Keylogger logixoft : MBAM le repère dans 4 fichiers

[nanotek]

Bonjour,

 

MBAM a repéré un keylogger

 

Après affichage de "démarrage normal non possible", j'ai du redémarrer avec "dernière configuration" et MBAM m'a fait le rapport ci-dessous :

a - En général MBAM scanne environ 175 000 éléments, en 25 / 27 minutes. Ce scan n'a duré que 12 minutes.

b - Auparavant, je n'avais pas pu accéder à la Banque postale, le mot de passe étant impossible à composer, l'emplacement prévu pour ce mot de passe ne pouvant rien enregistrer

 

Merci de me conseiller pour les actions à entreprendre

 

------------------------------------------

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4108

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

17/05/2010 09:18:56

mbam-log-2010-05-17 (09-18-56).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 175189

Temps écoulé: 12 minute(s), 25 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP3\A0000332.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP3\A0000302.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP3\A0000306.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP3\A0000333.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

Modifié le 1 juin 2010 par nanotek

[pear]

Bonjour,

Désinstaller la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez en suite

Redémarrez

Un nouveau point de restauration sera créé au redémarrage.

[nanotek]

Bonjour pear,

Merci pour votre intervention.

J'ai bien exécuté vos instructions, et refait un scan MBAM : rien à signaler.

-------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4108

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

17/05/2010 11:02:29

mbam-log-2010-05-17 (11-02-29).txt

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 174690

Temps écoulé: 12 minute(s), 3 seconde(s)

etc...

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

-------------------------------------------------------------------

Cependant, je constate des anomalies :

 

MBAM => La durée du scan est réduite de moitié (12 minutes vs 25 minutes pour le même nombre d'éléments)

Kaspersky-IS 2010 :

1 - Les analyses (Complète, Rapide et Analyse des objets) ne dépassent pas le 1% effectué, et s'arrêtent.

2 - Protection : le balayage est bloqué à 38 pour "Total d'objets analysés"

 

Question subsidiaire : Puis-je vider dans MBAM la quarantaine ?

Merci pour vos suggestions

Modifié le 17 mai 2010 par nanotek

[pear]

Puis-je vider dans MBAM la quarantaine ?

 

Si vous voulez , mais ce n'est pas utile:tout ce qui est en quarantaine est inoffensif.

 

Pour kaspersky, désinstallez et réinstallez.

Modifié le 17 mai 2010 par pear

[nanotek]

Merci pear,

 

Comment désinstalle t-on Kaspersky-IS

Comment ré-installe t-on Kaspersky-IS

 

Pour mémoire : J'avais Kaspersky-AV 2009, et j'ai installé (payant bien sûr) KIS 2010 il y a 11 mois (il me reste 38 jours) en ligne.

 

Quelle est la procédure pour la ré-install ?

merci

[Apollo]

Bonjour nanotek, pear,

 

Juste pour info:

 

Sauvegarde tes informations de licence (code).

Télécharge le Remover: http://support.kaspersky.com/faq/?qid=208279463

 

Avant de passer le désinstallateur, télécharger la dernière version de KIS 2010: http://support.kaspersky.com/faq/?qid=208279463

 

Exécute alors le remover, le redémarrage sera sans doute nécessaire.

 

Réinstaller.

 

@++

[nanotek]

Bonsoir,

 

J'ai téléchargé le Remover, mais je n'ai pas trouvé, avec le 2ème lien, comment télécharger la dernière version de KIS 2010

Merci de bien vouloir me dire comment faire ?

[Apollo]

Ouarf! J'ai dû louper mon presse-papier, désolé.

http://www.kaspersky.com/fr/kis_derniere_version

 

Pour la peine tu auras un tuto en prime: http://forum.pcastuces.com/sujet.asp?f=25&s=48493

 

@+

[nanotek]

bonsoir pear, bonsoir Apollo,

 

1 - C'est Ok, j'ai réinstallé KIS 2010 / v. 9.0.0.736. Tous les composants sont opérants.

Dans la foulée, j'ai fait un scan MBAM => RAS.

Mais je n'arrive toujours pas à comprendre pourquoi, pour le même nombre d'éléments scannés (170 000 environ), MBAM met maintenant 12 minutes au lieu de 25 en moyenne auparavant.

Y a t-il une explication ?

2 - J'ai nettoyé les anciennes restaurations, et créé un point de restauration tout neuf.

 

3 - Après la ré-install de KIS 2010, j'ai trouvé les fichiers ci-dessous, qui traînaient dans :

C:\Documents and Settings\All Users\Application Data\Kapersky Lab

 

KAV.9.0.0.736b_04.01_09.55_1024.SRV.full.dmp 173 330 Ko 01-04-2010

KAV.9.0.0.736b_04.01_09.55_1024.SRV.mini.dmp 5 818 Ko 01-04-2010

KAV.9.0.0.736b_04.01_09.55_1024.SRV.tiny.dmp 1 241 Ko 01-04-2010

KAV.9.0.0.736b_04.01_09.57_836.sysinfo.txt 627 Ko 01-04-2010

KAV.9.0.0.736b_05.17_20.52_1148.sysinfo.txt 573 Ko 17-05-2010

 

Est-ce que ce seraient des scories de la ré-install, dont je pourrais me débarrasser ?

Merci pour vos réflexions

Modifié le 17 mai 2010 par nanotek

[nanotek]

Bonsoir,

 

Je vous appelle à l'aide pour éradiquer définitivement le keylogger de ce topic, car je pense qu'il est toujours là, et qu'il est agissant :

 

J'ai un compte à la Banque Postale (labanquepostale.fr) :

- En haut à droite de la page d'accueil du portail, il y a "accès à vos comptes". Un clic et une fenêtre s'ouvre, qui demande l'identifiant et le mot de passe que l'on compose sur un clavier virtuel

- Ce clavier virtuel sur mon pc est totalement inopérant, car il manque des chiffres, et il y a toujours une série de 0 (zéro), alors que ce clavier virtuel est un mini clavier numérique avec les 10 chiffres habituels (0 à 9).

 

J'ai testé cette même manip sur un autre pc (extérieur), et là, le clavier virtuel est entier et opérant, et j'ai pu accéder à mon compte courant (comme avant la détection de ce Keylogger par MBAM).

 

Pouvez vous m'aider ? Pouvez-vous m'aider à déceler où se cache ce keylogger, et ce qu'il fait exactement en dénaturant ainsi le "clavier virtuel"

A toutes fins utiles, j'ai fait un scan MBAM, et une Analyse complète avec KIS 2010. Il n'y a rien de signalé.

Merci

Modifié le 18 mai 2010 par nanotek