KEYLOGGER

[Ben13ben]

Salut,

 

Suite a un probleme sur mon firewall (http://forum.zebulon.fr/firewall-windows-xp-t186043.html), on a diagnostique que j'avais un KEYLOGGER sur ma machine.

 

Voici le dernier rapport ZHPDiag : Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci.

 

++

[Apollo]

Salut,

 

Le forum de sécurité-prévention ne t'a pas dit comment te prémunir des keyloggers?

 

Tu jetteras un oeil ici: Apollo Et Compagnie Protéger son pc gratuitement. (pour mots de passe et autre programme anti-keylog).

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

O61 - LFC:Last File Created 6/18/2011 - 8:56:25 PM ---A- C:\Documents And Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe   [364570]    
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]   
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]   
Emptytemp
Emptyflash    

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[Ben13ben]

En fait, la machine sur laquelle j'avais le probleme est une machine virtuelle VMware.

Je vais tout simplement la supprimer.

 

Mais j'ai fait le test sur mon PC et je trouve egalement le KeyLogger ... ainsi que peut-etre TDL3 ...

Voici le rapport sur mon PC : Cijoint.fr - Service gratuit de dépôt de fichiers

 

TDSSKiller n'a rien trouve.

 

Concernant l'installation de KeyScrambler, est-ce compatible avec mon Symantec Client Security ?

Modifié le 18 juin 2011 par Ben13ben

[Apollo]

Pour l'anti-keylogger je ne sais pas s'il entre en clonflit avec Norton, mais moi je me sers bien d'un password manager avec Kaspersky internet security 2012 alors Keepass peut lui, servir.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified  
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified    
O20 - Winlogon Notify: atmgrtok . (...) -- atmgrtok.dll     
O61 - LFC:Last File Created 6/18/2011 - 8:28:37 PM ---A- C:\Documents And Settings\Administrator\My Documents\Downloads\VMWare Player\Windows\Download\caches\GuestAppsCache\appData\04879f96472cada300f5e9ad96a17829.appicon   [5164]      
O61 - LFC:Last File Created 6/18/2011 - 8:28:37 PM ---A- C:\Documents And Settings\Administrator\My Documents\Downloads\VMWare Player\Windows\Download\caches\GuestAppsCache\appData\04879f96472cada300f5e9ad96a17829.appinfo   [132]      
O61 - LFC:Last File Created 6/18/2011 - 8:28:37 PM ---A- C:\Documents And Settings\Administrator\My Documents\Downloads\VMWare Player\Windows\Download\caches\GuestAppsCache\appData\8e00d76a381c8ed1c459265a0cb4be7b.appicon   [5164]    
O61 - LFC:Last File Created 6/18/2011 - 8:28:37 PM ---A- C:\Documents And Settings\Administrator\My Documents\Downloads\VMWare Player\Windows\Download\caches\GuestAppsCache\appData\8e00d76a381c8ed1c459265a0cb4be7b.appinfo   [140]      
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]    
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]       

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

------------------------------------

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

---------------------------

Apollo Et Compagnie Kaspersky Virus Removal Tool en français

 

@++

[Ben13ben]

Symantec Client Security inclus un "Privacy Control" (actuellement desactive). Je ne sais si ca sert a ca ...

 

Les NOT FOUND Key c'est lie au fait que j'ai pas attendu ta reponse pour ces 2 lignes.

 

 

Rapport de ZHPFix 1.12.3317 par Nicolas Coolman, Update du 18/06/2011

Fichier d'export Registre :

Run by benolive at 6/19/2011 12:42:47 AM

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Registry Key ==========

DELETED Key: Winlogon Notify: atmgrtok

NOT FOUND Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler

NOT FOUND Key: HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}

 

========== File ==========

NOT FOUND File: atmgrtok.dll

DELETED c:\documents and settings\administrator\my documents\downloads\vmware player\windows\download\caches\guestappscache\appdata\04879f96472cada300f5e9ad96a17829.appicon

DELETED c:\documents and settings\administrator\my documents\downloads\vmware player\windows\download\caches\guestappscache\appdata\04879f96472cada300f5e9ad96a17829.appinfo

DELETED c:\documents and settings\administrator\my documents\downloads\vmware player\windows\download\caches\guestappscache\appdata\8e00d76a381c8ed1c459265a0cb4be7b.appicon

DELETED c:\documents and settings\administrator\my documents\downloads\vmware player\windows\download\caches\guestappscache\appdata\8e00d76a381c8ed1c459265a0cb4be7b.appinfo

 

 

========== Summary ==========

3 : Registry Key

5 : File

 

 

========== Report File ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan

 

 

Les lignes suivantes, c'est "normal", les mises a jour sont gerees par d'autres moyens.

 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

 

 

Apres TFC et reboot ?

Modifié le 18 juin 2011 par Ben13ben

[Apollo]

Re,

 

Il y a un lien sous la procédure TFC, procède à l'analyse avec Virus Removal Tool.

 

@++

[Ben13ben]

8h34 de scan et rien trouve.

J'avais laisse en "prompt for action" pour pouvoir etre au courant de ce qui se passe, mais rien.

Debut de scan, fin de scan, c'est tout.

 

ZHPDiag me signale pourtant toujours une possibilite de TDL3 rootkit infection ...

[Apollo]

Bonsoir,

 

Non, ZHPDiag soupçonne un TDL 3 mais si TDSSKiller et KVRT ne voient rien, je pense qu'on peut leur faire confiance.

 

Mais si tu veux, lance MBRCheck qui est sur ton bureau et poste le rapport stp.

 

@++

[Ben13ben]

J'ai un Windows XP sur une plate-forme initialement prevue pour un Windows 7, c'est peut-etre pour ca ...

 

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Bonjour.

 

Ah oui, en effet MBRCheck reconnait un MBR standard Windows 7. Mais cela n'a rien d'une infection hein.

 

S'il n'y a que XP sur le pc, lance ZHPFix et clique sur le bouton MBRFix, cela rétablira le MBR standard de XP.

 

@++