KEYLOGGER : Votre Avis ?

[Sacles]

Re,

 

si j'avais effectivement testé le pare feu matériel de la box, vu que la plupart des FAI règlent correctement par défaut leur pare feu, il est bien évident que les tests effectués (sur sites ou en local) auraient été bons.

Qu'est-ce que les FAI viennent faire dans cette histoire? Ce n'est pas mon FAI qui s'occupe de mon PC ni de mon routeur. C'est moi qui active ou non le pare-feu du routeur et s'il est désactivé, les tests de ports seront mauvais.

 

Rem. Je ne connais pas suffisamment les DMZ (Zone démilitarisée) pour me prononcer à leur sujet. Mais, sauf erreur de ma part, la DMZ est après le routeur et donc que c'est toujours le routeur qui est testé. Le schéma étant (à mon avis) Internet > Routeur > DMZ > PC. Sans routeur, pas de connexion.

 

>>>>>>>>>>>>>>>>>>>>>>>

 

Pour tester la résistance aux keyloggers, voir ceci: http://forum.malekal.com/testez-resistance-aux-keyloggers-t20726.html

 

Pas de panique quand même.

 

Pour qu'il y a danger, problème, il faudrait que des pestes soient entrées sur le PC.

 

Salut

Modifié le 9 mai 2011 par Sacles

[Invité Jadaire]

Salut Bleuet,

 

Voici le rapport fait par USB fix. Ca dit quoi ?

 

P.S: Par contre aucun rapport n'a été affiché pour la vaccination. On m'a juste signaler que la vaccination avait été effectué.

 

C'est normal

 

############################## | UsbFix 7.044 | [Recherche]

 

Utilisateur: HPCOMPAQ (Administrateur) # PC-DE-HPCOMPAQ [Hewlett-Packard HP Compaq 6730s]

Mis à jour le 25/04/2011 par TeamXscript

Lancé à 23:27:28 | 09/05/2011

Site Web: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Genuine Intel® CPU 575 @ 2.00GHz

Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2

Internet Explorer 8.0.6001.19048

 

Pare-feu Windows: Désactivé /!\

Antivirus: VirusKeeper 2011 Pro antivirus 11.0 [Enabled | Updated]

RAM -> 1976 Mo

C:\ (%systemdrive%) -> Disque fixe # 98 Go (53 Go libre(s) - 55%) [] # NTFS

D:\ -> Disque fixe # 200 Go (200 Go libre(s) - 100%) [] # NTFS

E:\ -> CD-ROM

 

################## | Éléments infectieux |

 

################## | Registre |

 

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|google update

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{74d7ab01-5160-11e0-936a-ec71a746a3f3}

Shell\AutoRun\Command = F:\TranscendService(JF).exe

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

 

------------------------------------------------------------------------------

 

Comment on fait pour " modifier la clé suivante dans la base de registre :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

Désactivation de l'autorun : --> AutoRun = 0

Activation de l'autorun : --> AutoRun = 1"

 

Pour désactiver l'autorun ?

 

Merci encore pour ton aide

Jadaire

[Sacles]

Bonjour,

 

Ce type de test ne sert pas à grand chose, voilà un logiciel de test qui n'est pas détecté par mon antivirus, donc il n'est pas nuisible, on l'introduit nous même sur le système et ça ne reproduit pas une situation réelle, c'est pareil pour les leaktests.

Les antivirus ont toujours une guerre de retard. Pour cela, les éditeurs essayent de les compléter par une série d'outils comme la détection heuristique qui n'est pas non plus la panacée.

 

Croire comme tu l'écris qu'un logiciel qui n'est pas détecté par ton antivirus n'est pas nuisible est faux.

 

Inversement, des logiciels détecté comme nuisibles peuvent ne pas l'être.

 

Si un antivirus arrêtait tout, il y a longtemps que cela se saurait.

 

Tu as une conception de la sécurité que je ne peux partager.

 

Salut.

Modifié le 10 mai 2011 par Sacles

[bleuet]

Comment on fait pour " modifier la clé suivante dans la base de registre :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

Désactivation de l'autorun : --> AutoRun = 0

Activation de l'autorun : --> AutoRun = 1"

 

Pour désactiver l'autorun ?

Salut !

 

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

 

Vista, W7 : par la recherche taper regedit

Pour XP :

Démarrer > exécuter > taper regedit > Dans l'éditeur de registre ouvert :

Clic sur le + de HKEY_LOCAL_MACHINE, sur le + de SYSTEM,sur le + de CurrentControlSet,sur le + de Services, sur Cdrom.

A droite dans la fenêtre, il y a la REG_WORD "AutoRun" avec la valeur 0x00000001 (1)

Double clic sur AutoRun > A "données de la valeur" mettre 0 (zéro) et OK

Fermer l'éditeur > redémarrer PC.

 

Voici le rapport fait par USB fix. Ca dit quoi ?

P.S: Par contre aucun rapport n'a été affiché pour la vaccination.

Pour la recherche et la vaccination les 2 rapports sont aussi à la racine du disque dur système. Ici C:

Il n'y a pas d'infection.

 

Bleuet (10/05/2011)

[Invité Jadaire]

Merci BLEUET et bonne journée

 

 

 

Jadaire

[bleuet]

Par sécurité, tu peux vacciner tous tes disques y compris les externes.

A faire avec USBFix mais aussi Flash disinfector.

A la racine de chacun tu trouveras le fichier "autorun.inf".

De sorte une infection par disque amovible ne pourra pas écraser ce fichier et le modifier.

Note : Avira (mais tu ne l'utilises pas) détecte ce fichier comme un virus.(> exceptions).

"tout ce qui est détecté n'est pas forcément infectieux et tout ce qui n'est pas détecté n'est pas nécessairement sain".

 

Bleuet (10/05/2011)

[Invité Jadaire]

Bleuet, Sacles,

 

Mes soupçons sont confirmés.

 

Je viens d'installer Avira. Il a détecté un cheval de Troie :

" TR/Spy.keylogger.qey.1 "

 

Vous voyez, il y'a un keylogger dans mon PC.

 

2 questions ?

1. Comment se fait-il que ZHP diag n'a rien trouvé ?

2. Comment l'éradiquer définitivement ?

 

Jadaire

[Sacles]

Re,

 

Comme je l'écris dans ma signature, je ne prends pas en charge les désinfections.

 

Tu pourrais préciser le fichier qu'Avira détecte?

 

Tu as écrit dans un autre sujet : "J'ai installé sur mon PC, " ALL IN ONE KEYLOGGER ", pour voir

ce que voit un keylogger.". Il faudrait voir si ce n'est pas cette présence qu'Avira détecte.

 

Tous les keyloggers ne sont pas des "pestes" mais sont parfois utilisés par des personnes soucieuses d'espionner leur entourage (parents, employeurs,...).

 

S'il s'avère que ton PC a réellement un problème, tu devras poster dans ma partie Analyses et éradication malwares: http://forum.zebulon.fr/analyses-et-eradication-malwares-f51.html en ouvrant un nouveau sujet.

 

Edité: pour rappel, ne pas avoir plusieurs anti-virus en temps réel sur un PC. Tu as installé Antivir, as-tu désinstallé ou au moins neutralisé Virus Keeper?

 

Salut.

Modifié le 10 mai 2011 par Sacles

[Invité Jadaire]

Je viens de désinstaller "Virus Keeper".

 

All in one Keylogger, je l'ai supprimé bien avant que je fasse cette analyse.

 

Comment serait-ce possible, que l'antivirus le détecte ? Et surtout comment un keylogger a pu entrer dans mon système, si je n'ai ouvert aucun fichier suspect?

 

Ah oui, j'oubliais.

 

Avira a spécifié les informations suivantes à propos de ce cheval de troie :

 

ms-unqerc-dll

TR/SPY.Keylogger.qey.1

 

Voici le message exact de Avira :

 

Dans le fichier 'C:\Windows\System32\ms-unqerc.dll' un virus ou un programme indésirable 'TR/SPY.KeyLogger.qey.1' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

Jadaire

[Dylav]

Je viens d'installer Avira. Il a détecté un cheval de Troie : " TR/Spy.keylogger.qey.1 "

1. Comment se fait-il que ZHP diag n'a rien trouvé ?

2. Comment l'éradiquer définitivement ?

Ouvre un nouveau sujet dans la section Analyse/Éradication, où tu mettras un lien vers le présent sujet. Des helpers chevronnés vont prendre en charge ton problème