Suspicion d'un virus/keylogger caché
Résolu
J_
Messages postés
4
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour.
Je me suis fait piraté mon compte Paypal hier, 9 jours après l'avoir utilisé (je ne m'en étais pas servi depuis que je l'avais crée, c'est à dire il y a un plus d'un an).
Il se trouve que je m'étais également fait piraté mon adresse e-mail - ainsi que mon compte Steam et Blizzard par la même occasion - il y a plusieurs mois.
Sauf que mon antivirus ( Microsoft Security Essentials) n'a rien détecté, ni le scan en ligne que j'ai fait avec kasperky.
Ce qui me laisse penser que mon ordinateur est victime de je ne sais quoi que je n'ai pas pu détecter avec des antivirus classiques.
J'aimerais du coup avoir des indications et la démarche à suivre afin de faire une analyse minutieuse de mon ordinateur, et de pouvoir être sûr qu'il est sain - ou le nettoyer si ce n'est pas le cas.
Bonne journée.
Je me suis fait piraté mon compte Paypal hier, 9 jours après l'avoir utilisé (je ne m'en étais pas servi depuis que je l'avais crée, c'est à dire il y a un plus d'un an).
Il se trouve que je m'étais également fait piraté mon adresse e-mail - ainsi que mon compte Steam et Blizzard par la même occasion - il y a plusieurs mois.
Sauf que mon antivirus ( Microsoft Security Essentials) n'a rien détecté, ni le scan en ligne que j'ai fait avec kasperky.
Ce qui me laisse penser que mon ordinateur est victime de je ne sais quoi que je n'ai pas pu détecter avec des antivirus classiques.
J'aimerais du coup avoir des indications et la démarche à suivre afin de faire une analyse minutieuse de mon ordinateur, et de pouvoir être sûr qu'il est sain - ou le nettoyer si ce n'est pas le cas.
Bonne journée.
A voir également:
- Suspicion d'un virus/keylogger caché
- Copie caché - Guide
- Numéro caché - Guide
- Jeux google caché - Guide
- Virus mcafee - Accueil - Piratage
- Message caché whatsapp - Guide
6 réponses
Salut,
Pour voir :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Pour voir :
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Voila :
https://pjjoint.malekal.com/files.php?id=20140513_t10y7c5l8y15
et il y avait un "extras" :
https://pjjoint.malekal.com/files.php?id=20140513_g5c514b11u11
https://pjjoint.malekal.com/files.php?id=20140513_t10y7c5l8y15
et il y avait un "extras" :
https://pjjoint.malekal.com/files.php?id=20140513_g5c514b11u11
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKU\S-1-5-21-2058846736-367174391-1722856579-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/410 <b>[Pays IL - 94.31.0.60]</b>
FF - prefs.js..browser.search.defaultenginename: Web Search
FF - prefs.js..browser.search.order.1: Web Search
FF - prefs.js..browser.search.selectedEngine: Web Search
FF - prefs.js..keyword.URL: http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND410%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=410-0&lang=en&atb=sysid%3D410%3Aappid%3D0%3Auid%3D338c26265420329d%3Asrc%3Dffb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND410%5EYY%5EFR <b>[Pays IL - 94.31.0.60]</b>
[2011/09/01 17:06:10 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com
[2012/04/14 12:21:36 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll File not found
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll File not found
O4 - HKU\S-1-5-21-2058846736-367174391-1722856579-1000..\Run: [LfjQiwea] C:\Users\Julien\AppData\Local\cnpdrgdx\lfjqiwea.exe File not found
* poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKU\S-1-5-21-2058846736-367174391-1722856579-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/410 <b>[Pays IL - 94.31.0.60]</b>
FF - prefs.js..browser.search.defaultenginename: Web Search
FF - prefs.js..browser.search.order.1: Web Search
FF - prefs.js..browser.search.selectedEngine: Web Search
FF - prefs.js..keyword.URL: http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND410%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=410-0&lang=en&atb=sysid%3D410%3Aappid%3D0%3Auid%3D338c26265420329d%3Asrc%3Dffb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND410%5EYY%5EFR <b>[Pays IL - 94.31.0.60]</b>
[2011/09/01 17:06:10 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com
[2012/04/14 12:21:36 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll File not found
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WIA6EB~1\Datamngr\ToolBar\searchqudtx.dll File not found
O4 - HKU\S-1-5-21-2058846736-367174391-1722856579-1000..\Run: [LfjQiwea] C:\Users\Julien\AppData\Local\cnpdrgdx\lfjqiwea.exe File not found
* poste le rapport ici
Voilà :
========== OTL ==========
HKU\S-1-5-21-2058846736-367174391-1722856579-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Prefs.js: Web Search removed from browser.search.defaultenginename
Prefs.js: Web Search removed from browser.search.order.1
Prefs.js: Web Search removed from browser.search.selectedEngine
Prefs.js: http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND410%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=410-0&lang=en&atb=sysid%3D410%3Aappid%3D0%3Auid%3D338c26265420329d%3Asrc%3Dffb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND410%5EYY%5EFR <b>[Pays IL - 94.31.0.60]</b> removed from keyword.URL
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs\mnRadio folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs\flgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\components folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content\imgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_USERS\S-1-5-21-2058846736-367174391-1722856579-1000\Software\Microsoft\Windows\CurrentVersion\Run\\LfjQiwea deleted successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 05132014_162957
========== OTL ==========
HKU\S-1-5-21-2058846736-367174391-1722856579-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Prefs.js: Web Search removed from browser.search.defaultenginename
Prefs.js: Web Search removed from browser.search.order.1
Prefs.js: Web Search removed from browser.search.selectedEngine
Prefs.js: http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND410%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=410-0&lang=en&atb=sysid%3D410%3Aappid%3D0%3Auid%3D338c26265420329d%3Asrc%3Dffb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND410%5EYY%5EFR <b>[Pays IL - 94.31.0.60]</b> removed from keyword.URL
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs\mnRadio folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs\flgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content\imgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\content folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com\components folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@babylon.com folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content\imgs folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com\content folder moved successfully.
C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\havbp3ie.default\extensions\ffxtlbr@funmoods.com folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_USERS\S-1-5-21-2058846736-367174391-1722856579-1000\Software\Microsoft\Windows\CurrentVersion\Run\\LfjQiwea deleted successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 05132014_162957
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
A priori, tu n'avais que des programmes parasites et pas de keylogger.
Si cela peux te rassurer, tu peux faire un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Dans les paramètres avancés, active la détection des programmes parasites.
donne le rapport via http://pjjoint.malekal.com
Si cela peux te rassurer, tu peux faire un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Dans les paramètres avancés, active la détection des programmes parasites.
donne le rapport via http://pjjoint.malekal.com
