton bureau et dans C:\delfix.txt

poste le rapport via 1 copier/coller

ps: n'oublie pas de changer tes mots de passe

@+

hardy38 · Answer

# DelFix v10.4 - Rapport créé le 26/07/2013 à 03:05:29
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Betty - BETTY-PC
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Users\Betty\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Betty\Desktop\RKreport[0]_S_07252013_194346.txt
Supprimé : C:\Users\Betty\Desktop\RKreport[0]_S_07252013_195901.txt
Supprimé : C:\Users\Betty\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Betty\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Betty\Downloads\RogueKiller.exe
Supprimé : C:\Users\Betty\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #63 [Sauvegarde Windows | 07/14/2013 23:00:09]
Supprimé : RP #64 [Windows Update | 07/16/2013 11:51:20]
Supprimé : RP #65 [Windows Update | 07/18/2013 07:00:12]
Supprimé : RP #66 [Installation avast! Free Antivirus | 07/18/2013 16:28:32]
Supprimé : RP #67 [Installation avast! Free Antivirus | 07/19/2013 20:01:35]
Supprimé : RP #68 [Installation du package de pilotes : Google, Inc. | 07/20/2013 19:47:25]
Supprimé : RP #69 [Installation du package de pilotes : Google, Inc. Android Phone | 07/20/2013 19:50:47]
Supprimé : RP #70 [Installation du package de pilotes : Google, Inc. Android Phone | 07/20/2013 19:51:24]
Supprimé : RP #71 [Sauvegarde Windows | 07/22/2013 00:48:27]
Supprimé : RP #72 [Windows Update | 07/23/2013 13:51:42]
Supprimé : RP #73 [OTL Restore Point - 25/07/2013 18:34:20 | 07/25/2013 22:34:24]
Supprimé : RP #75 [P | 07/26/2013 06:42:26]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Oui, j'ai directement pensé aux mots de passe.
En tout cas merci d'être resté aussi longtemps à m'aider.

billmaxime · Answer

re

pas de soucis pour l'aide^^

si tu n'as plus de soucis, tu peux mettre ton topic en résolu

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

@+ et bon surf

hardy38 · Answer

D'accord merci pour tout :-)

billmaxime · Answer

re

de rien

@+