résultat des rapports d'analyse - pour pc piraté par keylogg

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede statue0065 » 17 Déc 2010, 21:30

Re,

Je viens de voir qu'il y avait plusieurs administrateur sur mon pc?
je vais essayer d'être précise (pour une fois) : en regardant un fichier (philips, je sais pas d'où il provient) en cliquant dessus, il y a un administrateur du nom de "Trustedinstaller" avec autorisation spéciale et un autre "créateur propriétaire" avec aussi une autorisation spéciale. J'ai voulu modifier les autorisations mais impossible.

Au risque de faire rire, est ce normal ce genre de truc?...

On me conseille de formater mon pc. Avant de le faire je voulais savoir si c'est nécessaire.

Merci.
statue0065
 
Messages: 43
Inscription: 10 Déc 2010, 02:25

Messagede statue0065 » 19 Déc 2010, 20:29

Bonsoir,

J'ai rencontré un gros problème : impossible de me connecter, le "sans fil" bien qu'il soit à jour ne fonctionnait plus. J'ai utilisé le point de restauration du système pour régler ce souci.

Est ce à cause d'une manip de ma part? la seule chose que j'ai faite sur le pc est de vouloir supprimer le fichier concernant la webcam (je ne m'en sers plus du tout). J'avais utilisé pour ça "revo" puis ccleaner. A priori, cela n'a pas marché car ce fichier était toujours présent (même avant la restauration).

J'ai remarqué que pleins de fichiers sont verrouillés (ne me demandez pas lesquels...)

Je viens de réinstaller toutes les mises à jour conseillées (j'ai mis à jour avg aussi, j'avais oublié) bref, un téléchargement est en cours (vista2).

Pour adobe, même remarque que la dernière fois, quand je clique sur le lien, aucune action, aucun message, c'est comme si je cliquais "dans le vide". Pour le pare-feu, le problème reste toujours le même, il se désactive à chaque fois.

Je note aussi que mon pc est toujours très lent au démarrage.

Je ne veux pas vous faire perdre votre temps (bien que j'ai l'impression que c'est le cas...) ce que je sais c'est que durant une certaine période, je n'ai pas été la seule à utiliser mon pc... avec un peu de recul, les fichiers infectés et détectés sur l'ordinateur ne me surprennent pas vraiment. Toujours est-il qu'à l'heure d'aujourd'hui, je voudrais m'assurer qu'il n'y plus de trojan, key logger, etc...sur mon ordinateur.

Il est 23h la mise à jour de vista vient de se terminer. Je laisse tomber pour ce soir, je vais finir par être en retard au boulot... bon, c'est pas grave, et puis ça me regarde.

J'ai posté vendredi dernier les rapports demandés. Dans l'attente d'une réponse de votre part,

Merci.

Statue0065
statue0065
 
Messages: 43
Inscription: 10 Déc 2010, 02:25

Messagede nickW » 20 Déc 2010, 01:47

Bonsoir,

Quelle est la date du point de restauration utilisé?
As-tu utilisé la fonction nettoyage du Registre de CCleaner?


Pour Adobe Reader:
Il faut aller sur cette page: http://get.adobe.com/fr/reader/ en autorisant le JavaScript.
Note: Ne pas accepter McAfee Security Scan Plus


Qu'appelles-tu un démarrage "lent"?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede statue0065 » 20 Déc 2010, 07:06

Bonjour,

pour le point de restauration : j'ai utilisé celui que vous m'aviez conseillé de créer mardi dernier.

Pour ccleaner : je viens de regarder et effectivement tout est coché dans l'onglet "registre".

Pour le démarrage du pc : une fois lancé, avant de pouvoir ouvrir mozilla, il faut attendre un peu plus d'une minute. Durant cette étape, il arrive assez fréquemment que l'écran devienne plus clair (un voile blanc) et je ne peux plus rien faire durant un p'tit moment. Si j'essaie de lancer mozilla aussitôt après le démarrage , la fenêtre de s'ouvre pas tout de suite, idem que pour l'écran de démarrage, la fenêtre devient plus claire et on peut lire en haut "ne répond pas".

Pour adobe, je m'en occuperai ce soir en rentrant.

Bonne journée.
statue0065
 
Messages: 43
Inscription: 10 Déc 2010, 02:25

Messagede statue0065 » 22 Déc 2010, 00:42

Bonsoir,

Pour adobe, c'est mis à jour. Je crois qu'il me reste à désinstaller les vieilles versions de java.

Mon pare-feu continue de se déactiver, ce n'est pas logique.

J'ai voulu vérifier ce qui entre et sort du pc (voir précédent post) c'est trop compliqué. Par contre, dans processus il y une description détaillée de chacun des programmes. Il y avait pour QPService.exe la mention : enregistreur de frappes ??? j'ai désactivé le processus mais impossible de le trouver pour l'analyser voire le supprimer...

Comment dois-je faire?

merci.
statue0065
 
Messages: 43
Inscription: 10 Déc 2010, 02:25

Messagede statue0065 » 22 Déc 2010, 13:57

Bonjour,

Pour vous tenir au courant : il y a bien un keylogger sur le pc, j'ai eu confirmation par un informaticien. Les manips que j'ai faite non pas permises de nettoyer le pc. Cette sale "bête" est toujours présente et active

Reformatage du pc obligatoire.


Je tenais à vous remercier quand même pour votre assistance.

Salutations,

Statue0065
statue0065
 
Messages: 43
Inscription: 10 Déc 2010, 02:25

Messagede nickW » 22 Déc 2010, 23:24

Bonsoir,

Peux-tu donner des précisions sur ce "keylogger"?
*- nom du programme
*- nom du fichier
*- comment l'as-tu détecté
*- etc ...

Merci.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 22 Déc 2010, 23:29

Re-

QPService.exe appartient au logiciel HP Quickplay
http://h10025.www1.hp.com/ewfrf/wc/docu ... R1002_FRFR

Re-
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Prisedetete » 23 Déc 2010, 13:19

Bonjour,

C'est "statue0065" nouvelle adresse mail...

Pour répondre à vos questions :
après avoir utilisé SPYBOT, j'ai découvert qu'il y avait un "mouchard" sur mon pc. J'ai crû avoir réussi à le supprimer, il était dans le registre.
J'avais reçu des notifications par mail de connexion à facebook (ce n'étzit pas moi), j'ai donc modifié le mot de passe d'un autre ordinateur et j'ai demandé la suppression....chose qui n'a pas marché
Je me suis rendue sur un forum connue (avec le même identifiant : statue0065 - sujet : mon pc portable est piraté) et le helper
à identifié ce keylogger (voir les liens ci-dessous).
En bref :
1°) il est présent depuis le 26 novembre 2009....
2°) il a réussi à s'installer lors d'un téléchargement que j'avais fais à l'époque pour avoir un "anti-kelogger" (drôle, non?en fait pas vraiment)
3°)Des fichiers que j'avais supprimés étaient réapparus (avec une date de création récente)des collègues du service informatique ont vérifié et ont confirmé sa présence tjs active sur le pc. Effectivement le fichier Keylogger est toujours présent à un autre endroit...
4°) voici le "rapport" qui a permis à l'autre helper de le détecter
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:16:16 le 09/12/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
vivi@PC (Hewlett-Packard Presario C500 (GF851EA#ABF))

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.
juju666,
Voici le rapport :

Clé supprimée: HKLM\Software\Winsudate


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Users\vivi\AppData\Roaming\Mozilla\FireFox\Profiles\5lkcum6r.default\Prefs.js --
browser.search.selectedEngine, Search the Web
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?cl ... r:official
browser.startup.homepage_override.mstone, rv:1.9.2.12
keyword.URL, hxxp://search.freecause.com/search?fr=f ... e=61101&p=
privacy.popups.showBrowserMessage, false
sweetim.toolbar.previous.keyword.URL, hxxp://search.freecause.com/search?fr=f ... e=61101&p=

========================================

** Internet Explorer Version [8.0.6001.18975] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/12/2010 (2482 Octet(s))

Fin à: 19:19:06, 09/12/2010

============== E.O.F ==============

5°) cette sale "bête" est déjà connu : voici les liens (désolé mais ils m'avaient fournis par l'autre helper dont je vous ai parlé" :http://www.threatexpert.com/report.aspx?md5=fe6321a8e004c171a56d98b1f14a04d2
http://www.threatexpert.com/report.aspx ... aaf36e3592

6°) Je répondrai à vos questions (mais je le rappelle niveau débutante), si ça peut aider, sans aucun souci.
A savoir, il connait ma clé réseau donc même si pc fermé, il peut naviguer en se servant de ma box.
Autre chose, en mode sans échec, j'ai voulu supprimer à nouveau des fichiers et bizarrement ils sont réapparus à d'autres endroits et parfois en3 voire 4 exemplaires (la date de création montre bien qu'ils ont été recréés après la suppression.). Ah, il s'est amusé à créer des fichiers à mon nom!!!
J'ai donc décidé d'ouvrir ces fichiers "desk[...].ini pour les modifier, et avant de fermer j'ai enregistré mes modifs. Quand j'ai voulu les ré ouvrir impossible : "déjà utilisé par un autre programme ou utilisateur".

7°) ce qui m'embête c'est qu'il connaisse mes mots de passe pour ce forum (d'où nouvelle adresse) et qu'il puisse savoir ce que je compte faire!!!

A bientôt,
PS : mon FAI m'a conseillé (entre autre)de débrancher la livebox. Chose faite.
ah oui autre chose et cette fois positive : je vous passe certains détails... mais ils ont prévus de faire un "traçage" (suite décision judiciaire prévue et confirmée). Au moins quelque chose de positif!!!
Prisedetete
 
Messages: 4
Inscription: 23 Déc 2010, 13:05

Messagede nickW » 23 Déc 2010, 19:32

Bonsoir,


AD-Remover n'a rien trouvé d'autre qu'une clé de Registre (trace d'un logiciel publicitaire), non active.

Peux-tu remettre en ligne le rapport SEAF (recherche du mot keylogger)?

As-tu des exemples précis de ceci (avec nom exact des fichiers):
3°)Des fichiers que j'avais supprimés étaient réapparus (avec une date de création récente)des collègues du service informatique ont vérifié et ont confirmé sa présence tjs active sur le pc. Effectivement le fichier Keylogger est toujours présent à un autre endroit.


As-tu des exemples précis de ceci (avec nom exact des fichiers):
Autre chose, en mode sans échec, j'ai voulu supprimer à nouveau des fichiers et bizarrement ils sont réapparus à d'autres endroits et parfois en3 voire 4 exemplaires (la date de création montre bien qu'ils ont été recréés après la suppression.). Ah, il s'est amusé à créer des fichiers à mon nom!!!
J'ai donc décidé d'ouvrir ces fichiers "desk[...].ini pour les modifier, et avant de fermer j'ai enregistré mes modifs. Quand j'ai voulu les ré ouvrir impossible : "déjà utilisé par un autre programme ou utilisateur".


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités