J'ai un keylogger, comment le virer ?

[aleccc]

Bonsoir

 

un enfoiré m'a hacké mon compte de jeu League of Legend

 

J'ai donc un keylogger sur le pc

 

Problème : je suis arrivé au bout de la version démo de Malware byte, et je n'ai aucune autre idée de comment faire pour trouver ce keylogger

 

j'ajoute qu'un utilitaire de scan a trouvé ceci : PUP.riskwaretool.ck

 

Pourriez-vous m'aider, svp ?

Alecc

 

-édit- Dans cette section, il ne faut pas insérer de « up » dans ton sujet : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet…

Modifié le 3 mai 2012 par Dylav

[pear]

Bonjour,

 

Mbam est gratuit en version non résidente.

 

Lancez cet outil de diagnostic:

Zhpdiag 1.30

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

Cliquez sur le bouton en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[aleccc]

bonjour

 

j'ai un soucis : je fais ce que tu dis, et quand je lance le scan, au bout de 2-3% j'ai le message :

 

Violation d'accés a l'adresse 77979126 dans le module ntdll.dll

 

que faire ?

[pear]

Télécharger OTL sur le bureau

Double cliquer sur l'icône

 

 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..

Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs (scan all users)

Sous Rapport (output)

Cliquez ----------------------------->Rapport Standard (Standard Output)

Sous Régistre Standard(Standard Registry) cocher Tous(All)

Cochez------------------------------> Lop check et Purity check

 

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[aleccc]

Toutes mes excuses, la prod sur laquelle je taff en ce moment a eu un sacrée retard, du coup j'ai totalement oublié ce probléme de Keylogger sur mon pc

 

donc encore une fois, veuillez m'excusez pour ce manque de réponse :/

 

Donc j'ai repris, et fais ce que tu m'indiquais, voici le rapport OTL :

 

Lien CJoint.com BFjq3cDGyg5

 

que faire ensuite ?

 

merci beaucoup

[pear]

Relancez Otl:

 

Sous Custom scan Files ou Personnalisation

Copiez Collez

:Otl

IE - HKLM\..\URLSearchHook: {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - C:\Program Files (x86)\Setuprog\tbSetu.dll (Conduit Ltd.)

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Rechercher {searchTerms}

IE - HKU\S-1-5-21-3189460318-3477279630-3566953712-1001\..\URLSearchHook: {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - C:\Program Files (x86)\Setuprog\tbSetu.dll (Conduit Ltd.)

IE - HKU\S-1-5-21-3189460318-3477279630-3566953712-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Rechercher {searchTerms}

O1 - Hosts: 127.0.0.1 activate.adobe.com

O2 - BHO: (Setuprog Toolbar) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - C:\Program Files (x86)\Setuprog\tbSetu.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Setuprog Toolbar) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} - C:\Program Files (x86)\Setuprog\tbSetu.dll (Conduit Ltd.)

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

:files

ipconfig /flushdns /c

 

[purity]

[emptytemp]

[resethosts]

[Reboot]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

 

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[aleccc]

voila avec un peu de retard =)

 

Lien CJoint.com BFpvztPqINt

 

 

Lien CJoint.com BFpvzHUOp0g

 

 

tout est clean maintenant ?

[pear]

tout est clean maintenant ?

 

A vous de dire comment va la machine .

[aleccc]

jusqu'a preuve du contraire, les keylogger n'ont jamais fais de mal a une machine xD

 

Comment voulez vous que je sache si ma machine continu a transmettre tout ce que je tape ou non ? :/

[pear]

Votre message n'aura pas de réponse.