Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2149 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Infection keylogger

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Infection keylogger

n°3256765
totsukaba
Code Quantum
Posté le 30-11-2016 à 13:11:12  profilanswer
 

Bonjour,
Mon compte twitter a subit une connexion ou une tentative de connexion indésiré. Comme je ne m'en sert pas énormément, mais que je me suis connecté dessus récemment pour stopper l'envoie d’émail, je suppose la présence d'un keylogger. Même si je n'en suis pas certain vu que cela peut être une simple tentative de connexion et qu'il s'agit aussi d'un vieux mot de passe qui avait déjà été piraté (ou tentative encore une fois) sur d'autres comptes internets (Depuis je n'ai plus le même mot de passe unique et pas la même machine). M'enfin par mesure de précaution j'ai essayé malwarebyte dessus et il semble n'avoir rien trouvé. J'ai aussi lancé le test sur une machine que je pensais sure, et surprise malwarebyte m'a trouvé des entrés. J'ai besoin de votre aide pour m'en sortir s'il vous plait !!

 

Les deux rapports sont dans ces liens :
http://www.cjoint.com/c/FKEmF68zXuv pour la machine surprise
http://www.cjoint.com/c/FKEmRrPPx6V pour la supposée vérolée par un keylogger

 

J'ai aussi lancé adwcleaner :
http://www.cjoint.com/c/FKEnbVcewBV La machine surprise avec des entrés
http://www.cjoint.com/c/FKEmjhgl8MV La machine supposée vérolée, rien encore une fois.

 

Si vous avez d'autres tests a apporter, votre aide serait grandement appréciée, merci.

 

Edit: j'avais oublié d'inclure les rootkit, du coup j'ai refait avec. Mais du coup je perd l'info sur les résultats positifs trouvés vu qu'ils sont censé être éliminés et que j'ai zappé les liens et le fichier texte d'origine...
C'était des pups additionals wajam, iminent et iotio quequechose. Bon je pense m'en être débarrassé malgré tout.


Message édité par totsukaba le 30-11-2016 à 20:46:49
mood
Publicité
Posté le 30-11-2016 à 13:11:12  profilanswer
 

n°3256769
Trit'
Posté le 30-11-2016 à 13:32:59  profilanswer
 

Le problème, avec Twitter (et aussi pour Google et DropBox, mais moins souvent), c’est qu’il envoie un e-mail du moment qu’on se connecte sans qu’il n’y ait déjà de cookies : si jamais tu supprimes tous les cookies de Twitter sur ton navigateur et que tu tentes de te connecter à ton compte – ou que tu veux simplement te connecter depuis un onglet en navigation privée –, bim, tu as droit à un e-mail d’alerte ! Du coup, ça fait plein de faux positifs dont on finit par ne plus tenir compte (et je dois t’avouer que ça devient extrêmement pénible, quand ta BAL devient remplie d’e-mails de fausses alertes :pfff: ), et on finit même par créer des filtres pour les envoyer directement à la corbeille ; et le jour où on se fait vraiment pirater, ben… [:spamafote]

 

Du coup, j’ose plus virer les cookies sur mon PC (alors que je déteste ces machins qui enregistrent aussi la liste de tous les sites où tu vas !), parce que j’en ai marre de me faire spammer pour rien. :pfff:

 

Si ça se trouve, c’est juste ça : t’es juste victime d’un faux positif parce que tu t’es connecté depuis un navigateur qui n’avait pas de cookie de Twitter déjà présent.


Message édité par Trit' le 30-11-2016 à 13:35:18
n°3256770
totsukaba
Code Quantum
Posté le 30-11-2016 à 13:40:48  profilanswer
 

J'y ai pensé par ce que je suis dans ce cas, mais l'email qui m'inquiète est arrivé bien après la connexion du genre un bon mois. Et quand je m'étais connecté pour changer le paramètre j'en avais reçu un en même temps que je me connectais, celui la pour le coup il est valide. Ce qui me soule, c'est qu'on sait pas si c'est une tentative ou quelqu'un qui s'est bien connecté.


Message édité par totsukaba le 30-11-2016 à 14:37:42
n°3256793
Trit'
Posté le 30-11-2016 à 17:42:45  profilanswer
 

Ah, là… Enfin, j’imagine que tu as au moins changé ton mot de passe ? Mais ça manque vraiment, un moyen de déconnecter toutes les éventuelles autres sessions ouvertes d’un coup, comme sur Gmail.

n°3256794
totsukaba
Code Quantum
Posté le 30-11-2016 à 17:55:05  profilanswer
 

Le mot de passe est changé. Je suspecte vraiment un keylogger, mais la du coup je ne sais pas quoi lancer comme scan pour en être sur.

n°3256800
monk521
Posté le 30-11-2016 à 19:19:31  profilanswer
 

Si tu soupçonnes un keylogger, on peut regarder ce qu'il y a dans le moteur de Windows avec FRST.
 
 
 
:) Information : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport ?

 

  • Se rendre sur le site http://www.cjoint.com/
  • Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
  • Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint.
  • Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme similaire  

        http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien.  

  • Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.


 
 
 
 
==> Farbar Recovery Scanner Tool (FRST) de Fabar :
 
 
        Vous pouvez suivre le tutoriel ci-dessous ou bien le tutoriel plus détaillé en cliquant sur ce lien.
 
 


       Note: le programme est enregistré par défaut dans la rubrique Téléchargements de l'Explorateur de
               fichiers de Windows

 

  • Copier le fichier FRST ou FRST64 et le coller sur le Bureau et pas ailleurs.

        (on peut aussi trouver la rubrique Bureau dans l'Explorateur de fichiers).
 

  • Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".


  • Le programme met à jour sa base de données, patienter 5 secondes.


  • Sous "Analyse facultative", cocher les cases suivantes (voir image ci-dessous):


     - Addition.txt
     - MD5 pilotes
     
     

  • Cliquer sur Analyser


 
       http://nsa37.casimages.com/img/2016/02/23/160223065532812601.png
 
 
 

  • Une fois le scan terminé, 2 rapports sont créés sur le Bureau, soit les rapports FRST.txt et Addition.txt.


 

  • Héberger ces 2 rapports sur le site www.Cjoint.com, puis copier/coller les liens fournis dans ta prochaine réponse sur le forum.


 


Message édité par monk521 le 30-11-2016 à 19:19:53
n°3256801
totsukaba
Code Quantum
Posté le 30-11-2016 à 19:41:48  profilanswer
 

Merci,
voila addition : http://www.cjoint.com/c/FKexkN7qFGV
et l'autre : http://www.cjoint.com/c/FKEsN7qFkHV

 

Pour la machine que je suspecte avoir un keylogger, l'autre je ne peux pas faire le scan pour l'instant.


Message édité par totsukaba le 30-11-2016 à 20:45:17
n°3256805
monk521
Posté le 30-11-2016 à 20:23:56  profilanswer
 

Non, pas de keylogger ou autres malwares sur ce PC, c'est propre.   :jap:

n°3256807
totsukaba
Code Quantum
Posté le 30-11-2016 à 20:40:07  profilanswer
 

Ok merci, donc je suppose que ce n'était qu'une tentative de connexion. Je suis soulagé. Je ferai demain le scan de la deuxième machine que je pensais saine. C'est ironique quand même la machine que je pensais infectée n'a rien et l'autre saine alors que malwarebyte m'a trouvé des spywares...


Message édité par totsukaba le 30-11-2016 à 20:41:39
n°3256808
monk521
Posté le 30-11-2016 à 20:42:53  profilanswer
 

Malwarebytes trouve toujours quelques choses surtout si on ne l'a pas utilisé depuis longtemps. Après ça ne veut pas dire que ces traces soient actives, ça peut être que des résidus.  
 
Poste-moi les rapports demain de l'autre PC si tu veux, je regarderai aussi.  

mood
Publicité
Posté le 30-11-2016 à 20:42:53  profilanswer
 

n°3256811
totsukaba
Code Quantum
Posté le 30-11-2016 à 21:31:58  profilanswer
 

J’espère bien que c'était des résidus, par ce que je m'en sert pas beaucoup de cette machine et les malwares trouvés après renseignement n'avaient pas l'air de faire leurs jobs. Je posterais demain le résultat du FRST mais malawebyte et adwcleaner ne donnent rien, globalement je pense que c'est bon.


Message édité par totsukaba le 30-11-2016 à 21:32:43
n°3256836
totsukaba
Code Quantum
Posté le 01-12-2016 à 09:16:30  profilanswer
 

Voila, les deux rapports de scan de FRST :
addition : http://www.cjoint.com/c/FLbih5uV
et l'autre : http://www.cjoint.com/c/FLbidfgYs2V

 

Merci encore.


Message édité par totsukaba le 01-12-2016 à 11:51:31
n°3256838
monk521
Posté le 01-12-2016 à 09:35:59  profilanswer
 

Idem, pas de keylogger sur ce PC. Juste une petite trace d'infection dans Mozilla.
 
Pense à mettre à jour Java.
 
Et merci à Trit' pour cette explication sur les cookies.
 
 
 
 
==> FRST Correction :
 
 

  • Appuyer sur les touches du clavier Windows et r.
  • Dans la fenêtre, écrire: notepad (voir image ci-dessous).
  • Cliquer sur OK.


       http://nsa38.casimages.com/img/2015/08/27/150827070811374213.png
 
 

  • Le bloc-notes s'ouvre.  


 

  • Copier maintenant toutes les lignes en gras ci-dessous:


    Note: pour copier toutes les lignes, griser de haut en bas toutes les lignes en restant appuyer sur le  
            clic gauche de la souris. Puis faire un clic droit de la souris et choisir
Copier.
 
 

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
FF user.js: detected! => C:\Users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\6270li7b.default\user.js
Folder: C:\WINDOWS\system32\ÿÿÿÿÿÿÿÿerStore
Folder: C:\WINDOWS\system32\ÿÿÿÿÿÿÿÿ8

 
 

  • Retourner dans le bloc-notes ouvert et au milieu de la page, faire un clic de la souris et choisir Coller (toutes les lignes vont s'inscrire).  


  • Dans l'entête du bloc-notes, cliquer sur Fichier, puis Enregistrer sous ... et selectionner Bureau.  

        Dans la case Nom du fichier, écrire fixlist et cliquer sur Enregistrer.  
 
 

  • Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".


  • Cliquer sur Corriger


     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
    http://nsa37.casimages.com/img/2015/08/27/150827070424411616.png
 
 

  • Une fois le PC redémarré, un rapport Fixlog.txt a été créé sur le Bureau.


  • Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.


n°3256849
totsukaba
Code Quantum
Posté le 01-12-2016 à 10:57:35  profilanswer
 

Ok voila le rapport : http://www.cjoint.com/c/FLbjsfdgf2V

 

Du coup c'etait quoi comme type de malware ?

 

Java je peux le retirer non ? Ca ne sert plus a rien si ?


Message édité par totsukaba le 01-12-2016 à 11:51:43
n°3256850
monk521
Posté le 01-12-2016 à 11:03:42  profilanswer
 

C'était un paramètre de préférence dans les options de Mozilla qui a été modifié, mais FRST c'est trompé d'après le rapport de correction, il n'a rien corrigé.

n°3256853
totsukaba
Code Quantum
Posté le 01-12-2016 à 11:08:21  profilanswer
 

Ok du coup c'est bon ?

n°3256867
monk521
Posté le 01-12-2016 à 11:41:08  profilanswer
 

Oui, c'est bon.

n°3256868
totsukaba
Code Quantum
Posté le 01-12-2016 à 11:51:12  profilanswer
 

Merci alors !! Je ne sais pas d’où vient cette tentative de vol de compte twitter alors mais le risque est nul finalement !!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Infection keylogger

 

Sujets relatifs
Pc qui démarre en boucle après infectionProblème mise à jour windows (windows update) (et/ou infection?)
Infection PCInfection PC ?
je suspecte une infection sur mon PCInfection présumé, Besoin d'aide
Keylogger sur reseauInfection réseaux sociaux
Possible infection outlook ?[Possible infection] Longs temps de chargements / baisse de fps
Plus de sujets relatifs à : Infection keylogger



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR