Keylogger encore actif ?

Résolu
cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   -  
cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Hier soir un compte Facebook avec qui je parle depuis des mis m'envoie un logiciel. Je le passe sur virustotal: https://www.virustotal.com/gui/file/632ab6fe8e91ac8cf4e7b9c270d46681c26873080029261c315a674fcb552df5
et virscan: https://r.virscan.org/report/7cce7dfbb01524a6c7a7c3cae990c54f

Je me dis OK je peux le lancer. Et c'est seulement après avoir désactivé mon antivirus car il voulait pas me laisser lancer ce soit disant petit jeu créé par la personne qui me l'a envoyé que j'ai compris que j'ai fais une grosse connerie.

J'ai alors fais un scan ZHP Diag: http://www.cjoint.com/data3/FGei3UdN8LI_ZHPDiag.txt

J'ai vu la ligne O43 - CFD: 04/07/2016 - [] D -- C:\Users\Jeremy\AppData\Roaming\BFF703C3-DA10-44EB-B2BF-FDF9B3842D8B

Dedans quelques fichiers dont 1 avec tout ce qu j'ai tapé au clavier et tout ce que j'ai copié/collé ...

J'ai réussis après un passage de AdwCleaner:

# AdwCleaner v5.201 - Rapport créé le 04/07/2016 à 03:51:33
# Mis à jour le 30/06/2016 par ToolsLib
# Base de données : 2016-07-01.1 [Serveur]
# Système d'exploitation : Windows 8.1 (X64)
# Nom d'utilisateur : Jeremy - PCJEREMY
# Exécuté depuis : C:\Users\Jeremy\Downloads\adwcleaner_5.201.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum
          • [ Services ] *****
          • [ Dossiers ] *****
          • [ Fichiers ] *****
          • [ DLLs ] *****
          • [ WMI ] *****
          • [ Raccourcis ] *****
          • [ Tâches planifiées ] *****
          • [ Registre ] *****


[-] Valeur supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 [vProt]
          • [ Navigateurs ] *****


:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

C:\AdwCleaner\AdwCleaner[C1].txt - [7036 octets] - [10/04/2016 11:41:01]
C:\AdwCleaner\AdwCleaner[C2].txt - [1200 octets] - [09/05/2016 18:41:37]
C:\AdwCleaner\AdwCleaner[C3].txt - [1042 octets] - [04/07/2016 03:51:33]
C:\AdwCleaner\AdwCleaner[S1].txt - [7465 octets] - [10/04/2016 11:33:37]
C:\AdwCleaner\AdwCleaner[S2].txt - [1014 octets] - [09/05/2016 18:38:19]
C:\AdwCleaner\AdwCleaner[S3].txt - [1237 octets] - [04/07/2016 03:48:43]

########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [1338 octets] ##########

J'avais aussi vu que le truc a ajouté AutoIt v3 Script dans les programmes lancés au démarrage. Je l'ai désactivé.

Je souhaite savoir s'il reste encore des traces du keylogger après avoir supprimé ce dossier nommé BFF703C3-DA10-44EB-B2BF-FDF9B3842D8B

Merci d'avance

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut

    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    --
    0
    1. cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   145
       
      Bonjour,

      https://pjjoint.malekal.com/files.php?id=FRST_20160704_x10s8n9y9q11

      https://pjjoint.malekal.com/files.php?id=20160704_t1215w14q13q12

      Par contre je n'ai pas le Shortcut.txt car je ne l'ai pas coché comme indiqué sur la copie d'écran du logiciel en version française.

      D'ailleurs le tutoriel a changé de page :)
      https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
      0
    2. cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   145
       
      Bonsoir,

      M'avez vous oublié ? Désolé d'insister mais j'ai un serveur de jeu et je souhaite savoir s'il est possible que ce que j'ai tapé au clavier depuis que j'ai réussis à faire disparaitre le dossier a put aller encore ailleurs, même si ça m'étonnerait vu que ça a l'air d'un logiciel fait par un particulier, on sait jamais ...
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui désolé et ton PC est infecté.

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk [2016-07-04]
    ShortcutTarget: RFfcfiYZFOgePTbV.cmd.lnk -> C:\Users\Jeremy\AppData\Roaming\Winlogon.exe (AutoIt Team)
    2016-07-04 00:40 - 2016-07-04 00:31 - 00936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
    2016-07-04 00:40 - 2016-07-04 00:31 - 00036759 ___SH C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
    2016-07-04 00:40 - 2016-07-04 00:30 - 00222224 ___SH C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
    2016-07-04 00:40 - 2016-07-04 00:31 - 0036759 ___SH () C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
    2015-10-18 16:22 - 2015-10-18 16:22 - 0000600 _____ () C:\Users\Jeremy\AppData\Roaming\PUTTY.RND
    2016-07-04 00:40 - 2016-07-04 00:30 - 0222224 ___SH () C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
    2016-06-24 10:24 - 2016-07-04 10:45 - 0000165 _____ () C:\Users\Jeremy\AppData\Roaming\sp_data.sys
    2016-07-04 00:40 - 2016-07-04 00:31 - 0936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
    2015-09-08 21:23 - 2015-09-08 21:23 - 0000003 _____ () C:\Users\Jeremy\AppData\Local\updater.log
    2015-09-08 21:23 - 2015-10-02 01:00 - 0000424 _____ () C:\Users\Jeremy\AppData\Local\UserProducts.xml
    2015-07-08 17:53 - 2015-07-08 17:53 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2016-06-20 01:46 - 2016-06-20 01:46 - 0000016 _____ () C:\ProgramData\mntemp
    2016-02-21 17:20 - 2016-02-21 17:20 - 0004136 _____ () C:\ProgramData\oqztiqep.adk
    Hosts:
    EmptyTemp:
    RemoveProxy:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,

    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    0
    1. cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   145
       
      Oh mince Paypal, skrill, mon serveur, etc etc .. ah que je suis bête d'avoir fais ça. Pour le moment aucune activité suspecte.

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
      Exécuté par Jeremy (2016-07-04 21:57:52) Run:3
      Exécuté depuis C:\Users\Jeremy\Desktop
      Profils chargés: Jeremy & (Profils disponibles: Jeremy)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      Startup: C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk [2016-07-04]
      ShortcutTarget: RFfcfiYZFOgePTbV.cmd.lnk -> C:\Users\Jeremy\AppData\Roaming\Winlogon.exe (AutoIt Team)
      2016-07-04 00:40 - 2016-07-04 00:31 - 00936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
      2016-07-04 00:40 - 2016-07-04 00:31 - 00036759 ___SH C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
      2016-07-04 00:40 - 2016-07-04 00:30 - 00222224 ___SH C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
      2016-07-04 00:40 - 2016-07-04 00:31 - 0036759 ___SH () C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg
      2015-10-18 16:22 - 2015-10-18 16:22 - 0000600 _____ () C:\Users\Jeremy\AppData\Roaming\PUTTY.RND
      2016-07-04 00:40 - 2016-07-04 00:30 - 0222224 ___SH () C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge
      2016-06-24 10:24 - 2016-07-04 10:45 - 0000165 _____ () C:\Users\Jeremy\AppData\Roaming\sp_data.sys
      2016-07-04 00:40 - 2016-07-04 00:31 - 0936960 ___SH (AutoIt Team) C:\Users\Jeremy\AppData\Roaming\Winlogon.exe
      2015-09-08 21:23 - 2015-09-08 21:23 - 0000003 _____ () C:\Users\Jeremy\AppData\Local\updater.log
      2015-09-08 21:23 - 2015-10-02 01:00 - 0000424 _____ () C:\Users\Jeremy\AppData\Local\UserProducts.xml
      2015-07-08 17:53 - 2015-07-08 17:53 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
      2016-06-20 01:46 - 2016-06-20 01:46 - 0000016 _____ () C:\ProgramData\mntemp
      2016-02-21 17:20 - 2016-02-21 17:20 - 0004136 _____ () C:\ProgramData\oqztiqep.adk
      Hosts:
      EmptyTemp:
      RemoveProxy:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      C:\Users\Jeremy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RFfcfiYZFOgePTbV.cmd.lnk => déplacé(es) avec succès
      C:\Users\Jeremy\AppData\Roaming\Winlogon.exe => déplacé(es) avec succès
      "C:\Users\Jeremy\AppData\Roaming\Winlogon.exe" => non trouvé(e).
      C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg => déplacé(es) avec succès
      C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge => déplacé(es) avec succès
      "C:\Users\Jeremy\AppData\Roaming\iUGfgJiTJDPOFXFUONg" => non trouvé(e).
      C:\Users\Jeremy\AppData\Roaming\PUTTY.RND => déplacé(es) avec succès
      "C:\Users\Jeremy\AppData\Roaming\RFfcfiYZFOge" => non trouvé(e).
      C:\Users\Jeremy\AppData\Roaming\sp_data.sys => déplacé(es) avec succès
      "C:\Users\Jeremy\AppData\Roaming\Winlogon.exe" => non trouvé(e).
      C:\Users\Jeremy\AppData\Local\updater.log => déplacé(es) avec succès
      C:\Users\Jeremy\AppData\Local\UserProducts.xml => déplacé(es) avec succès
      C:\ProgramData\DP45977C.lfl => déplacé(es) avec succès
      C:\ProgramData\mntemp => déplacé(es) avec succès
      C:\ProgramData\oqztiqep.adk => déplacé(es) avec succès
      "C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
      Impossible de restaurer Hosts.

      ========= RemoveProxy: =========

      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-3\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-3\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-4\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-924534825-2999465490-2818305029-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-4\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


      ========= Fin de RemoveProxy: =========


      =========== EmptyTemp: ==========

      BITS transfer queue => 12582912 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12061382 B
      Java, Flash, Steam htmlcache => 47150 B
      Windows/system/drivers => 662298 B
      Edge => 0 B
      Chrome => 95594286 B
      Firefox => 603127328 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Default => 0 B
      ProgramData => 0 B
      Public => 0 B
      systemprofile => 106043 B
      systemprofile32 => 64482 B
      LocalService => 4811380 B
      NetworkService => 0 B
      Jeremy => 151718269 B

      RecycleBin => 858196568 B
      EmptyTemp: => 1.6 GB données temporaires supprimées.

      ================================


      Le système a dû redémarrer.

      Fin de Fixlog 22:04:53

      Il faut savoir que dans Avira j'avais coché la case pour protéger le fichier host.

      Merci de votre aide.
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    pas de soucis,

    change tes mots de passe, ils ont été tous volés.
    Refais un scan FRST et donne les rapports via pjjoint afin de contrôler qu'il n'y ait plus rien.
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca roule :)

    attention à ce que tu télécharges !
    et change bien tous tes mots de passe.
    0
    1. cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   145
       
      Je pensais qu'un de mes joueurs a créé un petit jeu, il m'a demandé de le tester et comme j'ai l'habitude de faire pareil avec le logiciel de connexion au jeu lorsque je sors une nouvelle version, je me suis pas posé de question dès le début ...

      Bon d'un autre côté ça ne peut pas être une mauvaise idée de modifier des mots de passe utilisés depuis 2-3 ans pour certains.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention  
         
        Si tu as le fichier d'installation de ce jeu, je le veux bien : http://upload.malekal.com
        pour voir les détections etc :)
        0
    2. cocodu67... Messages postés 3178 Date d'inscription   Statut Membre Dernière intervention   145
       
      Bon RIP mon compte Paypal avec 1700 € dessus et lié à mon compte bancaire ...
      1h plus tôt et Paypal aurait encore été ouvert par téléphone :-(

      Le client du jeu se télécharge ici: http://mixmasteralchemist.fr/downloadclient/MixMasterAlchemist.exe
      (Environ 630 Mo).

      Avast et bitdefender détectent souvent le MixMaster.exe et le Start_MixMasterAlchemist.exe donc bon je l'ajoute dans les exclusions et je les recontact à chaque fois.
      0