Malwares: not-a-virus et keylogger

[Ouk A Passi]

Bonjour,

Il est très désagréable de se rendre compte que son ordinateur est infecté.

En bref, le "tagazou" fonctionne sous XP (sp3), protégé par Kasperky internet security 2010.

Il est primordial de bien comprendre les messages d'avertissement de l'antivirus, surtout quand il s'agit d'un enregistreur de frappe, mais cela nécessite parfois un peu de réflexion de la part de son propriétaire avant d'adopter la bonne attitude...

Aujourd'hui, Kasperky a sans doute bloqué Free Keylogger , mais je ne suis pas certain que cet espion ait été totalement éradiqué.

De plus, une analyse antivirus approfondie a détecté et supprimé un autre virus qui porte mal son nom: not-a-virus: Monitor.TotalSpy.25

C'est donc dans l'inquiétude que je vous adresse les rapports préliminaires, et vous remercie de votre aide.
-----

[b marlow]

Salut,
Ce type de programme est en général installé par l'utilisateur lui-même ou plus souvent par un tiers qui souhaite "espionner" ce qui se passe avec cet ordi...

Date et heure de l'install:

Code:

2010-03-03 19:50:39 ----D---- C:\Program Files\Free Keylogger

Supprime ceci par le panneau ajout-suppr des programmes:
SweetIM for Messenger 2.6
et comme tu as Kaspersky, supprime ca aussi:
Norton Internet Security
Si tu ne te sers d'aucun autre des produits Norton, tu peux utiliser le Norton removal tool pour supprimer
les produits de cet éditeur.



Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]      
"SweetIM"=-
"KernelFaultCheck"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kaly"=-
"BrowserChoice"=-
 
:Services
uekamayk 
hxcmq
 
:Files
C:\Program Files\Free Keylogger  
 
 
:Commands
[purity]
[emptytemp]
[Reboot]

Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)


Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[Ouk A Passi]

Bonjour B.Marlow,

Je vous remercie beaucoup de l'aide que vous m'apportez.

Je suis parvenu à ce stade:

Poste le rapport situé dans C:\_OTM\MovedFiles\*******_*** ***.log

En fait, je n'ai pas trouvé de fichier .log, alors je mets en p.j. le fichier .txt

Il y a plusieurs sous-répertoires dans C\ _OTM (voir copie d'écran), et dans le dernier: AJAFWAOH, je trouve: 391894 malwares-not-a-virus-keylogger[1] HTML.document

Est-ce que ceci signifie que "not-a-virus" est un deuxième keylogger?
(je vous remercie de supprimer cette image après visualisation).

Je vais continuer maintenant avec le lancement de Malwarebytes' Anti-Malware, puis je posterai le rapport final .

Merci

[b marlow]

ce ne sont pas des virus mais des programmes installé sur cet ordi
pour espionner l'utilisateur, le plus souvent ce type de programme
est installé par une personne ayant accès à l'ordinateur.

[A voir en vidéo sur Futura]

[Ouk A Passi]

Bonjour,


Je prends bonne note: 2 programmes espions installés sur cette machine.

Cela fait deux de trop.

Il s'agit de l'ordinateur de ma fille, et je prends très au sérieux cette atteinte à sa vie privée.

Bien entendu, l'accès à cet ordinateur n'était pas protégé par un mot de passe.
Cette lacune est réparée maintenant, mais est-ce que cela constituera une protection efficace?

Ainsi que prodigué sur votre site, je vais limiter son compte à un accès réduit.


L'analyse de Malwarebytes' Anti-Malware a détecté 41 élements infectés.
Je vous prie de trouver en pièce jointe le rapport final (deux fichiers,en fait).


Avec tous mes remerciements

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[Ouk A Passi]

Bonjour,

Puisque j'avais désactivé tout ce qui pouvait l'être dans la barre des tâches, ComboFix n'a pas pu istaller la console de récupération Windows, ni effectuer de mise à jour (car le WiFi met trop de temps pour se reconnecter à Internet).

De plus, n'ayant pas désactivé la mise en veille automatique, j'ai été obligé d'entrer le mot de passe pour faire "revenir" la fenêtre ComboFix.

Dois-je recommencer l'opération?

Je vous remercie de l'aide que vous m'apportez

[b marlow]

Non, inutile de le relancer. ouvre OTM puis clique sur le bouton CleanUp!
le programme va vouloir redémarrer l'ordi, accepte.

installe>>CCleaner<<,décoche la case des maj-auto à l'install:
ensuite CCleaner>options>avancé>décoch e:
Effacer uniquement les fichiers datant de plus 24h
retour à Nettoyeur>lancer le nettoyage>ok. 2 à 3 fois.
coche toutes les cases de l'onglet Registre>Chercher les erreurs>Réparer les erreurs.
ensuite tu peux le remettre avec ses paramètres par défaut.
Tuto en images.

[Ouk A Passi]

Bonjour,

Je vous remercie du lien vers votre tutorial qui m'a permis d'installer CCleaner sans soucis.
Le "nettoyeur" a fait son office, et la base de registre a été remise en bon état.

Maintenant, que puis-je faire d'autre ?


Par ailleurs, j'ai tenté de créer un compte limité, mais je suis confronté au message suivant qui m'empêche de finaliser:

<< Un programme récemment installé a désactivé l'écran d'accueil et le changement rapide d'utilisateur. Le nom du programme suivant devrait vous aider à identifier le programme responsable : C:/WINDOWS/WlanGINA/Version/1.0.4.0/WlanGINA.dll >>.

Une recherche sur l'Internet fait état d'une carte WiFi créant ce problème.

Il ne me reste plus qu'à désinstaller "WlanGINA", et a espérer que les fichiers et programmes seront bien partagés avec le nouveau compte (souvenir ancien d'un compte limité créé sur un autre ordinateur, mais qui ne me permettait plus d'utiliser Word et Excel !).

Encore merci

[b marlow]

espérons que la suppression du programme n'auras pas perturbé ta connexion.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

[Ouk A Passi]

Bonjour,

Un très grand merci pour votre aide précieuse.

[b marlow]

De rien , Bon surf et @+