PROGRAMME ESPION GRAYWARE KEYL_SE. 71724

[Mark]

Bonjour Sandra ; je commençais à m'inquiéter !

 

Bon ok ; ces fichiers "Acrobat", ben je ne peux commenter à distance (sans les voir). Ces fichiers "temp", par contre, m'agacent un peu. Je veux les faire analyser par un collègue, si tu permets. Voici comment :

 

Retourne dans ce dossier via l'Explorateur Windows :

 

C:\Documents and Settings\sandra\Local Settings\Temp <<

 

Pour chacun des fichiers suivant :

 

C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe

C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe

C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe

C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe

 

...tu fais un clic-droit dessus, et choisis "Envoyer vers" >> "Dossier compressé"

 

Ceci va créer 7 nouveaux fichiers "zippés" (compressés) dans le même dossier "Temp", qui auront l'apparence d'un dossier avec fermeture éclair, portant le même nom que le fichier original, mais avec l'extension .zip au lieu de .exe.

 

Maintenant, lance ton programme de courrier, et envoie ces fichiers .zip (en pièces jointes) à l'adresse que je te fournis par messagerie ;

 

- Comme titre de message : Fichiers de Sandra

 

- Pas nécessaire d'écrire quoique ce soit dans le message, mais colle le lien de ce topic, que voici :

http://forum.zebulon.fr/index.php?showtopic=86316&st=0

 

 

Je posterai ici dès que j'aurai les résultats d'analyse. Il se peut que ces fichiers (services) aient été créés par RootkitRevealer, ce qui serait ok ; mais il vaut mieux vérifier, car s'il ne s'agit pas de SysInternals, nous pourrions avoir une piste.

 

Merci, et à bientôt

Modifié le 13 février 2006 par Qc001

[SANDRA88]

Bonjour Sandra ; je commençais à m'inquiéter !

 

Bon ok ; ces fichiers "Acrobat", ben je ne peux commenter à distance (sans les voir). Ces fichiers "temp", par contre, m'agacent un peu. Je veux les faire analyser par un collègue, si tu permets. Voici comment :

 

Retourne dans ce dossier via l'Explorateur Windows :

 

C:\Documents and Settings\sandra\Local Settings\Temp <<

 

Pour chacun des fichiers suivant :

 

C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe

C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe

C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe

C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe

C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe

 

...tu fais un clic-droit dessus, et choisis "Envoyer vers" >> "Dossier compressé"

 

Ceci va créer 7 nouveaux fichiers "zippés" (compressés) dans le même dossier "Temp", qui auront l'apparence d'un dossier avec fermeture éclair, portant le même nom que le fichier original, mais avec l'extension .zip au lieu de .exe.

 

Maintenant, lance ton programme de courrier, et envoie ces fichiers .zip (en pièces jointes) à l'adresse que je te fournis par messagerie ;

 

- Comme titre de message : Fichiers de Sandra

 

- Pas nécessaire d'écrire quoique ce soit dans le message, mais colle le lien de ce topic, que voici :

http://forum.zebulon.fr/index.php?showtopic=86316&st=0

Je posterai ici dès que j'aurai les résultats d'analyse. Il se peut que ces fichiers (services) aient été créés par RootkitRevealer, ce qui serait ok ; mais il vaut mieux vérifier, car s'il ne s'agit pas de SysInternals, nous pourrions avoir une piste.

 

Merci, et à bientôt

 

BONJOUR

 

je n'ai pas parlé dans ma réponse, des 7 fichiers que tu as écrits : parce que je ne les ai pas...,

je ne peux donc m'y référer et faire ton opération.

 

il y a plein de choses nouvelles mais je ne peux parler de tout, c'est trop compliqué par écrit.

KERIO installé m'apprend bien des choses sur les attaques, encore faudrait t'il trouvé le log correspondant....

n'est tu pas démotivé ?

 

Je mets ts les dossiers suspects sur CD : énorme !

Des fichiers impossibles à virer aussi, comment faire....TEST TREND MICRO, NICKEL, avec mises à jour et pack 2.

 

La souris ne clique plus deux fois à gauche et plus de son... Ca continue...

 

un dossier "content IE5" que j'ouvre et un dossier d' infos à l'intérieur disparait sous mes yeux : il contenait le travail de la journée, à savoir le récap des scans SPY SWEEPER avec des extraits (relatant les dossiers sensibles ) pour alléger les pages. Comment ce dossier (copie conforme) peut disparaitre sous mes yeux, quand je ne suis pas connectée sur le net ? Comment agit donc ce systéme d'espionnage ?

 

autre chose : double click tente de pénétrer (ou de réinstaller son truc de surveillance), KERIO fait barrage. Je constate qu'il y a une adresse de site renvoyant à un autre où j'ai fait un témoignage sur un tueur en série... Je crois pouvoir en déduire que ce site + double click me surveille au profit de quelqu'un...

Inutile de se fatiguer, monsieur le pirate, la brigade criminelle a déjà mon nom et mon témoignage...

 

Quand je clique sur l'adresse mentionné par le parefeu, une fenêtre d'enregistrement de programme s'affiche : celle de double click...

 

j'ai viré des trucs et je crains des suites dans le fonctionnement du PC : exemple, la page du poste de travail est complétement changée. Quatre lignes l'une en dessous de l'autre au lieu d'une présentation sympa. Comment retrouver cette formule d'affichage ?

 

je n'ai pas encore dormi du tout.

merci

[Mark]

Ok... Tu ne vois pas les fameux fichiers dans le dossier Temp ; as-tu bien modifié les options d'affichage tel que je te l'avais prescrit ? Je vais donc te redemander un nouveau rapport HijackThis!, car je veux constater si les services sont toujours présents, s'ils ont changé de noms, etc... Merci. Je vais faire dodo, et serai de retour dans 6-7 heures environ. J'aimerais bien pouvoir te prescrire un petit 8 heures de sommeil également...

 

Edit : Double Click est un générateur de pubs bien connu, qui est inclus sur bien des pages web. Plutôt énervant, mais pas méchant..

Modifié le 13 février 2006 par Qc001

[SANDRA88]

Ok... Tu ne vois pas les fameux fichiers dans le dossier Temp ; as-tu bien modifié les options d'affichage tel que je te l'avais prescrit ? Je vais donc te redemander un nouveau rapport HijackThis!, car je veux constater si les services sont toujours présents, s'ils ont changé de noms, etc... Merci. Je vais faire dodo, et serai de retour dans 6-7 heures environ. J'aimerais bien pouvoir te prescrire un petit 8 heures de sommeil également...

 

Edit : Double Click est un générateur de pubs bien connu, qui est inclus sur bien des pages web. Plutôt énervant, mais pas méchant..

 

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

 

VOILA POUR TON PETIT DEJEUNER :

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\mHotkey.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\sandra\Mes documents\Monitor.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Antipub\antipub.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\wwSecure.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\AOL 9.0\waol.exe

C:\Program Files\AOL 9.0\shellmon.exe

C:\Program Files\Fichiers communs\Aol\aoltpspd.exe

C:\WINDOWS\system32\slrundll.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BEWVJ - Unknown owner - (no file)

O23 - Service: EX - ewido networks - (no file)

O23 - Service: FWUJDJXPHMW - Sunbelt Software - (no file)

O23 - Service: GBTKWNZAO - Sunbelt Software - (no file)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NUICP - - (no file)

O23 - Service: QHKHLE - Sonic Solutions - (no file)

O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)

O23 - Service: TYNUE - TuneUp Software GmbH - (no file)

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe

[SANDRA88]

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

VOILA POUR TON PETIT DEJEUNER :

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

 

 

EN DIRECT AVEC LE PIRATE, voici ce qui se passe dans TEMP

 

Fichiers suspects dans documents and settings, local settings, TEMP

 

 

DOSSIER IMT61.drd

 

<!ELEMENT glossary (locSection, glossSection*)>

<!ELEMENT locSection (locItem+)>

<!ELEMENT locItem (#PCDATA)>

<!ATTLIST locItem locItemID ID #REQUIRED>

<!ELEMENT glossSection (glossLetter, (empty | entry+))>

<!ELEMENT glossLetter (#PCDATA)>

<!ATTLIST glossLetter bookmark CDATA #REQUIRED>

<!ELEMENT empty EMPTY>

<!ELEMENT entry (term, group, rubytext, scopeDef+)>

<!ATTLIST entry entryID ID #REQUIRED>

<!ELEMENT term (#PCDATA)>

<!ATTLIST term originalTerm CDATA #REQUIRED>

<!ELEMENT group EMPTY>

<!ATTLIST group target CDATA #REQUIRED>

<!ELEMENT rubytext (#PCDATA)>

<!--<!ELEMENT scopeDef (def)+>-->

<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>

<!ELEMENT scope EMPTY>

<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>

<!ELEMENT seeEntry EMPTY>

<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>

<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->

<!ELEMENT def (para)*>

<!ELEMENT seeAlso (#PCDATA)>

<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>

<!ELEMENT para (#PCDATA)>

 

DOSSIER IMT42.dtd

 

<!ELEMENT glossary (locSection, glossSection*)>

<!ELEMENT locSection (locItem+)>

<!ELEMENT locItem (#PCDATA)>

<!ATTLIST locItem locItemID ID #REQUIRED>

<!ELEMENT glossSection (glossLetter, (empty | entry+))>

<!ELEMENT glossLetter (#PCDATA)>

<!ATTLIST glossLetter bookmark CDATA #REQUIRED>

<!ELEMENT empty EMPTY>

<!ELEMENT entry (term, group, rubytext, scopeDef+)>

<!ATTLIST entry entryID ID #REQUIRED>

<!ELEMENT term (#PCDATA)>

<!ATTLIST term originalTerm CDATA #REQUIRED>

<!ELEMENT group EMPTY>

<!ATTLIST group target CDATA #REQUIRED>

<!ELEMENT rubytext (#PCDATA)>

<!--<!ELEMENT scopeDef (def)+>-->

<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>

<!ELEMENT scope EMPTY>

<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>

<!ELEMENT seeEntry EMPTY>

<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>

<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->

<!ELEMENT def (para)*>

<!ELEMENT seeAlso (#PCDATA)>

<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>

<!ELEMENT para (#PCDATA)>

 

18 FICHIERS STYLE : IMT 1A. xml, IMT 60 xml de 2723 ko. Puis soudainement, de 18, je passe à 30 ! ! (je suis connectée).

 

 

 

dossier CBOAACC9.TMP ADOBE READER 1ko

 

+ÁÇY| ,Ø0¨áÛ*~‡ó. ú0§€Ý8'Ù? ›à^ îÉÍLNš÷gýy \oB”­»,6@T î 5-]y€½ Ï ;†‹»

ÒVtê¸þfëÃGƲ+·Ã¾|²“ÈgØß›Ghd78sùŠŒ¸*°?”ñ–a

 

 

____dossier PMShared (ouvert : quelques carrés alignés), en copier coller ca donne le trait ici à gauche… (codage ?)

 

 

adobe reader des dossiers qui ne s’ouvrent pas DFC7CA. Temp, DFC.768 temp,DFD860 temp, etc.

 

 

« fichier enregistrement automatique de dossier IMT61.asd », fichier asd : ce fichier refuse de s’ouvrir, d’aller à la poubelle. Il vient de se créer et doit être le compte rendu de ce que je fais ici (déjà eu cela) en direct !

extraits du dossier :

____

+ Á Ç Y | , Ø 0 ¨ á Û * ~ ! ó . ú 0 § Ý 8 ' Ù ? : à ^ î É Í L N

 

a ÷ g ý y \ o B ­ » , 6 @ T î 5 - ] y ½ Ï ; 9 »

Ò V t ê ¸ þ f ë Ã G

 

Æ ² + · Ã ¾ | ² È g Ø ß : G h d 7 8 s ù ` R ¸ * ° ? ñ a

 

 

 

x ð

 

h à X Ð H À 8 ° ( ? € ø d à X Ð <

¸

0

¨

ž

Ï

ÿÿÿÿ € ž

ž

ÿÿÿÿ ž

€

€ Ï

Ï

ÿÿÿÿ Ï

 

 

€

x ‰ ( ? ÿÿÿÿÿÿ°ÿ Ýk¢&. i l v i e n t d e s e c r é e r e t d o i t

 

@ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r

 

e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t

 

e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n

 

d i r e c t !

 

IL CONTIENT 63 PAGES ET VIENT DE DISPARAITRE SOUS MES YEUX DU DOSSIER TEMP (récupéré par le pirate probablement, je suis connectée)

 

Un nouveau dossier se crée à l’instant, en direct :

Extraits de ce dossier :

~

Ï

ÿ ÿ ÿ ÿ ~

~

ÿ ÿ ÿ ÿ ~

 

Ï

Ï

ÿ ÿ ÿ ÿ Ï

 

 

 

x 0 ( ? ÿ ÿ ÿ ÿ ÿ ÿ ° ÿ Ý k ¢ & . i l v i e n t d e s e c r é e r e t d o i t

 

& . F V n v Ž ž ¢ Z È Œ P ý ý ý ý ý ý ý ý ý ý ý ý ý ý ý @ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r

 

e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t

 

e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n

 

d i r e c t ! x ð h à x0‡ ( n ÿÿÿÿÿÿŒô èk¢&ÿÿÿÿ ]

p ÿÿÿÿ € ]

]

ÿÿÿÿ

 

]

]

€ p p ÿÿÿÿ p p x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ t t Äô( t w Äô( u u € t t Äô( t t x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ u u Äô( u } Äô( v v € u u Äô( u u x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ Ü <h <h Äô( <h i Äô( <h <h € <h <h Äô( <h <h x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ <h <h Äô( € <h <h Äô( <h <h € <h <h

 

Äô( <h <h

 

Ce fichier établi « en direct » disparaît et est remplacé aussitôt par un autre qui enregistre tout ce que je fais !

 

Je passe CLEANER, reste seulement 6 fichiers dans le dossier TEMP

 

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\mHotkey.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\sandra\Mes documents\Monitor.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Antipub\antipub.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\wwSecure.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\AOL 9.0\waol.exe

C:\Program Files\AOL 9.0\shellmon.exe

C:\Program Files\Fichiers communs\Aol\aoltpspd.exe

C:\WINDOWS\system32\slrundll.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BEWVJ - Unknown owner - (no file)

O23 - Service: EX - ewido networks - (no file)

O23 - Service: FWUJDJXPHMW - Sunbelt Software - (no file)

O23 - Service: GBTKWNZAO - Sunbelt Software - (no file)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NUICP - - (no file)

O23 - Service: QHKHLE - Sonic Solutions - (no file)

O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)

O23 - Service: TYNUE - TuneUp Software GmbH - (no file)

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe

 

 

EN DIRECT AVEC LE PIRATE, voici ce qui se passe dans TEMP

 

Fichiers suspects dans documents and settings, local settings, TEMP

 

 

DOSSIER IMT61.drd

 

<!ELEMENT glossary (locSection, glossSection*)>

<!ELEMENT locSection (locItem+)>

<!ELEMENT locItem (#PCDATA)>

<!ATTLIST locItem locItemID ID #REQUIRED>

<!ELEMENT glossSection (glossLetter, (empty | entry+))>

<!ELEMENT glossLetter (#PCDATA)>

<!ATTLIST glossLetter bookmark CDATA #REQUIRED>

<!ELEMENT empty EMPTY>

<!ELEMENT entry (term, group, rubytext, scopeDef+)>

<!ATTLIST entry entryID ID #REQUIRED>

<!ELEMENT term (#PCDATA)>

<!ATTLIST term originalTerm CDATA #REQUIRED>

<!ELEMENT group EMPTY>

<!ATTLIST group target CDATA #REQUIRED>

<!ELEMENT rubytext (#PCDATA)>

<!--<!ELEMENT scopeDef (def)+>-->

<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>

<!ELEMENT scope EMPTY>

<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>

<!ELEMENT seeEntry EMPTY>

<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>

<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->

<!ELEMENT def (para)*>

<!ELEMENT seeAlso (#PCDATA)>

<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>

<!ELEMENT para (#PCDATA)>

 

DOSSIER IMT42.dtd

 

<!ELEMENT glossary (locSection, glossSection*)>

<!ELEMENT locSection (locItem+)>

<!ELEMENT locItem (#PCDATA)>

<!ATTLIST locItem locItemID ID #REQUIRED>

<!ELEMENT glossSection (glossLetter, (empty | entry+))>

<!ELEMENT glossLetter (#PCDATA)>

<!ATTLIST glossLetter bookmark CDATA #REQUIRED>

<!ELEMENT empty EMPTY>

<!ELEMENT entry (term, group, rubytext, scopeDef+)>

<!ATTLIST entry entryID ID #REQUIRED>

<!ELEMENT term (#PCDATA)>

<!ATTLIST term originalTerm CDATA #REQUIRED>

<!ELEMENT group EMPTY>

<!ATTLIST group target CDATA #REQUIRED>

<!ELEMENT rubytext (#PCDATA)>

<!--<!ELEMENT scopeDef (def)+>-->

<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>

<!ELEMENT scope EMPTY>

<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>

<!ELEMENT seeEntry EMPTY>

<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>

<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->

<!ELEMENT def (para)*>

<!ELEMENT seeAlso (#PCDATA)>

<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>

<!ELEMENT para (#PCDATA)>

 

18 FICHIERS STYLE : IMT 1A. xml, IMT 60 xml de 2723 ko. Puis soudainement, de 18, je passe à 30 ! ! (je suis connectée).

 

 

 

dossier CBOAACC9.TMP ADOBE READER 1ko

 

+ÁÇY| ,Ø0¨áÛ*~‡ó. ú0§€Ý8'Ù? ›à^ îÉÍLNš÷gýy \oB”­»,6@T î 5-]y€½ Ï ;†‹»

ÒVtê¸þfëÃGƲ+·Ã¾|²“ÈgØß›Ghd78sùŠŒ¸*°?”ñ–a

 

 

____dossier PMShared (ouvert : quelques carrés alignés), en copier coller ca donne le trait ici à gauche… (codage ?)

 

 

adobe reader des dossiers qui ne s’ouvrent pas DFC7CA. Temp, DFC.768 temp,DFD860 temp, etc.

 

 

« fichier enregistrement automatique de dossier IMT61.asd », fichier asd : ce fichier refuse de s’ouvrir, d’aller à la poubelle. Il vient de se créer et doit être le compte rendu de ce que je fais ici (déjà eu cela) en direct !

extraits du dossier :

____

+ Á Ç Y | , Ø 0 ¨ á Û * ~ ! ó . ú 0 § Ý 8 ' Ù ? : à ^ î É Í L N

 

a ÷ g ý y \ o B ­ » , 6 @ T î 5 - ] y ½ Ï ; 9 »

Ò V t ê ¸ þ f ë Ã G

 

Æ ² + · Ã ¾ | ² È g Ø ß : G h d 7 8 s ù ` R ¸ * ° ? ñ a

 

 

 

x ð

 

h à X Ð H À 8 ° ( ? € ø d à X Ð <

¸

0

¨

ž

Ï

ÿÿÿÿ € ž

ž

ÿÿÿÿ ž

€

€ Ï

Ï

ÿÿÿÿ Ï

 

 

€

x ‰ ( ? ÿÿÿÿÿÿ°ÿ Ýk¢&. i l v i e n t d e s e c r é e r e t d o i t

 

@ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r

 

e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t

 

e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n

 

d i r e c t !

 

IL CONTIENT 63 PAGES ET VIENT DE DISPARAITRE SOUS MES YEUX DU DOSSIER TEMP (récupéré par le pirate probablement, je suis connectée)

 

Un nouveau dossier se crée à l’instant, en direct :

Extraits de ce dossier :

~

Ï

ÿ ÿ ÿ ÿ ~

~

ÿ ÿ ÿ ÿ ~

 

Ï

Ï

ÿ ÿ ÿ ÿ Ï

 

 

 

x 0 ( ? ÿ ÿ ÿ ÿ ÿ ÿ ° ÿ Ý k ¢ & . i l v i e n t d e s e c r é e r e t d o i t

 

& . F V n v Ž ž ¢ Z È Œ P ý ý ý ý ý ý ý ý ý ý ý ý ý ý ý @ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r

 

e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t

 

e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n

 

d i r e c t ! x ð h à x0‡ ( n ÿÿÿÿÿÿŒô èk¢&ÿÿÿÿ ]

p ÿÿÿÿ € ]

]

ÿÿÿÿ

 

]

]

€ p p ÿÿÿÿ p p x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ t t Äô( t w Äô( u u € t t Äô( t t x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ u u Äô( u } Äô( v v € u u Äô( u u x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ Ü <h <h Äô( <h i Äô( <h <h € <h <h Äô( <h <h x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ <h <h Äô( € <h <h Äô( <h <h € <h <h

 

Äô( <h <h

 

Ce fichier établi « en direct » disparaît et est remplacé aussitôt par un autre qui enregistre tout ce que je fais !

 

Je passe CLEANER, reste seulement 6 fichiers dans le dossier TEMP

[Mark]

Bonjour Sandra

 

Ok, les services avec fichiers dans Temp ont disparu, donc il s'agissait probablement de services temporaires créés par RootkitRevealer - pas inquiétants ceux-là.

 

Petite explication des fichiers .tmp que tu retrouves dans le dossier Temp :

 

- Ce sont des fichiers créés par les applications qui tournent sur nos ordis en utilisation normale, et ne peuvent être "lus" normalement. Par exemple, mon logiciel d'imprimante s'en ouvre quelques uns à chaque fois que je démarre la bécane.

 

- Lorsqu'on tente "d'ouvrir" ces fichiers, Windows ne peut pas, et nous demande de choisir un programme qui pourrait nous permettre de les lire. Une liste de programmes s'affiche, et tu peux choisir : Word, Bloc Notes, Adobe Reader (Acrobat), etc... Si tu as déjà choisi Acrobat et que tu as coché "Toujours utiliser ce programme pour ouvrir ce type de fichier", ben ce sera Adobe qui se lancera à chaque fois que tu tentes d'ouvrir un fichier .tmp, alors qu'il ne s'agit pas du tout d'un fichier Acrobat..

 

- Exemple : sur ma bécane, présentement, j'ai quelques fichiers .tmp bizarres, et voici un aperçu du contenu de l'un d'eux (~DF5E2E.tmp) quand je l'ouvre avec le Bloc Notes :

ÐÏà¡±á ˆ ¨ ¦ ¨ N# 00 ¨ ö3 00 ¨% žB ( @ ÿÿÿ $Wÿ eOI Öù ¨ {±ÿ #}– w{» ‡× ;>© ê P‚ù J´ %Yg HZÑ F95 ²â "± <ÿ <× DQT Æ -MÞ OU° VuÞ d–ÿ Akñ nn¦ *ª qÉ hƒÒ 8er

0ê #.Ã ?£ Dë UeÁ -Ç Âñ MFD ]¼ 5fÿ Ø © W8- .Vî '1² ¸ vÙ n£ý ‹Ç Efâ Gÿ •ß ,Ø ®Ó Gwÿ Áá ROO %è !£ MM¤ Ú )¸ Z?ü Y@8

£ #Nì tt±

­ cxÏ É Éû `G? Íì @ó LXÆ ·í 7eñ 4Yå q‡Í 9ê #w? Gyõ 2OÖ

z? ½í ã ¿ Ï BÐ ° à U…ÿ &­ À ’Ë &Ë ƒÞ Eqô M_É JIJ ã /î oÐ »Ý Âø Ïþ s§ÿ ¤ Ò +è V<4 Ü ¦ ¸ã ³è Öÿ

 

...illisible, mais c'est normal, car ce type de fichier n'est utilisé que par le système. J'ai lancé Adobe Reader en même temps, juste pour voir, et j'ai vu une bonne douzaine de fichiers temporaires se créer (dans le dossier Temp), puis disparaître rapidement dès que j'ai fermé Adobe Reader.

 

Pour ce qui est de ces fichiers non lisibles, et ceux qui apparaîssent et disparaîssent rapidement, je crois que ce sont des fichiers temporaires "normaux". Si tu veux valider mon hypothèse, alors va regarder dans le dossier Temp, mais ferme tous les programmes en cours, et déconnecte-toi de l'internet ; il ne devrait y avoir aucune activité. Même chose quand tu scannes chez Trend ou avec RootkitRevealer : ferme tout et n'utilise aucun programme durant les scans, sinon les rapports seront brouillés.

 

Comme dernière internvention de ma part, je vais te désactiver ces services qui n'affichent pas de fichiers. Je dois filer pour quelques heures, donc suite très bientôt.

 

@ + tard !

Modifié le 13 février 2006 par Qc001

[SANDRA88]

Bonjour Sandra

 

Ok, les services avec fichiers dans Temp ont disparu, donc il s'agissait probablement de services temporaires créés par RootkitRevealer - pas inquiétants ceux-là.

 

Petite explication des fichiers .tmp que tu retrouves dans le dossier Temp :

 

- Ce sont des fichiers créés par les applications qui tournent sur nos ordis en utilisation normale, et ne peuvent être "lus" normalement. Par exemple, mon logiciel d'imprimante s'en ouvre quelques uns à chaque fois que je démarre la bécane.

 

- Lorsqu'on tente "d'ouvrir" ces fichiers, Windows ne peut pas, et nous demande de choisir un programme qui pourrait nous permettre de les lire. Une liste de programmes s'affiche, et tu peux choisir : Word, Bloc Notes, Adobe Reader (Acrobat), etc... Si tu as déjà choisi Acrobat et que tu as coché "Toujours utiliser ce programme pour ouvrir ce type de fichier", ben ce sera Adobe qui se lancera à chaque fois que tu tentes d'ouvrir un fichier .tmp, alors qu'il ne s'agit pas du tout d'un fichier Acrobat..

 

- Exemple : sur ma bécane, présentement, j'ai quelques fichiers .tmp bizarres, et voici un aperçu du contenu de l'un d'eux (~DF5E2E.tmp) quand je l'ouvre avec le Bloc Notes :

...illisible, mais c'est normal, car ce type de fichier n'est utilisé que par le système. J'ai lancé Adobe Reader en même temps, juste pour voir, et j'ai vu une bonne douzaine de fichiers temporaires se créer (dans le dossier Temp), puis disparaître rapidement dès que j'ai fermé Adobe Reader.

 

Pour ce qui est de ces fichiers non lisibles, et ceux qui apparaîssent et disparaîssent rapidement, je crois que ce sont des fichiers temporaires "normaux". Si tu veux valider mon hypothèse, alors va regarder dans le dossier Temp, mais ferme tous les programmes en cours, et déconnecte-toi de l'internet ; il ne devrait y avoir aucune activité. Même chose quand tu scannes chez Trend ou avec RootkitRevealer : ferme tout et n'utilise aucun programme durant les scans, sinon les rapports seront brouillés.

 

Comme dernière internvention de ma part, je vais te désactiver ces services qui n'affichent pas de fichiers. Je dois filer pour quelques heures, donc suite très bientôt.

 

@ + tard !

 

Je pense que nous allons en rester là : insoluble !

 

Non, je n'ai pas forcément de trucs ouverts pour des créations de fichiers..

 

pour double click, il est plus dangereux que tu sembles ne le dire (lire en dessous)

 

J'ai des dysfonctionnement nouveaux qui m'empêchent de travailler sur mes photos d'écran (pour envoyer au Procureur...). Je dois recharger adobe photoshop tous les deux jours ! Jamais eu cela avant.

Je bats en retraite : nous avons tous perdu notre temps, avec des rapports où il n'y a rien à trouver, il faut voir les choses pour les analyser. L'écrire est difficile à gérer, d'autant que je ne suis pas experte en informatique. Je vous signale aussi que j'accéde de plus en plus difficilement à cette page..., comme pour les autres sites.

 

finalement, tout cela est normal si j'en crois mes derniéres lectures sur les logiciels espions. Je vous envoie un extrait de quelques articles qui relatent en partie, ce que je subis et endure .

merci pour votre participation à tous et le temps que vous avez consacré à m'aider, je vous dirai la suite dans quelques temps car je vais garder le disque dur pour analyse, et le remplacer.

 

Les key loggers

 

 

Magic Lantern

 

Bientôt le FBI pourra pénétrer dans votre ordinateur

Orwell avait vu juste. Bientôt, le FBI pourra pénétrer — en toute impunité — dans l'intimité de votre ordinateur pour y consulter tout ce qu'il contient... à distance et sans laisser de trace.

Le virus/ver — nom de code: Magic Lantern — est basé sur une technique de surveillance appelée espion de clavier (keylogger). Elle permet de détecter chacune des touches tapées par l'utilisateur. Son opérateur enregistre la séquence de tout mot de passe et décrypte ainsi n'importe quel encodage destiné à brouiller un message.

Le logiciel d'espionnage utilise Internet pour s'introduire dans la machine d'un suspect et renvoyer mots de passe, textes et adresses des courriels (même ceux qui n'ont pas été expédiés) et l'historique des sites visités. Plus encore, il s'appropie tout document du disque dur, même ceux qui ont été effacés. Bref, une fouille en règle.

 

C'est une véritable « intrusion dans la vie privée, qui n'est pas soumise à un contrôle parlementaire ou judiciaire pour permettre aux citoyens de se défendre », s'inquiète Jacques Tousignant, vice-président de la Ligue des droits et libertés (voir autre texte en page A 5).

Comment se prémunir d'une telle intrusion, abusive si on n'a rien à se reprocher ? Pour l'instant, impossible. Pire encore, l'effraction pourrait ne laisser aucune trace. Certaines compagnies qui développent des antivirus comme Symantec ont annoncé qu'elles pourraient prendre des dispositions pour qu'elle soit indétectable, par Norton dans ce cas précis.

 

Techniquement, « Magic Lantern » est une petite merveille de technologie. Virus de la famille des chevaux de Troie et de l’espèce des keyloggers, il utilise le courrier électronique pour s’installer sur un ordinateur.

Ensuite, il surveille et garde en mémoire les lettres ou les chiffres tapés sur le clavier par l’utilisateur de la machine. Au final, le mouchard extrait en toute discrétion les informations qu’il a recueillies.

Utilisé par les pirates informatiques ou pour de l’espionnage économique, ce type de logiciel a été développé par le FBI afin de faciliter le travail des enquêteurs désirant déchiffrer des documents dont le cryptage est trop difficile à casser.

«Magic Lantern» leur permet d’intercepter les mots de passe et les clefs utilisées pour crypter les messages

 

 

extraits de lecture :

 

Votre agresseur pourra être un hacker, une entreprise concurrente, un opérateur si vous touchez au domaine des télécoms, ou un gus des RG si vous touchez à des dossiers sensibles. En ce qui me concerne, j'ai réglé le problème dès le départ. Un ordinateur est dédié à Internet et ne comprend aucune information confidentielle. Un autre est dédié à tout ce qui est confidentiel, et n'ai jamais connecté sur Internet ou sur l'autre ordinateur par une liaison USB ou un lien Ethernet. Pour augmenter la sécurité, les disques durs qui ont des données sensibles sont mis à l'abris à chaque fois que je m'absente. Il faudrait être en effet totalement inconscient pour ne pas pas adopter ce type de mesure. Tous les systèmes sont actuellement espionnés. On sait que Windows par exemple est une véritable passoire.

 

 

Fichiers log, dat et autres à usage général:

A signaler la présence de nombreux autres mouchards dont il est impossible ici de faire l'inventaire pour tous. Il faut savoir que tous les logiciels ont un fichier "log" ou "dat" qui permettent d'enregistrer toute l'activité de l'utilisation du logiciel, quand ce n'est pas carrément celui de l'ordinateur. On peut y trouver les heures de connexion, voire les pages destinations, quand ce n'est pas le contenu des émails que vous avez reçu ou émis.

Pour connaître la liste de vos dossiers, il suffit d'utiliser à distance votre explorateur pour visionner tout le contenu de vos disques durs. Pour explorer les disques durs en toute impunité et jouer le rôle de mouchard, rien ne vaut les antivirus ou défragmenteurs de disques qui lisent tout le disque, mais peuvent être chargé de mettre certaines informations de côté pour les transmettre à votre prochaine connexion Internet à une adresse spécifiée, et le tout à votre insu bien évidemment.

 

*NOTE: Il faut savoir que des petits malins, ou services officiels ou d'espionnage, peuvent contourner et désactiver le firewall de votre machine. Ils peuvent aussi effacer leurs traces des fichiers "LOG".

 

L'objectif des key loggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passes.

Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.

 

En général, les Key Loggers se lancent directement au démarrage de la machine hôte. Une fois le key loggers lancé, il

enregistre au fur et à mesure tout ce qui est réalisé. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le key logger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés.

Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet pas évident de comprendre l'extrait crypté d'un fichier log comme :

"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"

 

L'option de planification de l'activité du Key Logger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le Key Logger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le Key Logger s'intalle généralement n'est sollicitée qu'à des moments bien précis.

Les Key Loggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.

En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.

Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur !

 

Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus système), écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent également être matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise clavier de l'ordinateur et le clavier

Afin d'éviter leur suppression, certains spywares n'hésitent pas à masquer leur processus pour ne pas qu'il apparaisse dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !

. Bien que certaines applications l'identifient, les utilisateurs n'y prêtent pas vraiment attention en pensant que c'est comme si on partageait des fichiers

 

 

 

DOUBLE CLICK

 

Les pratiques de Double Click remises en cause par les associations américaines de protection de la vie privée 06/03/2000

 

L’agence publicitaire Double Click, premier fournisseur de bannières publicitaires cliquables sur le web est aujourd’hui dans le collimateur des associations américaines soucieuses de faire respecter le droit au respect de la vie privée sur internet. A la suite de l’EPIC, plusieurs associations américaines ( CDT, ACLU, PRC ) ont ainsi saisi la Federal Trade Commission ( Répression des Fraudes Américaine) pour qu’une enquête soit diligentée sur les pratiques de cette société. Double click est accusée de collecter toutes sortes de données personnelles à l’insu des internautes, y compris les plus sensibles. Selon Richard Smith, expert en informatique, il ne serait même pas nécessaire de cliquer sur un bandeau publicitaire pour que des informations soient envoyées au serveur de DoubleClick . Le simple fait de consulter une page étant suffisant pour se retrouver dans ses fichiers

 

L'espion qui venait de Microsoft...

 

Pour Win98 / Win98SE / WinME / Win2000 / WinXP

Peut être le savez-vous déjà, mais depuis Windows 98 et ce dès que vous êtes connectés sur un site de Microsoft, sachez que vous êtes suivis ! Voici comment virer ce mouchard.

Erreur! Nom du fichier non spécifié.

Microsoft a équipé ses différentes versions de Windows (depuis la version 98 ) d'un contrôle ActiveX qui lui permet (et d'autres sites s'en servent !) de lire votre HWID (Hardware ID) ainsi que le MSID (Microsoft ID) qui peuvent (ou sont utilisés ?!) par Microsoft pour connaître vos mouvements sur son site.

[SANDRA88]

Je pense que nous allons en rester là : insoluble !

 

Non, je n'ai pas forcément de trucs ouverts pour des créations de fichiers..

 

pour double click, il est plus dangereux que tu sembles ne le dire (lire en dessous)

 

J'ai des dysfonctionnement nouveaux qui m'empêchent de travailler sur mes photos d'écran (pour envoyer au Procureur...). Je dois recharger adobe photoshop tous les deux jours ! Jamais eu cela avant.

Je bats en retraite : nous avons tous perdu notre temps, avec des rapports où il n'y a rien à trouver, il faut voir les choses pour les analyser. L'écrire est difficile à gérer, d'autant que je ne suis pas experte en informatique. Je vous signale aussi que j'accéde de plus en plus difficilement à cette page..., comme pour les autres sites.

 

finalement, tout cela est normal si j'en crois mes derniéres lectures sur les logiciels espions. Je vous envoie un extrait de quelques articles qui relatent en partie, ce que je subis et endure .

merci pour votre participation à tous et le temps que vous avez consacré à m'aider, je vous dirai la suite dans quelques temps car je vais garder le disque dur pour analyse, et le remplacer.

 

Les key loggers

Magic Lantern

 

Bientôt le FBI pourra pénétrer dans votre ordinateur

Orwell avait vu juste. Bientôt, le FBI pourra pénétrer — en toute impunité — dans l'intimité de votre ordinateur pour y consulter tout ce qu'il contient... à distance et sans laisser de trace.

Le virus/ver — nom de code: Magic Lantern — est basé sur une technique de surveillance appelée espion de clavier (keylogger). Elle permet de détecter chacune des touches tapées par l'utilisateur. Son opérateur enregistre la séquence de tout mot de passe et décrypte ainsi n'importe quel encodage destiné à brouiller un message.

Le logiciel d'espionnage utilise Internet pour s'introduire dans la machine d'un suspect et renvoyer mots de passe, textes et adresses des courriels (même ceux qui n'ont pas été expédiés) et l'historique des sites visités. Plus encore, il s'appropie tout document du disque dur, même ceux qui ont été effacés. Bref, une fouille en règle.

 

C'est une véritable « intrusion dans la vie privée, qui n'est pas soumise à un contrôle parlementaire ou judiciaire pour permettre aux citoyens de se défendre », s'inquiète Jacques Tousignant, vice-président de la Ligue des droits et libertés (voir autre texte en page A 5).

Comment se prémunir d'une telle intrusion, abusive si on n'a rien à se reprocher ? Pour l'instant, impossible. Pire encore, l'effraction pourrait ne laisser aucune trace. Certaines compagnies qui développent des antivirus comme Symantec ont annoncé qu'elles pourraient prendre des dispositions pour qu'elle soit indétectable, par Norton dans ce cas précis.

 

Techniquement, « Magic Lantern » est une petite merveille de technologie. Virus de la famille des chevaux de Troie et de l’espèce des keyloggers, il utilise le courrier électronique pour s’installer sur un ordinateur.

Ensuite, il surveille et garde en mémoire les lettres ou les chiffres tapés sur le clavier par l’utilisateur de la machine. Au final, le mouchard extrait en toute discrétion les informations qu’il a recueillies.

Utilisé par les pirates informatiques ou pour de l’espionnage économique, ce type de logiciel a été développé par le FBI afin de faciliter le travail des enquêteurs désirant déchiffrer des documents dont le cryptage est trop difficile à casser.

«Magic Lantern» leur permet d’intercepter les mots de passe et les clefs utilisées pour crypter les messages

extraits de lecture :

 

Votre agresseur pourra être un hacker, une entreprise concurrente, un opérateur si vous touchez au domaine des télécoms, ou un gus des RG si vous touchez à des dossiers sensibles. En ce qui me concerne, j'ai réglé le problème dès le départ. Un ordinateur est dédié à Internet et ne comprend aucune information confidentielle. Un autre est dédié à tout ce qui est confidentiel, et n'ai jamais connecté sur Internet ou sur l'autre ordinateur par une liaison USB ou un lien Ethernet. Pour augmenter la sécurité, les disques durs qui ont des données sensibles sont mis à l'abris à chaque fois que je m'absente. Il faudrait être en effet totalement inconscient pour ne pas pas adopter ce type de mesure. Tous les systèmes sont actuellement espionnés. On sait que Windows par exemple est une véritable passoire.

Fichiers log, dat et autres à usage général:

A signaler la présence de nombreux autres mouchards dont il est impossible ici de faire l'inventaire pour tous. Il faut savoir que tous les logiciels ont un fichier "log" ou "dat" qui permettent d'enregistrer toute l'activité de l'utilisation du logiciel, quand ce n'est pas carrément celui de l'ordinateur. On peut y trouver les heures de connexion, voire les pages destinations, quand ce n'est pas le contenu des émails que vous avez reçu ou émis.

Pour connaître la liste de vos dossiers, il suffit d'utiliser à distance votre explorateur pour visionner tout le contenu de vos disques durs. Pour explorer les disques durs en toute impunité et jouer le rôle de mouchard, rien ne vaut les antivirus ou défragmenteurs de disques qui lisent tout le disque, mais peuvent être chargé de mettre certaines informations de côté pour les transmettre à votre prochaine connexion Internet à une adresse spécifiée, et le tout à votre insu bien évidemment.

 

*NOTE: Il faut savoir que des petits malins, ou services officiels ou d'espionnage, peuvent contourner et désactiver le firewall de votre machine. Ils peuvent aussi effacer leurs traces des fichiers "LOG".

 

L'objectif des key loggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passes.

Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.

 

En général, les Key Loggers se lancent directement au démarrage de la machine hôte. Une fois le key loggers lancé, il

enregistre au fur et à mesure tout ce qui est réalisé. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le key logger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés.

Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet pas évident de comprendre l'extrait crypté d'un fichier log comme :

"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"

 

L'option de planification de l'activité du Key Logger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le Key Logger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le Key Logger s'intalle généralement n'est sollicitée qu'à des moments bien précis.

Les Key Loggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.

En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.

Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur !

 

Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus système), écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent également être matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise clavier de l'ordinateur et le clavier

Afin d'éviter leur suppression, certains spywares n'hésitent pas à masquer leur processus pour ne pas qu'il apparaisse dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !

. Bien que certaines applications l'identifient, les utilisateurs n'y prêtent pas vraiment attention en pensant que c'est comme si on partageait des fichiers

DOUBLE CLICK

 

Les pratiques de Double Click remises en cause par les associations américaines de protection de la vie privée 06/03/2000

 

L’agence publicitaire Double Click, premier fournisseur de bannières publicitaires cliquables sur le web est aujourd’hui dans le collimateur des associations américaines soucieuses de faire respecter le droit au respect de la vie privée sur internet. A la suite de l’EPIC, plusieurs associations américaines ( CDT, ACLU, PRC ) ont ainsi saisi la Federal Trade Commission ( Répression des Fraudes Américaine) pour qu’une enquête soit diligentée sur les pratiques de cette société. Double click est accusée de collecter toutes sortes de données personnelles à l’insu des internautes, y compris les plus sensibles. Selon Richard Smith, expert en informatique, il ne serait même pas nécessaire de cliquer sur un bandeau publicitaire pour que des informations soient envoyées au serveur de DoubleClick . Le simple fait de consulter une page étant suffisant pour se retrouver dans ses fichiers

 

L'espion qui venait de Microsoft...

 

Pour Win98 / Win98SE / WinME / Win2000 / WinXP

Peut être le savez-vous déjà, mais depuis Windows 98 et ce dès que vous êtes connectés sur un site de Microsoft, sachez que vous êtes suivis ! Voici comment virer ce mouchard.

Erreur! Nom du fichier non spécifié.

Microsoft a équipé ses différentes versions de Windows (depuis la version 98 ) d'un contrôle ActiveX qui lui permet (et d'autres sites s'en servent !) de lire votre HWID (Hardware ID) ainsi que le MSID (Microsoft ID) qui peuvent (ou sont utilisés ?!) par Microsoft pour connaître vos mouvements sur son site.