Y a-t-il un keylogger sur mon ordinateur
Résolu/Fermé
YvesBe
-
26 juin 2019 à 19:44
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 28 juin 2019 à 09:33
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 28 juin 2019 à 09:33
A voir également:
- Y a-t-il un keylogger sur mon ordinateur
- Mon ordinateur rame - Guide
- Comment réinitialiser un ordinateur - Guide
- Comment réinitialiser un ordinateur verrouillé - Guide
- D'où peut venir un problème de connexion internet sur un ordinateur ? - Guide
- Plus de son sur mon ordinateur - Guide
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
26 juin 2019 à 20:48
26 juin 2019 à 20:48
Salut,
Le mail est une arnarque.
Il n'y a aucun malware, ni keylogger.
Tout est expliqué là même pour la récupération du mot de passe.
=> Arnaque par mail : un hacker vous a piraté.
Le mail est une arnarque.
Il n'y a aucun malware, ni keylogger.
Tout est expliqué là même pour la récupération du mot de passe.
=> Arnaque par mail : un hacker vous a piraté.
Bonsoir Melakal,
J'avais bien lu votre premier message, mais en lisant les suivant je me suis juste posé la question sur un service qui, à mon sens, n'aurait plus dû être visible.
Je viens de faire l'analyse avec FRST comme vous me l'avez conseillé.
Voici les liens des 3 rapports:
https://pjjoint.malekal.com/files.php?id=20190626_h9e15d10w13t5
https://pjjoint.malekal.com/files.php?id=FRST_20190626_r11u8s6r13q10
https://pjjoint.malekal.com/files.php?id=20190626_d12g13e14s15w11
Merci pour votre analyse.
J'avais bien lu votre premier message, mais en lisant les suivant je me suis juste posé la question sur un service qui, à mon sens, n'aurait plus dû être visible.
Je viens de faire l'analyse avec FRST comme vous me l'avez conseillé.
Voici les liens des 3 rapports:
https://pjjoint.malekal.com/files.php?id=20190626_h9e15d10w13t5
https://pjjoint.malekal.com/files.php?id=FRST_20190626_r11u8s6r13q10
https://pjjoint.malekal.com/files.php?id=20190626_d12g13e14s15w11
Merci pour votre analyse.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
27 juin 2019 à 08:35
27 juin 2019 à 08:35
ok, pas infecté.
Change tes mots de passe et ça ira bien.
Change tes mots de passe et ça ira bien.
YvesBe
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
27 juin 2019 à 11:53
27 juin 2019 à 11:53
Merci beaucoup pour l'examen des rapports.
Bonne Journée :)
Bonne Journée :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
>
YvesBe
27 juin 2019 à 11:56
27 juin 2019 à 11:56
J'ai mis en résolu.
YvesBe
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
Modifié le 27 juin 2019 à 12:00
Modifié le 27 juin 2019 à 12:00
J'ai une question subsidiaire:
j'utilise une combinaison de clés pour former mes mots de passe sous la forme suivante :
XX MDP Y
- XX clé du site (2 caractères) spécifique pour chaque site web
- MDP chaine fixe : le mot de passe corrompu (8 caractères)
- Y caractère spécial identique partout.
Seule la partie MDP est corrompue, les parties XX et Y restent inviolés.
Dois-je changer tous les mot de passes formés autour de MDP ? Ou seulement celui qui n'est formé "que" de MDP sans XX et Y ?
j'utilise une combinaison de clés pour former mes mots de passe sous la forme suivante :
XX MDP Y
- XX clé du site (2 caractères) spécifique pour chaque site web
- MDP chaine fixe : le mot de passe corrompu (8 caractères)
- Y caractère spécial identique partout.
Seule la partie MDP est corrompue, les parties XX et Y restent inviolés.
Dois-je changer tous les mot de passes formés autour de MDP ? Ou seulement celui qui n'est formé "que" de MDP sans XX et Y ?
PL453s
Messages postés
601
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
114
Modifié le 27 juin 2019 à 12:05
Modifié le 27 juin 2019 à 12:05
A chaque fois que l'on ajoute un caractère à un mot de passe, on multiplie les possibilités par plus de 100 (ça doit être une puissance de 2 en fonction de la table de caractère). C'est mathématique. Donc à moins que ses mots de passe soient trop faciles à deviner à partie de cette racine fixe, ça devrait pas poser de problème.
Après la sécurité informatique n'est pas ma spécialité, je laisse donc des personnes plus compétentes que moi apporter des précisions ou me corriger...
Après la sécurité informatique n'est pas ma spécialité, je laisse donc des personnes plus compétentes que moi apporter des précisions ou me corriger...
PL453s
Messages postés
601
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
114
26 juin 2019 à 20:05
26 juin 2019 à 20:05
Bonsoir,
En effet, je pense aussi qu'il a uniquement récupérer un mot de passe par du phishing.
Vous avez parfaitement eu raison de ne pas cèder à ce mail.
D'autant plus que si votre webcam s'était vraiment allumée, il y a normalement une led pour indiquer qu'elle est active.
Vérifiez avec un logiciel comme Camera (si vous êtes sous Windows 10), Discord ou Skype si vous voyez bien une led allumée lorsque la webcam est sollicitée.
Vous pouvez toujours vérifier si il y a un logiciel tiers espion qui se lance au démarrage de l'ordinateur.
Regardez s'il y a quelque chose se suspect au niveau des services : [Win]+[R] > msconfig > services > Masquer les services Microsoft
Au niveau des démarrages automatiques de l'utilisateur : [Win]+[R] > regedit > HKEY_CURRENT_USER > Software > Microsoft > Windows > Current version > Run
Et au niveau des démarrages automatique de tous les utilisateurs : [Win]+[R] > regedit > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current version > Run
Mais si vous voulez vraiment être sûr à 99.9%, réinitialisez partiellement (documents conservés) ou intégralement votre ordinateur, cela peut se faire facilement sous Windows 10. De toute façon, si vous êtes sous Windaube 10, vous avez déjà un keylogger, mais il est signé Microsoft ;)
En effet, je pense aussi qu'il a uniquement récupérer un mot de passe par du phishing.
Vous avez parfaitement eu raison de ne pas cèder à ce mail.
D'autant plus que si votre webcam s'était vraiment allumée, il y a normalement une led pour indiquer qu'elle est active.
Vérifiez avec un logiciel comme Camera (si vous êtes sous Windows 10), Discord ou Skype si vous voyez bien une led allumée lorsque la webcam est sollicitée.
Vous pouvez toujours vérifier si il y a un logiciel tiers espion qui se lance au démarrage de l'ordinateur.
Regardez s'il y a quelque chose se suspect au niveau des services : [Win]+[R] > msconfig > services > Masquer les services Microsoft
Au niveau des démarrages automatiques de l'utilisateur : [Win]+[R] > regedit > HKEY_CURRENT_USER > Software > Microsoft > Windows > Current version > Run
Et au niveau des démarrages automatique de tous les utilisateurs : [Win]+[R] > regedit > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current version > Run
Mais si vous voulez vraiment être sûr à 99.9%, réinitialisez partiellement (documents conservés) ou intégralement votre ordinateur, cela peut se faire facilement sous Windows 10. De toute façon, si vous êtes sous Windaube 10, vous avez déjà un keylogger, mais il est signé Microsoft ;)
PL453s
Messages postés
601
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
114
26 juin 2019 à 20:58
26 juin 2019 à 20:58
Bien sûr, changez dès que possible votre mot de passe sur tous les sites où vous l'avez utilisé.
Soit depuis votre ordinateur quand vous serez rassuré, ou depuis un autre terminal (téléphone, autre ordinateur ..), c'est très important pour qu'il n'y ai pas plus de dégâts.
Soit depuis votre ordinateur quand vous serez rassuré, ou depuis un autre terminal (téléphone, autre ordinateur ..), c'est très important pour qu'il n'y ai pas plus de dégâts.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour et merci pour vos réponses.
J'ai ouvert la fenêtre des services et j'ai masqué les services microsoft... Pourtant, il en reste un de visible:
Fabricant: Windows (R) Win 7 DDk provider
Service : Atheros Svc
Est-ce normal de le voir alors que les services microsoft sont masqués ?
Pour le mot de passe corrompu, heureusement que j'utilise un mot de passe différent pour chaque site web :)
J'ai ouvert la fenêtre des services et j'ai masqué les services microsoft... Pourtant, il en reste un de visible:
Fabricant: Windows (R) Win 7 DDk provider
Service : Atheros Svc
Est-ce normal de le voir alors que les services microsoft sont masqués ?
Pour le mot de passe corrompu, heureusement que j'utilise un mot de passe différent pour chaque site web :)
PL453s
Messages postés
601
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
28 janvier 2020
114
Modifié le 26 juin 2019 à 23:00
Modifié le 26 juin 2019 à 23:00
Comme il y a marqué Atheros, je pensais d'abord à un service lié à un pilote (peut-être avez-vous une carte sans fil Atheros ?) mais dans le doute, je le désactiverais :
https://threatinfo.net/companies/Windows%20(R)%20Win%207%20DDK%20provider
De toute façon, comme c'est un service tiers, il n'est pas vital au fonctionnement de l'ordinateur et peut être réactivé à tout moment.
Avez-vous checké les clés de registres des démarrages automatiques ?
Il peut aussi y avoir des raccourcis à ces emplacement (même si très improbable car visible depuis le menu démarrer, ça serait pas très malin pour un keylogger !) :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<nom d'utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
https://threatinfo.net/companies/Windows%20(R)%20Win%207%20DDK%20provider
De toute façon, comme c'est un service tiers, il n'est pas vital au fonctionnement de l'ordinateur et peut être réactivé à tout moment.
Avez-vous checké les clés de registres des démarrages automatiques ?
Il peut aussi y avoir des raccourcis à ces emplacement (même si très improbable car visible depuis le menu démarrer, ça serait pas très malin pour un keylogger !) :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<nom d'utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
Modifié le 26 juin 2019 à 23:04
Modifié le 26 juin 2019 à 23:04
Encore une fois le PC n'est pas infecté.
voir mon message plus haut.
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
voir mon message plus haut.
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).