Se connecter / S'enregistrer
Votre question

Un Keylogger installé sur ma machine ?

Tags :
  • Logiciels
  • Impression
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Avril 2012 15:26:41

Bonjour,

Mon ex qui est développeur semble avoir installé un logiciel permettant de récupérer tout ce que je tape sur mon clavier. Je l'avais entendu parler de "keylogger" un soir avec l'un de ses amis, sans savoir de quoi il s'agissait. Depuis pour divers raisons j'ai l'impression qu'il sait des trucs que seule moi devrait connaitre comme certaine conversation sur facebook ... Auparavant il utilisait mon pc comme si c'était le sien.

Depuis je n'ose plus accéder à mes comptes en ligne, et j'aimerais éviter de reformater mon ordinateur portable. Déjà que pour un fixe c'est presque impossible, alors dans un cas comme celui ci je crains le pire !

Je vous en prie, un petit coup de main me serait très utile.

Autres pages sur : keylogger installe machine

a c 547 8 Sécurité
a b 6 Logiciels
10 Avril 2012 18:51:04

Bonsoir,

:D  oui alors Spybot on va éviter parce que niveau détection c'est une calamité de nos jours ...

On va plutôt faire ceci pour voir déjà :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    10 Avril 2012 22:23:58

    Bonsoir,

    Tour d'abord merci pour vos réponses !
    J'ai téléchargé Spybot mais voyant les échos à son sujet, je ne l'ai testé. L'installation si il y a date de plus de trente jours, mais je laisse les connaisseurs s'occuper de tout ça :p 

    Voici les deux fichiers :
    OTL
    Extras

    Encore merci pour votre aide.
    a c 547 8 Sécurité
    a b 6 Logiciels
    11 Avril 2012 15:00:19

    Re,

    Quelques adwares (logiciel/sponsors publicitaire), mais pas de traces de keylogger.

    On va faire le ménage, pour le reste je te conseille déjà de modifier mot de passe et question secrète ou autre sur tes comptes (facebook, hotmail, etc ...)

    Autre chose :
    Drive C: | 53,55 Gb Total Space | 4,56 Gb Free Space | 8,52% Space Free | Partition Type: NTFS
    Ton disque principal est plein, je te conseille fortement de déplacer des documents vers une autre partition (E: ou F:) , et/ou de désinstaller les programmes inutile

    On y va pour le reste :

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présent) :

    - CrazyLoader (c'est lui qui a installé en sponsors nombre d'adwares)
    - Spybot - Search & Destroy (inutile donc)
    - ZHPDiag 1.30 (inutile ici)

    - FIXIO PC Cleaner (programme ayant une très mauvaise réputation, peu utile de toute manière)
    - AutocompletePro (adware : programme publicitaire)
    - PCTuto 1.0 (idem)
    - Tuto Photoshop1.0.0.0 (idem)
    - Uninstall 1.0.0.1 (idem)
    - UpdatePCTuto 1.0 (idem, à lire sur lui : http://forum.security-x.fr/securite-generale/tuto4pc-et... )


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2012/04/05 04:07:47 | 000,006,144 | ---- | M] () -- C:\Users\Lestat\AppData\Local\Temp\Rar$EX00.502\SocketSniffHelper.dll
    SRV - [2010/09/22 17:25:34 | 000,191,600 | ---- | M] (LULU software) [Auto | Running] -- C:\Program Files (x86)\FIXIO PC Utilities\FIXIO PC Cleaner\FIXIO Service.exe -- (FIXIO Service)
    IE - HKU\S-1-5-21-3400858523-2069654570-649819347-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.ask.com/?l=dis&o=102869&gct=hp
    IE - HKU\S-1-5-21-3400858523-2069654570-649819347-1000\..\SearchScopes\{4FA1BB03-10AA-4B79-A4F5-121707A9582E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYFR&apn_uid=40946f0f-16a7-4df7-998e-aaa649cfd41f&apn_sauid=94EF3962-5110-4814-8F44-05E00037E1F4
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: "Ask.com"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: crazyloader@spointer.com:3.4.1545.153
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crazyloader@spointer.com: C:\Program Files (x86)\CrazyLoader\spointer\extensions\crazyloader@spointer.com [2010/11/30 16:30:49 | 000,000,000 | ---D | M]
    [2012/01/09 07:36:12 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Lestat\AppData\Roaming\mozilla\Firefox\Profiles\uzjzhaj0.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
    [2010/11/05 15:18:21 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\Lestat\AppData\Roaming\mozilla\Firefox\Profiles\uzjzhaj0.default\extensions\support@predictad.com
    [2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Lestat\AppData\Roaming\Mozilla\Firefox\Profiles\uzjzhaj0.default\searchplugins\askcom.xml
    [2011/04/17 19:08:53 | 000,001,583 | ---- | M] () -- C:\Users\Lestat\AppData\Roaming\Mozilla\Firefox\Profiles\uzjzhaj0.default\searchplugins\web-search.xml
    O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll (SimplyGen)
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O2 - BHO: (Interest recogniser for Crazyloader (powered by Spointer)) - {C5F65718-341D-4e7d-9842-FCB9CC89527E} - C:\Program Files (x86)\CrazyLoader\spointer\extensions\crazyloader_air_ie.dll (Crazyloader)
    O3 - HKU\S-1-5-21-3400858523-2069654570-649819347-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-3400858523-2069654570-649819347-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKU\S-1-5-21-3400858523-2069654570-649819347-1000..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
    O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} http://aolsvc.aol.com/onlinegames/bejeweled2/popcaploader_v10.cab (PopCapLoader Object)
    O33 - MountPoints2\{73b40edd-0242-11e0-b25d-00262da478e5}\Shell - "" = AutoRun
    O33 - MountPoints2\{73b40edd-0242-11e0-b25d-00262da478e5}\Shell\AutoRun\command - "" = G:\run.exe
    [2010/11/30 16:36:36 | 000,000,000 | ---D | M] -- C:\Users\Lestat\AppData\Roaming\CrazyLoader
    [2011/05/10 23:04:29 | 000,000,000 | ---D | M] -- C:\Users\Lestat\AppData\Roaming\FIXIO PC Utilities
    [2011/10/29 19:05:44 | 000,000,000 | ---D | M] -- C:\Users\Lestat\AppData\Roaming\PCtuto
    @Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:C46995DA
    @Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:A3E39C6A

    :Files
    C:\Program Files (x86)\FIXIO PC Utilities
    C:\Program Files (x86)\AutocompletePro
    C:\Program Files (x86)\Spybot - Search & Destroy

    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    13 Avril 2012 00:02:29

    Bonsoir,

    J'ai supprimé les programmes que tu m'as cités. Puis fait l'étape de correction mais je n'ai pas de fichier .log, en revanche sur mon disque C:\ il y a un dossier "_OTL" puis un autre "MovedFiles" et enfin "04122012_224508" mais aucun fichier à l’intérieur.

    Ensuite j'ai fait tourner malwarebyte qui n'a rien détecté ce qui devrait être un bon signe.

    Donc pour toi il n'y a rien a craindre, on peut dire avec une quasi certitude qu'il n'y a pas de Keylogger, ou autre logiciel de type VNC ?

    Je te remercie ! A bientôt.
    a c 547 8 Sécurité
    a b 6 Logiciels
    13 Avril 2012 12:13:21

    Re,

    04122012_224508 c'était aussi un dossier ? ce ne serait pas un fichier .log ?

    Parce que ce devrait être le rapport ça ;) 


    Sinon, non rien de visible, on peut noter :
    - Foxyproxy, l'addon pour Firefox qui faire passer ta connexion par un proxy, si ce n'est pas toi qui l'a installé, tu peux le supprimer des modules de ce navigateur
    - Des logiciels de gestion de bourse qui normalement n'auraient rien à voir
    - Des logiciels de connexion à des serveurs de jeu (TCGNetwork)

    Mais aucun logiciel de type VNC ou prise à distance non.

    Dis-moi si tu trouves le rapport, on finira le ménage après en nettoyant les outils utilisés et mettant à jour les logiciels de ce pc.

    :jap: 
    2 Mai 2012 14:53:27

    Bonjour,

    Désolée pour l'absence je n'ai pu me reconnecter depuis la dernière fois. Sinon le
    04122012_224508 est bien un dossier avec rien à l'intérieur. :-/

    Le proxy j'avais tenté de l'installer car j'étais dans un pays où rien n'était accessible mais ce fut en vain car tous étaient payant et je voulais seulement me tourner vers une solution gratuite.
    Pour le reste rien de grave, je vois pourquoi ils sont installés sur mon PC.

    Du côté des mises à jour ça ne doit pas être bien important tant que l'anti virus l'est, non ?

    Merci encore, surtout si tu as le courage de reprendre ce fil ;) 
    a c 547 8 Sécurité
    a b 6 Logiciels
    2 Mai 2012 15:51:04

    Re-Bonjour ;) 

    Pas de souci,

    Citation :
    Du côté des mises à jour ça ne doit pas être bien important tant que l'anti virus l'est, non ?


    Non justement, au contraire c'est le plus important, cela provoque des failles de sécurité que l'antivirus ne peut combler, je te ferais mettre à jour.

    Pour terminer :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    N'oublie pas aussi mon conseil :
    Citation :
    Autre chose :
    Drive C: | 53,55 Gb Total Space | 4,56 Gb Free Space | 8,52% Space Free | Partition Type: NTFS
    Ton disque principal est plein, je te conseille fortement de déplacer des documents vers une autre partition (E: ou F:)  , et/ou de désinstaller les programmes inutile



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS