Logger.SCKeyLog.ch..... ?????

[Heavens28]

Bonjour,

 

Voilà, depuis quelques temps, mon ordinateur est très lent et ma souris bouge seule (elle se promène rapidement n'importe où tout d'un coups... (mais c'est aussi une souris laser alors, ça peut être normal que l'on m'a dit)... Ceci dit, j'ai pourtant hier soir, installé 2 nouvelles barrettes de mémoire ( = +1 Go de plus! donc maintenant, 2 Go de RAM...) Donc, en principe, avec 1 Go de plus de RAM, il devrait être plus rapide non?

 

Pour ne pas prendre de chance, j'ai fait quelques scans en mode normal (ex: "Malwarebyte en ligne", Antivir, AVG Antispyware, GenProc et "BitDeferder en ligne") et rien ne fut trouvé dans ce mode...

 

Alors en mode sans échec avec: Antivir (rien trouvé) et AVG anti-spyware et lui, il m'a trouvé ça:

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 18:38:48 2008-08-09

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{5F5F7FA2-BC8F-44E6-9482-E51A0426CEF5}\RP132\A0028996.exe -> Logger.SCKeyLog.ch : Nettoyé.

 

 

Fin du rapport

___________________

 

Comme indiqué dans le rapport, je l'ai supprimé.... Mais bon, Comment puis-je être certaine que mon problème venait de là, et que surtout, il est bien effacé? Car c'est la deuxième fois en moins de 2 semaines qu'il réapparait dans mon analyse celui-là

 

J'ai également fais une analyse HiJackThis en mode normal... Voici le log :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:13:41, on 2008-08-09

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\vVX3000.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Cindy\Bureau\scan.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1209332391468

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1209332381639

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

 

--

End of file - 5826 bytes

 

 

Voilà, merci à ceux qui pourront m'aider où me dire si c'est maintenant règlé...

 

P.S Je suis au Québec, alors peut-être qu'avec le décalage, je ne pourrai pas toujours faire les manip (si manip il y a) au moment où celles-ci me seront demandé... merci

[Apollo]

Bonsoir,

 

MalwareBytes en ligne? Connais pas...

 

Le log ne montre rien de méchant à première vue mais on peut faire une vérification avec MalwareBytes mais en l'installant sur le pc. Il est gratuit sans protection résidente donc il n'y aura aucun conflit.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

@++

[Heavens28]

Bonsoir! Premièrement, merci pour cette réponse rapide

 

Deuxièmement, c'est toi qui a raison... Je me suis trompé au sujet de Malwarebytes... C'était pas en ligne que je l'avais fais, mais bien en l'installant, je m'en suis rendu compte en l'installant à l'instant... Ça devient mêlant tout ça pour une novice

 

Mais par précaution je l'ai refais, question de me rassurer... Je ne trouve pas souvent de "saleté" dans mon ordi étant donné que mon conjoint et moi, ne cliquons pas n'importe où, ne faisons pas de P2P, n'allons pas voir de fesses , bref, nous faisons tellement attention en général, que je deviens un peu parano quand une de ces bestioles réussie à entrer dans notre tour...

 

Je me demandais quand même ce qu'était cette ligne dans mon log HiJack...

 

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

 

Les autres lignes, je les comprends assez bien (grâce aux nombreux outils sur le net pour apprendre à lire les log HiJack...) mais pas celle-ci, bien qu'elle semble relié à Messenger mais bon... Si tu pouvais me dire ce que c'est... Sur un site qui permet une analyse "générale" des logs HiJack, ils la classait comme potentiellement dangereuse!?!

 

Voilà mon log MBAM, qui apparemment est clean... Mais je ne l'ai pas fait en mode sans échec... Je ne sais pas si ça change quelque chose, mais bon, au pire, demain au lever (car ici, il est 1h40 am en ce moment...), je le ferai... Mais je commence à me dire que je suis peut-être un peu parano... mais encore là, il y a quand même ce truc "logger" qui est revenu 2 fois en moins de 2 semaines.... Et d'après ce que j'ai pu lire, c'est un truc qui enregistrerait les touches tapé au clavier C'est quand même épeurant comme truc louche!

 

Voici le rapport "clean"

 

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1036

Windows 5.1.2600 Service Pack 2

 

01:32:46 2008-08-10

mbam-log-8-10-2008 (01-32-46).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 83564

Temps écoulé: 43 minute(s), 6 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Encore merci!

 

Heavens

Modifié le 10 août 2008 par Heavens28

[Apollo]

Bonjour Heavens28,

 

La ligne 016 que tu indiques est un Active X lié à Messenger.

Il ne faut pas te fier au robot qu'on trouve pour "analyser" les logs, c'est fantaisiste, et même dangereux.

 

Ce qui pourrait être potentiellement dangereux, c'est lorsqu'on installe Messenger Plus! avec son sponsor, car celui-ci est en fait un Adware.

Il suffit dans ces cas-là de désinstaller Messenger + et de le réinstaller en refusant le "sponsor".

 

AVG AS a fait son travail en allant déloger l'intrus dans les fichiers Restore, mais une simple désactivation/réactivation de la restauration du système aurait suffi dans ce cas précis.

 

Il n'y a rien d'inquiétant dans ce log.

 

Si tu veux vraiment pousser la recherche très loin:

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

NOTE: Le scan est à faire avec Internet Explorer.

 

@ bientôt.