Sujet Précédent Sujet Suivant

Keyloger accents ^^ et trémas ~~ en double

Résolu/Fermé
Nicosprint Messages postés 9 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 18 juin 2008 - 4 avril 2008 à 08:29
 YS - 26 juin 2008 à 10:07
Bonjour,
Je n'arrive pas à me débarrasser d'un probable virus qui à pour sympt^^ome des doubles accents circonflexes et des doubles trémas : ^^ ~~ du coup impossible d'écrire sympt^^ome ou ch^^ateau... C'est embêtant quand m^^eme...

J'ai Avast à jour, j'ai essayé des scans en ligne en plus, AdAware, SpywareTerminator, un outil pour virer Bugbear mais rien n'a marché...

J'ai téléchargé HijackThis mais je ne sait pas m'en servir, voila mon log si quelqu'un sait l'interpréter je suis preneur ! :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Taskix\Taskix1.3_32\Taskix32.exe
C:\Program Files\Gmail Notifier\gnotify.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Nico\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix1.3_32\Taskix32.exe start
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [Windows Update Services] "C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows Update\services.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:

4 réponses

Réponse 1 / 4
Profil bloqué
4 avril 2008 à 09:00
Salut voilà qui m 'étonne nn'ai cepas plutot un problèm de configuration de ton clavier
0
Réponse 2 / 4
Nicosprint Messages postés 9 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 18 juin 2008
4 avril 2008 à 16:16
En fait le problème de double tréma et double accent circonflexe est connu et fréquent (il suffit de taper double accent circonflexe dans un moteur pour le voir) et non ce n'est pas un problème de config du clavier.
Si quelqu'un sait quoi faire....
0
Réponse 3 / 4
Nicosprint Messages postés 9 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 18 juin 2008
4 avril 2008 à 19:09
J'ai essayé d'autres antispyware et SDfix sans succès mais par contre j'ai trouvé grâce à un détecteur de keylogger un fichier sur mon ordi qui est dans le répertoire C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows Update\keystrokes.html et qui note tout ce que j'écris au clavier.
En plus de ça il y a un dossier C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows Update\icons qui pèse 45Mo et qui contient 54000 fichier PNG qui sont une copie d'un morceau d'écran pour chacun de mes clics depuis le 6 mars !!! il y a également des fichiers "sent" dans C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows Update\sent.
Tout ce que j'ai tapé depuis cette date plus des milliers de copies d'écran a été envoyé plusieurs fois par jour à "cocolito at gmail.com"... enfin je crois j'ai ça dans les documents sent :
MIME-Version: 1.0
Date: Wed, 20 Feb 2008 03:55:15 +0100
Content-Type: multipart/related;
boundary="-----_chilkat_f26_4152_36e24af8.b1f1ee69_.REL"
Subject: 146 Reg 0.20 Win XP Pro Service Pack 2 (B 2600) NICO Nico
From: "NICO Nico" <cocolitio@gmail.com>
Return-Path: cocolitio@gmail.com

This is a multi-part message in MIME format.

-------_chilkat_f26_4152_36e24af8.b1f1ee69_.REL
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: base64

Le jour ou j'ai été infecté je téléchargeais apparemment GTA MTA. Je viens de désinstaller MTA et seulement après l'avoir fait j'ai pu supprimer keystrokes.html...
Mes questions sont : est-ce que c'est normal ? et si vous pensez que oui vous avez intérêt à argumenter !!!
Ensuite est ce que vous pensez que cocolito at gmail est bien un hacker ? Dois je lui pourrir son adresse et/ou le dénoncer à gmail ou alors je lis mal les fichiers sent et cocolito n'a rien a voir la dedans ?
En tout cas depuis :ô ê â î !!!!!!! Mais quand même j'ai passé au moins cinq heures à résoudre ce problème !!!
Moralité les antivirus et les antispywares c'est un peu des passoires, ils te trouvent fièrement des cookies mais les trojans y'a plus personne !!! Et merci au programme KL-Detector sans qui ce grand bonheur n'aurait été possible !
0
YS
18 juin 2008 à 09:26
Ton message m'a mis la puce à l'oreille sur une infection du même genre que j'ai subi il y a qqs jours. En voyant ce type de comportement avec les accents et surtout des périodes de latence sur le PC, je me suis mis à chercher ce qui pouvait me ralentir ainsi. J'ai vite localisé le fichier services.exe dans le répertoire "Windows Update" que tu as cité mais je l'ai juste désactivé en me disant que je vérifierai plus tard si c'était bien un programme malin.

Je me suis repenché sur la question en voyant ton post et j'ai effectivement trouvé les copies d'écran et des fichiers eml (contenu de mail) qui le cheval de Troie a essayé d'envoyer à cocolito. Le programme utilise une API standrad pour logger ses erreurs (lol!) : ChilkatLog. Du coup, en examinant les erreurs logguées dans le fichier errorlog.dat, je suis tombé sur tout un tas d'URL qu'il avait tenté de connecter :
http://cocoazul.blogspot.com
http://yo.xxuz.com/123/0.21
http://cocolitio.blogspot.com
http://choccos.blogspot.com
http://chobbo.blogspot.com
http://gossu.blogspot.com
http://advertasing.blogspot.com
et bien entendu le serveur SMTP de gmail avec son username !!

En fait, il utilise ces sites de blog pour récupérer les coordonnées de son compte mail. Chez moi, c'était coco016 sur gmail. Si on regarde le profil du "bloggueur", on trouve son username, son password et ce qui doit être un proxy utilisé pour anonymiser sa connexion au SMTP. Du coup, j'ai pris la main sur ce compte mail et j'en ai changé le mot de passe.

Le compte en question contient plus de 30000 messages envoyés dans les 3 derniers jours ! On trouve de tout dans ces messages dont bien entendu des coordonnées bancaires et autres informations ultra confidentielles. Le mec a accès à la vie de milliers de gens !! Malheureusement, mon cheval de Troie et le tien envoient leurs mails sur cocolito et non sur coco06... je suppose donc qu'il existe plusieurs configurations possibles et plusieurs comptes mail utilisés.

Si vous trouvez ce cheval de Troie chez vous, veuillez suivre le même cheminement pour prendre le contrôle d'éventuels autres comptes mail. J'ai déclaré ces agissements dans un rapport de cyber criminalité. Je serai sans doute amené à porter plainte contre X pour ces agissements.

Bon courage !
0
Nicosprint Messages postés 9 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 18 juin 2008 > YS
18 juin 2008 à 18:03
Superbe, magnifique, bravo !

C'est un immense plaisir d'apprendre que cette petite pourriture s'est fait griller une adresse mail !

Je n'ai pas (ou plus) de fichier chilkat (peut-être supprimé depuis) mais il restait dans ma corbeille le errorlog.dat.

En voici quelques extraits qui pourraient éventuellement êtres utiles à un utilisateur plus balaise que moi en info.

url: http://chobbo.blogspot.com/rss.xml
httpServer: chobbo.blogspot.com

url: http://yo.xxuz.com/123/0.21
httpServer: yo.xxuz.com

url: http://cocolitio.blogspot.com/rss.xml
httpServer: cocolitio.blogspot.com

url: https://tunnel.ru/adv.xml
httpServer: www.tunnel.ru

url: http://advertasing.blogspot.com/
httpServer: advertasing.blogspot.com

url: http://gossu.blogspot.com/rss.xml
httpServer: gossu.blogspot.com hostname: gossu.blogspot.com

12/03/2008 14:16:37 SendEmail():
ChilkatLog:
SendEmail:
DllDate: Jun 20 2007
SMTP_Connect:
Connecting to SMTP server smtp.gmail.com:465
smtp_host: smtp.gmail.com
smtp_port: 465
smtp_user: coco012
trying_auth_method: LOGIN
DNS timed out.
Cannot get host by name.
hostname: smtp.gmail.com
Failed to connect to secure SMTP (1)
Failed to connect to SMTP server.
(.\mail.cpp : 113)


05/04/2008 03:41:51 CreateFile (.\filemanager.cpp : 459) LE: 80 Le fichier existe.
05/04/2008 03:41:51 writefileondisk() (.\mouse.cpp : 58)
05/04/2008 03:41:51 addicon (.\mouse.cpp : 92)

Donc il y a l'adresse www.tunnel.ru à rajouter dans la liste et aussi l'adresse email coco012@gmail.com.

Je n'ai pas compris malheureusement comment trouver son mot de passe avec son profil de blogger, mais si quelqu'un sait le faire ça lui fera une adresse en moins...

Bravo, bravo, bravo !!!
0
Réponse 4 / 4
Nicosprint Messages postés 9 Date d'inscription lundi 16 juillet 2007 Statut Membre Dernière intervention 18 juin 2008
18 juin 2008 à 19:19
J'ai trouvé un autre nouveau copain de Cocolito en cherchant sur le forum : http://www.commentcamarche.net/forum/affich 6481333 probleme accent circonflexe#11
0
YS
26 juin 2008 à 10:07
Le compte coco012 at gmail.com était certainement utilisé avant le coco016 dont j'ai pris le contrôle. Les adresses de blog référencées sont les mêmes que celles que j'ai utilisées.

Depuis mon intervention, le hacker a créé un nouveau compte johnvonrambojunior AT gmail.com. Ce compte est utilisé par le programme pour envoyer les mails et j'en ai tout de suite pris le contrôle (il a tout de même eu le temps d'envoyer qqs centaines de mails avec ce nouveau compte). Il a aussi changé le compte de réception johnconnorjunior@gmail.com .

La seule solution définitive serait de prendre le contrôle de la source du problème : le profile de blogger utilisé par http://cocolitio.blogspot.com et tous les autres blogs référencés ci-dessus. Malheureusement, nous n'avons pas le mot de passe pour ce blog.

A suivre !
0

Discussions similaires

comment ecrire un double cote " "
helmii -
[Dal] -

3 réponses
Whatsapp photo en double
kracho27 -
Spania78 -

24 réponses
Supprimer le paramètre "Stockage interne, messagerie double"
simoncolten -
momo2775 -

5 réponses