Supprimer Keylogger avec FRST64

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

manonlb
Messages : 3
Inscription : 23 nov. 2021 20:38

Supprimer Keylogger avec FRST64

par manonlb »

Bonjour/Bonsoir,

J'ai été victime d'un KeyLogger et depuis, je ne suis pas à l'aise avec la sécurité de mon PC ...
J'ai réinstallé windows et fait de multiples analyses mais j'ai encore des soucis qui me font croire que tout n'est pas rentré dans l'ordre.
J'ai mon explorateur windows qui ne fonctionne pas, j'ai d'énormes lenteurs sur mes navigateurs internet (pages blanches etc) alors que ma connexion est très bonne et mon PC très récent et rapide également.

J'envoi une bouteille à la mer mais quelqu'un pourrait-il m'aider? :(

Mille merci PDT_014

PS : voici le lien de mon FRST : https://pjjoint.malekal.com/files.php?i ... 1s10p7y5t8
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
Parisien_entraide
Messages : 11222
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Keylogger et analyse FRST64

par Parisien_entraide »

Bonsoir,

Malekal ou Angélique te répondront pour la partie infection

Il y a une écoute sur le port 86, donc il y a des sites comme google.com etc sur lesquels tu ne peux pas te connecter

AutoConfigURL: [HKLM] => hxxp://127.0.0.1:86/
AutoConfigURL: [HKLM-x32] => hxxp://127.0.0.1:86/
AutoConfigURL: [{EF9776F4-79FD-4C3D-9472-3CDC5B1052D2}] => hxxp://127.0.0.1:86/


Ce qui est connu :

"Toutes les connexions à www.google.*, *search.yahoo.com, cse.google.* sont transmises par proxy, servant de faux certificats SSL, qui sont émis par "DigiCert Global Root G1A" qui est également un faux certificat racine que le virus installe et active sur l'ordinateur.
Il est lancé par le planificateur de tâches lors de la connexion de l'utilisateur. "


Tu peux savoir lorsque le proxy est actif ce qui passe par le port 86

Il suffit de lancer une commande powershell en tant qu’administrateur, puis de taper la commande: (tu peux faire un copier coller

Code : Tout sélectionner

Process -Id (Get-NetTCPConnection -LocalPort 86).OwningProcess 


Si je suis l'ordre chronologique :

- Tu as été "victime" d'un keylogger.
- Tu as réinstallé windows (une vraie réinstallation, pas une réparation ?)

Tu avais éradiqué l'infection et réinitialisé les login/mot de passe de ton courrier, sites, jeux ?

Mais tu penses que rien n'est réglé. (ce qui est le cas vu le proxy)

Est ce que les suites Adobe photoshop et Autodesk sont légales ? (je pose la question car vu que ces applis sont vérolées sur le net, il y a souvent cette histoire de proxy qui vient avec l'infection)
Les jeux son tégaux ? (vu que tu utilisais utorrent)

En fait tu n'es pas victime puisque le windows a été (normalement) réinstallé, c'est parce que tu as installé un programme ou jeu vérolé
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
manonlb
Messages : 3
Inscription : 23 nov. 2021 20:38

Re: Keylogger et analyse FRST64

par manonlb »

Merci beaucoup pour ce retour !
J'ai été victime oui, par mon ex petit ami qui m'a avoué avoir déposé ça sur mon pc . J'ai réinstallé Windows complètement oui, pas une simple réparation.
Illustrator est craqué, pour Autodesk tout est légal. Je dois avoir un seul jeu craqué, sinon tout est ok.

Je vais faire ce que tu m'as dit pour le proxy. Penses-tu que je devrais de nouveau réinitialiser Windows complétement ? Cette histoire d'explorateur qui ne fonctionne pas c'est ennuyeux.

De plus, est ce que cette histoire de proxy met en danger mes mots de passe ? Dois-je en changer ?

Merci encore, j'attend le retour de Malekal ou d'Angélique pour la partie infection 🤗
Avatar de l’utilisateur
Parisien_entraide
Messages : 11222
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Keylogger et analyse FRST64

par Parisien_entraide »

Bonjour,

Ta phrase "sinon tout est ok" est invalidée par ce qui précède et que j'ai mis en rouge et qui est probablement la cause de tes problèmes

Que tu réinitialises ou pas Windows ne changera rien si tu conserves ou réinstalles ces programmes crackés
viewtopic.php?f=33&t=893

Ne fais rien
pour le proxy du moins pour l'enlever. Malekal ou Angélique te fourniront un "fix" a appliquer (la commande powershell par contre n'a pas d'incidence et si situe en dehors de la désinfection)

Le proxy détourne tes accès, donc OUI les login et mot de passe peuvent être volés
Cela ne sert à rien pour l'instant de les changer tant que tu n'es pas désinfectée

Au delà de cela tu n'as pas de protection sur tes navigateurs (mais ils n'empêchent pas l'usage des cracks) autres que des Adblock qui sont soient suspects soient ne font pas vraiment le boulot (sur le navigateur Chrome)
On a l'impression qu'il y a eu un "nettoyage" de ce PC ou une mauvaise réinstallation

Par ex utorrent n'apparait pas dans les progs installés mais figure dans le pare feu
Dans Edge on trouve une ligne pourvoyeuses de "'PUP's" dont le fichier n'existe plus
-> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]

Après désinfection il te faudra de toutes les façons virer les programmes et jeux crackés, et mettre en place un peu plus de sécurité (c'est gratuit et l'impact est souvent nul sur les performances et conso mémoire)

https://www.malekal.com/securiser-pc-windows-10/

https://www.malekal.com/comment-securis ... s-dossier/
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
angelique
Messages : 31330
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Keylogger et analyse FRST64

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
manonlb
Messages : 3
Inscription : 23 nov. 2021 20:38

Re: Keylogger et analyse FRST64

par manonlb »

Bonjour,
merci pour votre retour.
Voici le contenu du fichoier Fixlog suite au fix :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-11-2021
Exécuté par Manon (26-11-2021 09:29:52) Run:1
Exécuté depuis C:\Users\Manon\Downloads
Profils chargés: Manon & Administrateur
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {1A16D03C-4315-4340-8394-915F6FA5B758} - System32\Tasks\Optimize Thumbnail Cache => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\isupdate.exe [61104 2020-09-26] (Flexera Software LLC -> InstallShield®) [Fichier non signé] <==== ATTENTION
Task: {2B381FF3-3EDC-43CD-959C-9EA323616A75} - System32\Tasks\InstallShield® Setup Engine Kernel => C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe [72880 2020-10-16] (Flexera Software LLC -> InstallShield Software Corporation) [Fichier non signé] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S2 AdAppMgrSvc; "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AdAppMgrSvc.exe" [X]
S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
2021-07-28 07:35 - 2021-07-28 07:35 - 003258520 _____ (Nicolas Coolman) C:\Users\Manon\ZHPCleaner.exe
2021-11-02 15:28 - 2021-11-02 15:28 - 000007572 _____ () C:\Users\Manon\AppData\Local\recently-used.xbel
RemoveProxy:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1A16D03C-4315-4340-8394-915F6FA5B758}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1A16D03C-4315-4340-8394-915F6FA5B758}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Optimize Thumbnail Cache => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Thumbnail Cache" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2B381FF3-3EDC-43CD-959C-9EA323616A75}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2B381FF3-3EDC-43CD-959C-9EA323616A75}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\InstallShield® Setup Engine Kernel => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\InstallShield® Setup Engine Kernel" => supprimé(es) avec succès
"HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser" => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\AdAppMgrSvc => supprimé(es) avec succès
AdAppMgrSvc => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\OverwolfUpdater => supprimé(es) avec succès
OverwolfUpdater => service supprimé(es) avec succès
C:\Users\Manon\ZHPCleaner.exe => déplacé(es) avec succès
C:\Users\Manon\AppData\Local\recently-used.xbel => déplacé(es) avec succès

========= RemoveProxy: =========

"HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL" => supprimé(es) avec succès
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{A0F2EEFA-BAD6-4188-82B9-906D7D9CB5CA} => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{EF9776F4-79FD-4C3D-9472-3CDC5B1052D2} => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-220453761-4150305758-2078363445-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-220453761-4150305758-2078363445-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-220453761-4150305758-2078363445-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-220453761-4150305758-2078363445-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 563767125 B
Java, Flash, Steam htmlcache => 230761150 B
Windows/system/drivers => 18417751 B
Edge => 16397 B
Chrome => 449915517 B
Firefox => 20673412 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 27431811 B
Manon => 5355340756 B
Administrateur => 5355353404 B

RecycleBin => 393556520 B
EmptyTemp: => 11.6 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 09:31:51 ====

Merci beaucoup !
Néanmoins, j'ai toujours ce problème d'explorateur windows qui ne fonctionne pas, cela ne vient donc pas d'une infection de l'ordinateur ?

Merci pour vos retour, vous êtes géniaux
Malekal_morte
Messages : 111434
Inscription : 10 sept. 2005 13:57

Re: Supprimer Keylogger avec FRST64

par Malekal_morte »

Tu peux supprimer le dossier C:\FRST
Le proxy c'est plutot lié à un malware installé en général par KMSPico.
Pas l'air d'avoir été touché par un KeyLogger en tout cas.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Théo (inforcollège)
Messages : 2
Inscription : 29 déc. 2021 17:39

Re: Supprimer Keylogger avec FRST64

par Théo (inforcollège) »

Salut, pour ajouter mes connaissances au sujet, je vous envoie vers un pastebin qui parle du sujet dans un collège.
Théo (inforcollège)
Messages : 2
Inscription : 29 déc. 2021 17:39

Re: Supprimer Keylogger avec FRST64

par Théo (inforcollège) »

Beaucoup de professeurs pensent qu'un Keylogger (enregistreur de frappe organisée en Flash FAT), peut être utilisé dans un établissement scolaire. Avant 2012, cela était possible mais ne l'est plus grâce à plusieurs points que la mise à jour de juillet 2012 (3.125) a ajouté au réseau scolaire:
-système d'exploitation rendant détectable tout pilotes branchés.
-dossiers cachés (le fonctionnement principale d'un keylogger) interdit.
-mode "student" rendant incapacitant tout logiciels ou périphériques non-autorisés.
En plus de ça, la plupart des Keyloggers ( ou keygrabers ) sont reconnus par les claviers qui les signal à l'ordinateur.
Donc souvent, la publicité dit que l'ordinateur ne voit pas le keygrabber car c'est le rôle du clavier de le faire.
Parmis ces keygrabbers inutiles l'ont retrouve:
le KeyGrabber Pico Clé USB 16 Mo, le Airdrive, le Deruc, le FreeNove et bien d'autres.
Avatar de l’utilisateur
Parisien_entraide
Messages : 11222
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Supprimer Keylogger avec FRST64

par Parisien_entraide »

Bonsoir,

"Normalement" du fait de versions spécifiques https://docs.microsoft.com/fr-fr/educat ... -customers nombres de fonctions sont désactivées
Ensuite le responsable informatique peut jouer avec la GPO (on peut jouer avec des restrictions matérielles comme l USB par ex etc), les restrictions BIOS etc, cela fonctionne très bien

Et pour en revenir au sujet initial, la plupart des keyloggers comme évoqué dans le premier message sont surtout le fait d'infections (cracks etc) ou... d'un ou une proche
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »