Keylogger encore actif ?

Résolu/Fermé

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 - 4 juil. 2016 à 11:03
cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 - 4 juil. 2016 à 22:49

Bonjour,

Hier soir un compte Facebook avec qui je parle depuis des mis m'envoie un logiciel. Je le passe sur virustotal: https://www.virustotal.com/gui/file/632ab6fe8e91ac8cf4e7b9c270d46681c26873080029261c315a674fcb552df5
et virscan: https://r.virscan.org/report/7cce7dfbb01524a6c7a7c3cae990c54f

Je me dis OK je peux le lancer. Et c'est seulement après avoir désactivé mon antivirus car il voulait pas me laisser lancer ce soit disant petit jeu créé par la personne qui me l'a envoyé que j'ai compris que j'ai fais une grosse connerie.

J'ai alors fais un scan ZHP Diag: http://www.cjoint.com/data3/FGei3UdN8LI_ZHPDiag.txt

J'ai vu la ligne O43 - CFD: 04/07/2016 - [] D -- C:\Users\Jeremy\AppData\Roaming\BFF703C3-DA10-44EB-B2BF-FDF9B3842D8B

Dedans quelques fichiers dont 1 avec tout ce qu j'ai tapé au clavier et tout ce que j'ai copié/collé ...

J'ai réussis après un passage de AdwCleaner:

# AdwCleaner v5.201 - Rapport créé le 04/07/2016 à 03:51:33
# Mis à jour le 30/06/2016 par ToolsLib
# Base de données : 2016-07-01.1 [Serveur]
# Système d'exploitation : Windows 8.1 (X64)
# Nom d'utilisateur : Jeremy - PCJEREMY
# Exécuté depuis : C:\Users\Jeremy\Downloads\adwcleaner_5.201.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum

- - - - [ Services ] *****
      - [ Dossiers ] *****
      - [ Fichiers ] *****
      - [ DLLs ] *****
      - [ WMI ] *****
      - [ Raccourcis ] *****
      - [ Tâches planifiées ] *****
      - [ Registre ] *****

[-] Valeur supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 [vProt]

- - - - [ Navigateurs ] *****

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

C:\AdwCleaner\AdwCleaner[C1].txt - [7036 octets] - [10/04/2016 11:41:01]
C:\AdwCleaner\AdwCleaner[C2].txt - [1200 octets] - [09/05/2016 18:41:37]
C:\AdwCleaner\AdwCleaner[C3].txt - [1042 octets] - [04/07/2016 03:51:33]
C:\AdwCleaner\AdwCleaner[S1].txt - [7465 octets] - [10/04/2016 11:33:37]
C:\AdwCleaner\AdwCleaner[S2].txt - [1014 octets] - [09/05/2016 18:38:19]
C:\AdwCleaner\AdwCleaner[S3].txt - [1237 octets] - [04/07/2016 03:48:43]

########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [1338 octets] ##########

J'avais aussi vu que le truc a ajouté AutoIt v3 Script dans les programmes lancés au démarrage. Je l'ai désactivé.

Je souhaite savoir s'il reste encore des traces du keylogger après avoir supprimé ce dossier nommé BFF703C3-DA10-44EB-B2BF-FDF9B3842D8B

Merci d'avance

A voir également:

Sp_data.sys
Service audio non actif ✓ - Forum Audio
Actif il y a 2 heures messenger ✓ - Forum Facebook
Comment savoir si un compte snap est toujours actif ✓ - Forum Snapchat
Comment savoir si un compte badoo est actif - Forum Réseaux sociaux
Service audio non actif sur Window 7 - Forum Pilotes (drivers)

4 réponses

Réponse 1 / 4

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
4 juil. 2016 à 11:11

Salut

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

--

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 12:01

Bonjour,

https://pjjoint.malekal.com/files.php?id=FRST_20160704_x10s8n9y9q11

https://pjjoint.malekal.com/files.php?id=20160704_t1215w14q13q12

Par contre je n'ai pas le Shortcut.txt car je ne l'ai pas coché comme indiqué sur la copie d'écran du logiciel en version française.

D'ailleurs le tutoriel a changé de page :)
https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 19:57

Bonsoir,

M'avez vous oublié ? Désolé d'insister mais j'ai un serveur de jeu et je souhaite savoir s'il est possible que ce que j'ai tapé au clavier depuis que j'ai réussis à faire disparaitre le dossier a put aller encore ailleurs, même si ça m'étonnerait vu que ça a l'air d'un logiciel fait par un particulier, on sait jamais ...

Réponse 2 / 4

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
4 juil. 2016 à 21:42

oui désolé et ton PC est infecté.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
 Startup: C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk [2016-07-04] 
 ShortcutTarget: RFfcfiYZFOgePTbV.cmd.lnk -> C:\Users\Jeremy\AppData\Roaming\Winlogon.exe (AutoIt Team)  
  2016-07-04 00:40 - 2016-07-04 00:31 - 00936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe 
 2016-07-04 00:40 - 2016-07-04 00:31 - 00036759 ___SH C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg 
 2016-07-04 00:40 - 2016-07-04 00:30 - 00222224 ___SH C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge 
  2016-07-04 00:40 - 2016-07-04 00:31 - 0036759 ___SH () C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg 
 2015-10-18 16:22 - 2015-10-18 16:22 - 0000600 _____ () C:\Users\Jeremy\AppData\Roaming\PUTTY.RND  
 2016-07-04 00:40 - 2016-07-04 00:30 - 0222224 ___SH () C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge 
 2016-06-24 10:24 - 2016-07-04 10:45 - 0000165 _____ () C:\Users\Jeremy\AppData\Roaming\sp_data.sys  
 2016-07-04 00:40 - 2016-07-04 00:31 - 0936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe 
  2015-09-08 21:23 - 2015-09-08 21:23 - 0000003 _____ () C:\Users\Jeremy\AppData\Local\updater.log  
 2015-09-08 21:23 - 2015-10-02 01:00 - 0000424 _____ () C:\Users\Jeremy\AppData\Local\UserProducts.xml  
 2015-07-08 17:53 - 2015-07-08 17:53 - 0000000 ____H () C:\ProgramData\DP45977C.lfl  
 2016-06-20 01:46 - 2016-06-20 01:46 - 0000016 _____ () C:\ProgramData\mntemp 
 2016-02-21 17:20 - 2016-02-21 17:20 - 0004136 _____ () C:\ProgramData\oqztiqep.adk  
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 22:13

Oh mince Paypal, skrill, mon serveur, etc etc .. ah que je suis bête d'avoir fais ça. Pour le moment aucune activité suspecte.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
Exécuté par Jeremy (2016-07-04 21:57:52) Run:3
Exécuté depuis C:\Users\Jeremy\Desktop
Profils chargés: Jeremy & (Profils disponibles: Jeremy)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk [2016-07-04]
ShortcutTarget: RFfcfiYZFOgePTbV.cmd.lnk -> C:\Users\Jeremy\AppData\Roaming\Winlogon.exe (AutoIt Team)
2016-07-04 00:40 - 2016-07-04 00:31 - 00936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
2016-07-04 00:40 - 2016-07-04 00:31 - 00036759 ___SH C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
2016-07-04 00:40 - 2016-07-04 00:30 - 00222224 ___SH C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
2016-07-04 00:40 - 2016-07-04 00:31 - 0036759 ___SH () C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
2015-10-18 16:22 - 2015-10-18 16:22 - 0000600 _____ () C:\Users\Jeremy\AppData\Roaming\PUTTY.RND
2016-07-04 00:40 - 2016-07-04 00:30 - 0222224 ___SH () C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
2016-06-24 10:24 - 2016-07-04 10:45 - 0000165 _____ () C:\Users\Jeremy\AppData\Roaming\sp_data.sys
2016-07-04 00:40 - 2016-07-04 00:31 - 0936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
2015-09-08 21:23 - 2015-09-08 21:23 - 0000003 _____ () C:\Users\Jeremy\AppData\Local\updater.log
2015-09-08 21:23 - 2015-10-02 01:00 - 0000424 _____ () C:\Users\Jeremy\AppData\Local\UserProducts.xml
2015-07-08 17:53 - 2015-07-08 17:53 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-06-20 01:46 - 2016-06-20 01:46 - 0000016 _____ () C:\ProgramData\mntemp
2016-02-21 17:20 - 2016-02-21 17:20 - 0004136 _____ () C:\ProgramData\oqztiqep.adk
Hosts:
EmptyTemp:
RemoveProxy:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk => déplacé(es) avec succès
C:\Users\Jeremy\AppData\Roaming\Winlogon.exe => déplacé(es) avec succès
"C:\Users\Jeremy\AppData\Roaming\Winlogon.exe" => non trouvé(e).
C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg => déplacé(es) avec succès
C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge => déplacé(es) avec succès
"C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg" => non trouvé(e).
C:\Users\Jeremy\AppData\Roaming\PUTTY.RND => déplacé(es) avec succès
"C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge" => non trouvé(e).
C:\Users\Jeremy\AppData\Roaming\sp_data.sys => déplacé(es) avec succès
"C:\Users\Jeremy\AppData\Roaming\Winlogon.exe" => non trouvé(e).
C:\Users\Jeremy\AppData\Local\updater.log => déplacé(es) avec succès
C:\Users\Jeremy\AppData\Local\UserProducts.xml => déplacé(es) avec succès
C:\ProgramData\DP45977C.lfl => déplacé(es) avec succès
C:\ProgramData\mntemp => déplacé(es) avec succès
C:\ProgramData\oqztiqep.adk => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-3\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-3\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-4\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-4\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 12582912 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12061382 B
Java, Flash, Steam htmlcache => 47150 B
Windows/system/drivers => 662298 B
Edge => 0 B
Chrome => 95594286 B
Firefox => 603127328 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 106043 B
systemprofile32 => 64482 B
LocalService => 4811380 B
NetworkService => 0 B
Jeremy => 151718269 B

RecycleBin => 858196568 B
EmptyTemp: => 1.6 GB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 22:04:53

Il faut savoir que dans Avira j'avais coché la case pour protéger le fichier host.

Merci de votre aide.

Réponse 3 / 4

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
4 juil. 2016 à 22:16

pas de soucis,

change tes mots de passe, ils ont été tous volés.
Refais un scan FRST et donne les rapports via pjjoint afin de contrôler qu'il n'y ait plus rien.

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 22:25

https://pjjoint.malekal.com/files.php?id=20160704_s11n11j6o11c12

https://pjjoint.malekal.com/files.php?id=FRST_20160704_n10y11s8e11f15

Pensez vous que les mots de passes sauvegardés dans thunderbird et firefox que je n'ai donc pas écris au clavier depuis plusieurs mois ont aussi été volés ?
Ils sont très compliqués et je les connais par coeur ...

Réponse 4 / 4

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
4 juil. 2016 à 22:28

Ca roule :)

attention à ce que tu télécharges !
et change bien tous tes mots de passe.

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 22:31

Je pensais qu'un de mes joueurs a créé un petit jeu, il m'a demandé de le tester et comme j'ai l'habitude de faire pareil avec le logiciel de connexion au jeu lorsque je sors une nouvelle version, je me suis pas posé de question dès le début ...

Bon d'un autre côté ça ne peut pas être une mauvaise idée de modifier des mots de passe utilisés depuis 2-3 ans pour certains.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024
4 juil. 2016 à 22:34

Si tu as le fichier d'installation de ce jeu, je le veux bien : http://upload.malekal.com
pour voir les détections etc :)

cocodu67... Messages postés 3162 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 20 novembre 2024 145
4 juil. 2016 à 22:49

Bon RIP mon compte Paypal avec 1700 € dessus et lié à mon compte bancaire ...
1h plus tôt et Paypal aurait encore été ouvert par téléphone :-(

Le client du jeu se télécharge ici: http://mixmasteralchemist.fr/downloadclient/MixMasterAlchemist.exe
(Environ 630 Mo).

Avast et bitdefender détectent souvent le MixMaster.exe et le Start_MixMasterAlchemist.exe donc bon je l'ajoute dans les exclusions et je les recontact à chaque fois.

Discussions similaires

Que signifie "actif il y a x minutes" ?

Pourquoi l'info "actif depuis "x" minutes" n'apparaît plus ?

Actif le .. n apparait plus

Actif ou en ligne.

messenger " actif il y X minutes " n'apparait pas