Keloygger qui revient tout le temps dans la base de registre
Résolu/Fermé
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
-
Modifié par linne7 le 3/06/2014 à 23:31
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 juin 2014 à 23:00
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 juin 2014 à 23:00
A voir également:
- Keloygger qui revient tout le temps dans la base de registre
- Registre windows - Guide
- Blocage agriculteur carte en temps réel - Accueil - Transports & Cartes
- Formules excel de base - Guide
- Renommer plusieurs fichiers en même temps - Guide
- Combien de temps reste une story sur facebook - Guide
26 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
3 juin 2014 à 23:33
3 juin 2014 à 23:33
Salut,
Donne le rapport Malwarebytes.
Donne le rapport Malwarebytes.
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
4 juin 2014 à 00:08
4 juin 2014 à 00:08
bonsoir, le voici :
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 03/06/2014
Heure de l'examen: 22:32:45
Fichier journal: malw.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.03.06
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 307033
Temps écoulé: 45 min, 45 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),Remplacé,[b8fab1c25328bf77620be184f70ddd23]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 03/06/2014
Heure de l'examen: 22:32:45
Fichier journal: malw.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.03.06
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 307033
Temps écoulé: 45 min, 45 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),Remplacé,[b8fab1c25328bf77620be184f70ddd23]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
4 juin 2014 à 00:11
4 juin 2014 à 00:11
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
4 juin 2014 à 01:20
4 juin 2014 à 01:20
Merci de ton aide Malekal.
Voici le rapport, seulement il ne m'en a sorti qu'un seul.
Est ce embetant?
Lien : https://pjjoint.malekal.com/files.php?id=20140604_o12r13t12i8i9
Voici le rapport, seulement il ne m'en a sorti qu'un seul.
Est ce embetant?
Lien : https://pjjoint.malekal.com/files.php?id=20140604_o12r13t12i8i9
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
Modifié par linne7 le 4/06/2014 à 20:18
Modifié par linne7 le 4/06/2014 à 20:18
bonsoir malekal,
je sais et voit que tu as un enorme boulot sur ce site, mais au cas ou mon message est parti en dessous de tous les autres... sinon quand tu as un moment. merci
Conception de sites web + graphisme + référencement.
passion : informatique
je sais et voit que tu as un enorme boulot sur ce site, mais au cas ou mon message est parti en dessous de tous les autres... sinon quand tu as un moment. merci
Conception de sites web + graphisme + référencement.
passion : informatique
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 4/06/2014 à 21:49
Modifié par Malekal_morte- le 4/06/2014 à 21:49
essaye ça :
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"Userinit"="userinit.exe,"
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"Userinit"="userinit.exe,"
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
4 juin 2014 à 23:44
4 juin 2014 à 23:44
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\"Userinit"|"userinit.exe," /E : value set successfully!
OTL by OldTimer - Version 3.2.69.0 log created on 06042014_234421
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\"Userinit"|"userinit.exe," /E : value set successfully!
OTL by OldTimer - Version 3.2.69.0 log created on 06042014_234421
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
4 juin 2014 à 23:53
4 juin 2014 à 23:53
et ordinateur redemarre
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 juin 2014 à 07:26
5 juin 2014 à 07:26
pour te rassurer, le fichier qui est mentionné dans la clef a l'air d'avoir sauté, donc plus actif.
Par contre, par sécurité si ça n'a pas été fait, change tous tes mots de passe WEB et FTP (comme t'as l'air d'être un webmaster).
Par contre, par sécurité si ça n'a pas été fait, change tous tes mots de passe WEB et FTP (comme t'as l'air d'être un webmaster).
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
5 juin 2014 à 08:52
5 juin 2014 à 08:52
oki je vais faire ca. Dois je tout de meme refaire un scan avec Malwarebytes pour m'en assurer? et si toujours la je te reposte le scan?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 juin 2014 à 08:58
5 juin 2014 à 08:58
oui refais pour voir :)
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
Modifié par linne7 le 5/06/2014 à 09:57
Modifié par linne7 le 5/06/2014 à 09:57
je n'y crois pas toujours la... j'ai un mal fou a m'en debarrasser...
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 05/06/2014
Heure de l'examen: 09:09:48
Fichier journal: mv.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.05.05
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 306764
Temps écoulé: 45 min, 16 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),,[f3bf8ce7106b89adbd0f8cdbaa5a0af6]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Conception de sites web + graphisme + référencement.
passion : informatique
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 05/06/2014
Heure de l'examen: 09:09:48
Fichier journal: mv.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.05.05
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 306764
Temps écoulé: 45 min, 16 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),,[f3bf8ce7106b89adbd0f8cdbaa5a0af6]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Conception de sites web + graphisme + référencement.
passion : informatique
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 juin 2014 à 14:16
5 juin 2014 à 14:16
Essaye ça :
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"Userinit"="userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARESOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"Userinit"="userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARESOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
6 juin 2014 à 00:03
6 juin 2014 à 00:03
merci. Voila le rapport :
https://pjjoint.malekal.com/files.php?id=20140606_10u12h11l9h7
https://pjjoint.malekal.com/files.php?id=20140606_10u12h11l9h7
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
6 juin 2014 à 01:23
6 juin 2014 à 01:23
Alors ordinateur redemarre et je me suis permise de refaire un scan de Malwarebytes, il est toujours present.. et ca m'ennuie car je n'ose plus rien faire sur mon ordi et j'ai des trucs en attente en urgence... :(
Le rapport de Malwarebytes :
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 06/06/2014
Heure de l'examen: 00:36:03
Fichier journal: 1.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.05.13
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 306911
Temps écoulé: 41 min, 11 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),,[5062c5ae59227abc3ac7e287b74d01ff]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Le rapport de Malwarebytes :
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 06/06/2014
Heure de l'examen: 00:36:03
Fichier journal: 1.txt
Administrateur: Oui
Version: 2.00.2.1012
Base de données Malveillants: v2014.06.05.13
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)
Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: liline
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 306911
Temps écoulé: 41 min, 11 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 1
Refog.Keylogger, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|userinit, c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe, Bon: (Userinit.exe), Mauvais: (c:\windows\system32\userinit.exe,C:\windows\SysWOW64\MPK\mpk.exe),,[5062c5ae59227abc3ac7e287b74d01ff]
Dossiers: 0
(No malicious items detected)
Fichiers: 0
(No malicious items detected)
Secteurs physiques: 0
(No malicious items detected)
(end)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
6 juin 2014 à 06:58
6 juin 2014 à 06:58
Ouvre regedit.exe
positionne toi sur HKEY_LOCAL_MACHINE
tape F3 et cherche mpk.exe
cherche la clef Winlogon et supprime la partie C:\windows\SysWOW64\MPK\mpk.exe
Laisse bien la virgule à la fin.
Si ça revient, c'est que quelque chose le remet.
positionne toi sur HKEY_LOCAL_MACHINE
tape F3 et cherche mpk.exe
cherche la clef Winlogon et supprime la partie C:\windows\SysWOW64\MPK\mpk.exe
Laisse bien la virgule à la fin.
Si ça revient, c'est que quelque chose le remet.
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
Modifié par linne7 le 6/06/2014 à 23:54
Modifié par linne7 le 6/06/2014 à 23:54
oki je fais ca et revient te dire merci! oui quand j'ai vu qu'il revenait non stop je me suis dit qu'un programme ou autre le faisait revenir.. j'ai eu beau chercher je n'aie pas trouve. Pour cela qu'avant de me dire "je formate" je suis venu poster ici, en esperant trouver une autre solution que celle ci mais s'il faut bien je le ferai :(
Conception de sites web + graphisme + référencement.
passion : informatique
Conception de sites web + graphisme + référencement.
passion : informatique
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
7 juin 2014 à 00:20
7 juin 2014 à 00:20
Mauvaise nouvelle.. j'ai fait ce que tu m'as dit dans regedit, il n'a rien trouve! (image ci dessous)
J'ai aussi ete voir sur mon disque C dans windows et dans le dossier SysWOW64 s'il y avait un dossier se nommant MPK (fichier et dossiers caches decoches) la aussi aucun dossier se nommant MPK (image ci-dessous) il me semble d'ailleurs que j'avais deja ete voir...
je ne vois vraiment pas ce qui empeche sa suppression definitive.
J'ai aussi ete voir sur mon disque C dans windows et dans le dossier SysWOW64 s'il y avait un dossier se nommant MPK (fichier et dossiers caches decoches) la aussi aucun dossier se nommant MPK (image ci-dessous) il me semble d'ailleurs que j'avais deja ete voir...
je ne vois vraiment pas ce qui empeche sa suppression definitive.
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
Modifié par linne7 le 7/06/2014 à 00:34
Modifié par linne7 le 7/06/2014 à 00:34
bon j'ai ete le chercher a la main dans regedit et l'ai trouve.. je ne vois pas pourquoi il ne l'a pas trouve de lui meme.. j'ai fait comme tu m'as dit.. je reviens te dire :)
apres redemarrage et rescan.
Conception de sites web + graphisme + référencement.
passion : informatique
apres redemarrage et rescan.
Conception de sites web + graphisme + référencement.
passion : informatique
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
7 juin 2014 à 11:23
7 juin 2014 à 11:23
Bonjour malekal,
bon il est revenu.. :(
j'ai fait un scan en ligne avec ESET et j'ai trouve
WIN32/Keylogger.Beyond.B application
Win32/Monitor. spyagent.NAG
entre autre, je te met le screen car malheureusement je ne sais pas comment j'ai fait mais je n'aie pas recuperer de rapport.. meme apres suppression de tout cela il revient quand meme!
En attendant j'ai bien compris que tout ce que j'avais tape depuis sur mon ordi avait dut etre vole.. en tout les cas vu, ca craint..
le screen en esperant que l'image sera assez grande il y avait 8 detections :
bon il est revenu.. :(
j'ai fait un scan en ligne avec ESET et j'ai trouve
WIN32/Keylogger.Beyond.B application
Win32/Monitor. spyagent.NAG
entre autre, je te met le screen car malheureusement je ne sais pas comment j'ai fait mais je n'aie pas recuperer de rapport.. meme apres suppression de tout cela il revient quand meme!
En attendant j'ai bien compris que tout ce que j'avais tape depuis sur mon ordi avait dut etre vole.. en tout les cas vu, ca craint..
le screen en esperant que l'image sera assez grande il y avait 8 detections :
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
7 juin 2014 à 11:46
7 juin 2014 à 11:46
Dommage qu'on ait pas le rapport, on sait pas si c'est juste des détections de fichiers isolés, ou s'il est encore actif.
Sur ton rapport OTL, le fichier MPK.exe n'a plus l'air d'être là.
~~
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Sur ton rapport OTL, le fichier MPK.exe n'a plus l'air d'être là.
~~
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
linne7
Messages postés
28
Date d'inscription
mercredi 27 février 2013
Statut
Membre
Dernière intervention
12 juin 2014
7 juin 2014 à 11:57
7 juin 2014 à 11:57
je l'ai trouve sur le disque C. Je te le donne et fait ce que tu me conseilles :
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=a6741ca6150b054da0b7bd1b9ab59035
# engine=18585
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2014-06-07 01:06:08
# local_time=2014-06-07 03:06:08 )
# country="France"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 100 184595 15521330 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 1941869 10429489 0 0
# scanned=301122
# found=11
# cleaned=9
# scan_time=19063
sh=DF106553AA7E1119027AC6BBE81B02A189F670E1 ft=1 fh=b7a532b1447610d1 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application" ac=I fn="C:\Users\All Users\Avira\My Avira\Temp\antivirus.exe"
sh=F96E57517DE00397A5EFF92AE1ADA1BF56A2140F ft=1 fh=c71c0011dc5fc204 vn="a variant of Win32/KeyLogger.Beyond.B application" ac=I fn="C:\Windows\SysWOW64\ms-Cnlern.dll"
sh=B9A96D9AE94C4B42CA5499933F6DF218B3903768 ft=1 fh=966b3592656dc188 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Program Files (x86)\Avira\AntiVir Desktop\offercast_avirav7_.exe"
sh=DF106553AA7E1119027AC6BBE81B02A189F670E1 ft=1 fh=b7a532b1447610d1 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\ProgramData\Avira\My Avira\Temp\antivirus.exe"
sh=20463B7C4A335F8633F5F35027A044B0946EF4D2 ft=1 fh=cdec544e188ffb7d vn="Win32/OpenCandy potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\FreemakeVideoDownloaderSetup.exe"
sh=12D9120F335D3BB2DD22BF2DF87FE09C66DA105E ft=1 fh=cbf33170aa630ab0 vn="Win32/OpenCandy potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\FreemakeYoutubeMp3ConverterSetup.exe"
sh=F1EFF6451CED129C0E5C0A510955F234A01158A0 ft=1 fh=332b4278a72373e2 vn="a variant of Win32/Toolbar.Babylon.E potentially unwanted application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\unlocker_1-9-2_fr_20237.exe"
sh=46C0E4C16679489260F78815119D5594EDFD3982 ft=1 fh=e0b13b79e3bb4a99 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\Securite\avira_internet_security_en.exe"
sh=B8F47D472E20AAD04B8674EB3E5E5DC95BAC85B9 ft=1 fh=ff3715fdc062df8b vn="Win32/Bundled.Toolbar.Google.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\Securite\ccsetup411pro.exe"
sh=CB05D5BB6266F937393F47C1EB40C52EB8A02724 ft=1 fh=1c29f711adc6526c vn="a variant of Win32/Monitor.Spyagent.NAG potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Windows\sysk32.dll"
sh=F96E57517DE00397A5EFF92AE1ADA1BF56A2140F ft=1 fh=c71c0011dc5fc204 vn="a variant of Win32/KeyLogger.Beyond.B application (cleaned by deleting - quarantined)" ac=C fn="C:\Windows\System32\ms-Cnlern.dll"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=a6741ca6150b054da0b7bd1b9ab59035
# engine=18603
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2014-06-07 05:58:52
# local_time=2014-06-07 07:58:52 )
# country="France"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 99 0 15538894 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 1959433 10447053 0 0
# scanned=301644
# found=0
# cleaned=0
# scan_time=16830
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=a6741ca6150b054da0b7bd1b9ab59035
# engine=18585
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2014-06-07 01:06:08
# local_time=2014-06-07 03:06:08 )
# country="France"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 100 184595 15521330 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 1941869 10429489 0 0
# scanned=301122
# found=11
# cleaned=9
# scan_time=19063
sh=DF106553AA7E1119027AC6BBE81B02A189F670E1 ft=1 fh=b7a532b1447610d1 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application" ac=I fn="C:\Users\All Users\Avira\My Avira\Temp\antivirus.exe"
sh=F96E57517DE00397A5EFF92AE1ADA1BF56A2140F ft=1 fh=c71c0011dc5fc204 vn="a variant of Win32/KeyLogger.Beyond.B application" ac=I fn="C:\Windows\SysWOW64\ms-Cnlern.dll"
sh=B9A96D9AE94C4B42CA5499933F6DF218B3903768 ft=1 fh=966b3592656dc188 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Program Files (x86)\Avira\AntiVir Desktop\offercast_avirav7_.exe"
sh=DF106553AA7E1119027AC6BBE81B02A189F670E1 ft=1 fh=b7a532b1447610d1 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\ProgramData\Avira\My Avira\Temp\antivirus.exe"
sh=20463B7C4A335F8633F5F35027A044B0946EF4D2 ft=1 fh=cdec544e188ffb7d vn="Win32/OpenCandy potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\FreemakeVideoDownloaderSetup.exe"
sh=12D9120F335D3BB2DD22BF2DF87FE09C66DA105E ft=1 fh=cbf33170aa630ab0 vn="Win32/OpenCandy potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\FreemakeYoutubeMp3ConverterSetup.exe"
sh=F1EFF6451CED129C0E5C0A510955F234A01158A0 ft=1 fh=332b4278a72373e2 vn="a variant of Win32/Toolbar.Babylon.E potentially unwanted application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\unlocker_1-9-2_fr_20237.exe"
sh=46C0E4C16679489260F78815119D5594EDFD3982 ft=1 fh=e0b13b79e3bb4a99 vn="a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\Securite\avira_internet_security_en.exe"
sh=B8F47D472E20AAD04B8674EB3E5E5DC95BAC85B9 ft=1 fh=ff3715fdc062df8b vn="Win32/Bundled.Toolbar.Google.D potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Users\liline\Downloads\Programmes\Securite\ccsetup411pro.exe"
sh=CB05D5BB6266F937393F47C1EB40C52EB8A02724 ft=1 fh=1c29f711adc6526c vn="a variant of Win32/Monitor.Spyagent.NAG potentially unsafe application (deleted - quarantined)" ac=C fn="C:\Windows\sysk32.dll"
sh=F96E57517DE00397A5EFF92AE1ADA1BF56A2140F ft=1 fh=c71c0011dc5fc204 vn="a variant of Win32/KeyLogger.Beyond.B application (cleaned by deleting - quarantined)" ac=C fn="C:\Windows\System32\ms-Cnlern.dll"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=a6741ca6150b054da0b7bd1b9ab59035
# engine=18603
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2014-06-07 05:58:52
# local_time=2014-06-07 07:58:52 )
# country="France"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 99 0 15538894 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 1959433 10447053 0 0
# scanned=301644
# found=0
# cleaned=0
# scan_time=16830
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok