Y a-t-il un keylogger sur mon ordinateur [Résolu/Fermé]

Signaler
-
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020
-
Bonjour,

En vérifiant mon dossier spam, j'ai vu un mail reprenant mon adresse mail et un de mes mots de passe en titre.

Le mail me dit que le pirate a installé un keylogger sur ma machine et qu'il a pu faire un tas de choses (webcam etc..) et me réclame une somme ne bitcoins.

Je pense que le mot de passe a été découvert lorsque j'ai voulu m'identifier sur un site imitant le site réel, ce qui a permis de forger ce mail et que rien n'a été installé sur ma machine.

Néanmoins, existe-t-il un moyen de vérifier la présence d'un keylogger actif sur mon ordinateur ?
Par soucis de précaution, je n'ose plus m'authentifier sur ma banque en ligne avant d'être certain que je ne me ferai pas vider mon compte.

5 réponses

Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020
21 720
Salut,

Le mail est une arnarque.
Il n'y a aucun malware, ni keylogger.

Tout est expliqué là même pour la récupération du mot de passe.
=> Arnaque par mail : un hacker vous a piraté.
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57358 internautes nous ont dit merci ce mois-ci

Bonsoir Melakal,
J'avais bien lu votre premier message, mais en lisant les suivant je me suis juste posé la question sur un service qui, à mon sens, n'aurait plus dû être visible.

Je viens de faire l'analyse avec FRST comme vous me l'avez conseillé.
Voici les liens des 3 rapports:

https://pjjoint.malekal.com/files.php?id=20190626_h9e15d10w13t5

https://pjjoint.malekal.com/files.php?id=FRST_20190626_r11u8s6r13q10

https://pjjoint.malekal.com/files.php?id=20190626_d12g13e14s15w11

Merci pour votre analyse.
>
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020

Merci beaucoup pour l'examen des rapports.
Bonne Journée :)
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020
21 720 > YvesBe
J'ai mis en résolu.
>
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020

J'ai une question subsidiaire:
j'utilise une combinaison de clés pour former mes mots de passe sous la forme suivante :
XX MDP Y
- XX clé du site (2 caractères) spécifique pour chaque site web
- MDP chaine fixe : le mot de passe corrompu (8 caractères)
- Y caractère spécial identique partout.

Seule la partie MDP est corrompue, les parties XX et Y restent inviolés.

Dois-je changer tous les mot de passes formés autour de MDP ? Ou seulement celui qui n'est formé "que" de MDP sans XX et Y ?
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020
21 720 > YvesBe
Disons qu'ils peuvent le deviner du coup c'est conseillé oui.
Après faut aussi activer la double authentification surtout sur les comptes sensibles comme la mail ou ceux ayant des CB.
Voir cette page : comment protéger ses comptes internet.
Messages postés
596
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
83
A chaque fois que l'on ajoute un caractère à un mot de passe, on multiplie les possibilités par plus de 100 (ça doit être une puissance de 2 en fonction de la table de caractère). C'est mathématique. Donc à moins que ses mots de passe soient trop faciles à deviner à partie de cette racine fixe, ça devrait pas poser de problème.
Après la sécurité informatique n'est pas ma spécialité, je laisse donc des personnes plus compétentes que moi apporter des précisions ou me corriger...
Messages postés
596
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
83
Bonsoir,
En effet, je pense aussi qu'il a uniquement récupérer un mot de passe par du phishing.
Vous avez parfaitement eu raison de ne pas cèder à ce mail.
D'autant plus que si votre webcam s'était vraiment allumée, il y a normalement une led pour indiquer qu'elle est active.
Vérifiez avec un logiciel comme Camera (si vous êtes sous Windows 10), Discord ou Skype si vous voyez bien une led allumée lorsque la webcam est sollicitée.
Vous pouvez toujours vérifier si il y a un logiciel tiers espion qui se lance au démarrage de l'ordinateur.

Regardez s'il y a quelque chose se suspect au niveau des services : [Win]+[R] > msconfig > services > Masquer les services Microsoft

Au niveau des démarrages automatiques de l'utilisateur : [Win]+[R] > regedit > HKEY_CURRENT_USER > Software > Microsoft > Windows > Current version > Run

Et au niveau des démarrages automatique de tous les utilisateurs : [Win]+[R] > regedit > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current version > Run

Mais si vous voulez vraiment être sûr à 99.9%, réinitialisez partiellement (documents conservés) ou intégralement votre ordinateur, cela peut se faire facilement sous Windows 10. De toute façon, si vous êtes sous Windaube 10, vous avez déjà un keylogger, mais il est signé Microsoft ;)
Messages postés
596
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
83
Bien sûr, changez dès que possible votre mot de passe sur tous les sites où vous l'avez utilisé.
Soit depuis votre ordinateur quand vous serez rassuré, ou depuis un autre terminal (téléphone, autre ordinateur ..), c'est très important pour qu'il n'y ai pas plus de dégâts.
Bonjour et merci pour vos réponses.
J'ai ouvert la fenêtre des services et j'ai masqué les services microsoft... Pourtant, il en reste un de visible:

Fabricant: Windows (R) Win 7 DDk provider
Service : Atheros Svc

Est-ce normal de le voir alors que les services microsoft sont masqués ?

Pour le mot de passe corrompu, heureusement que j'utilise un mot de passe différent pour chaque site web :)
Messages postés
596
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
83
Comme il y a marqué Atheros, je pensais d'abord à un service lié à un pilote (peut-être avez-vous une carte sans fil Atheros ?) mais dans le doute, je le désactiverais :
https://threatinfo.net/companies/Windows%20(R)%20Win%207%20DDK%20provider
De toute façon, comme c'est un service tiers, il n'est pas vital au fonctionnement de l'ordinateur et peut être réactivé à tout moment.
Avez-vous checké les clés de registres des démarrages automatiques ?
Il peut aussi y avoir des raccourcis à ces emplacement (même si très improbable car visible depuis le menu démarrer, ça serait pas très malin pour un keylogger !) :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<nom d'utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Messages postés
179642
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 août 2020
21 720
Encore une fois le PC n'est pas infecté.
voir mon message plus haut.


Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).