Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  BUSINESS


|||-  

keylogger [ SE: Xp pro ] [ Réseau UNIX ]

 

12 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

keylogger [ SE: Xp pro ] [ Réseau UNIX ]

Prévenir les modérateurs en cas d'abus 
jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 16/07/2012 à 20:35:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
keylogger [ SE: Xp pro ]  [ Réseau UNIX ]


 Bonjour,
 Je voudrai savoir si mon PC est sous surveillance :
 - Pour la saisie clavier,
 - Mots de passes d'ouvertures fichiers,
 - Liste des adresses Web consultées ... etc.
 Je n'ai rien à cacher sauf certains travaux assez importants pour le travail.

 Suite à une ressente discutions au seins de mon entreprise, avec les informaticiens, concernant la charte informatique.
 On m'a répondu que rien n'est mis en place. Pourtant grande entreprise, plus de 350 pers.
 J souhaiterai savoir si un logiciel a été installé à mon insu, en général ces logiciels sont masqués par un mot de passe et ne figurent ni dans le menu démarrer ni dans les installations de logiciels .
 pour information, le réseau interne est réalisé sous LINUX (nos informaticiens travaillent sous LINUX).

 J'insiste sur la possibilité d'avoir un keylogger, un logiciel installé caché et invisible par le système.
 exemples:
 - Saisies clavier,
 - Copies des mots de passes d'accès ou d'ouvertures fichiers,
 - Captures d'images ,
 - Captures vidéos entre une plage d'horaire .

 J'ai trouvé comme exemple des programmes qui peuvent  intéressants pour ma requête:

 - ad aware
 http://www.clubic.com/telechar [...] aware.html
 - spybot search and destroy
 http://www.clubic.com/telechar [...] stroy.html
 - hitman pro
 http://www.clubic.com/telechar [...] n-pro.html
 - SIW: System Information for Windows
 http://www.01net.com/telecharg [...] /fich(...)
 - Belarc Advisor
 http://www.01net.com/telecharg [...] /fich(...)

 Qu'en pensez-vous de ces logiciels ?
 Lequel correspondrait à ma demande ?


 Dernièrement,
 un essai que j'ai réalisé sur mon portable de travail, impossible d'installer - spybot search and destroy - .
 Les autres logiciels pas de problème, le seul & unique programme pour détecter des espions sur ma machine ne s'installe pas.

 Bizzar ...,
 Qu'on pensez-vous ?

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 16/07/2012 à 20:58:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut !

 



un essai que j'ai réalisé sur mon portable de travail, impossible d'installer - spybot search and destroy - .
 Les autres logiciels pas de problème, le seul & unique programme pour détecter des espions sur ma machine ne s'installe pas.
 




 Tant mieux pour toi puisque Spybot S&D n'est plus aussi "performant" qu'il a été  ;)  

 Et ce n'est certainement pas lui qui va détecter les "espions".

 Ad-Aware, c'est même pas la peine d'en parler : si tu consultes les forums "Sécurité" des sites les plus connus (CCM, Zebulon, malekal, et j'en passe ...), je ne pense pas que l'installation des deux programmes évoqués, ci-dessus, soit préconisée !

 On irait plutôt vers une désinstallation.

 Si tu veux avoir une idée des programmes installés, il est, peut-être possible d'en savoir un peu plus avec des outils tels que RSIT ou bien encore ZHPDiag.

(Publicité)
Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 17/07/2012 à 09:26:58  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut à tous!

 Je déplace ce sujet vers la catégorie 'Sécurité en entreprise'.

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 17/07/2012 à 09:38:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut JUJUZAZA!

 Dis nous quand tu seras là afin de poursuivre.

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2012 à 22:46:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

 

danakil a écrit :

Salut JUJUZAZA!

 Dis nous quand tu seras là afin de poursuivre.
 




 Bonjour,
 OK , pour le déplacement de ce sujet.
 Cdlt.

(Publicité)
jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 17/07/2012 à 23:11:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour kmisol,  :hello:

 Le programme ZHPDiag. sert uniquement à scruter le disque dur (base de registre), il ne me permettra pas de nettoyer ou de supprimer les logiciels espions (keylloger).

 RSIT  ne connais pas du tout , est ce le même principe que  ZHPDiag.  ?
 Avec  RSIT.  a-t-on le possibilité de supprimer les keylloger ?

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 18/07/2012 à 09:43:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut JUJUZAZA!

 C'est moi qui vais m'occuper de ton PC.
 ZhpDiag est le logiciel de recherche et ZhpFix est le logiciel de suppression. Evidement il faut savoir lire le premier pour activer les commandes de suppression du second.
 Rsit et un logiciel de déploiement du contenu intégral d'un PC. Il faut là aussi savoir le lire. Pour les suppressions il faut utiliser un ou d'autres tools spécifiques.

 Je viens de reprendre la gestion de ce secteur sécuritaire concernant les entreprises et aux vues du nombres de lectures des sujets en cours je constate qu'il y a des attentes du côté des professionnels. Il va de soit que les sociétés souhaites éviter d'étaller les contenus de leurs PC à la vue de tous ... Histoire de principe et de crainte de divulgation d'informations sensibles qui pourraient évidemment être utilisés par des internautes malveillants et en quête de cela.

 Je suis donc en train d'établir une Charte interne sur le déroulement des informations et protocole de désinfection des PC professionnels. J'ai demandé également la mise en place d'un petit service de UpLoad de fichiers dont seul le professionnel demandeur et l'helper suivant l'affaire auront accés.
 Toutes les procédures de travail seront visibles sauf le contenu des rapports.

 Dans l'immédiat et avant la mise en place de tout cela nous avons suffisemment de ressources disponibles au niveau helpers pour cacher des informations sensibles aux yeux de tous.

 Tout cela était le blabla commercial -  :lol:  suis helper professionnel et je vends mon produit.

 ***

 On attaque pour voir si effectivement il y a des espions sur ton PC.

 Pour l'opération que tu vas effectuer, il faut que ton XP soit déconnecté du réseau Linux interne, sinon cela va faire du bruit dans les autres services.

 Télécharge OTL sur ton Bureau.
 • Fait un double-clic sur l'icône d'OTL pour le lancer. (Sous Vista > Clic droit > Exécuter en tant qu'Administrateur).
 • Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.
 • Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport Minimal" soit cochée.
 • Copie et colle le contenu de la citation ci-dessous dans la partie inférieure d'OTL "Personnalisation" :

 



 
 HKLM\SOFTWARE\Microsoft\Intern​et Explorer\MAIN\FeatureControl|F​EATURE_BROWSER_EMULATION /rs
 HKEY_USERS\.DEFAULT\Software\M​icrosoft\Internet Explorer\Main\FeatureControl|f​eature_enable_ie_compression /rs
 HKEY_USERS\S-1-5-18\Software\M​icrosoft\Internet Explorer\Main\FeatureControl|f​eature_enable_ie_compression /rs
 hklm\software\clients\startmen​uinternet|command /rs
 hklm\software\clients\startmen​uinternet|command /64 /rs
 HKLM\SOFTWARE\Microsoft\Window​s NT\CurrentVersion\Drivers /s
 HKLM\SOFTWARE\Microsoft\Window​s NT\CurrentVersion\Drivers32 /s
 HKLM\SOFTWARE\Microsoft\Window​s NT\CurrentVersion\drivers.desc /s
 %temp%\smtmp\1\*.* /s
 %temp%\smtmp\2\*.* /s
 %temp%\smtmp\4\*.* /s
 nslookup http://www.google.fr /c
 SAVEMBR:0
 NetSvcs
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %APPDATA%\*.exe /s
 %SYSTEMDRIVE%\*.exe
 netsvcs
 /md5start
 dwm.exe
 taskhost.exe
 taskeng.exe
 wscntfy.exe
 ctfmon.exe
 rdpclip.exe
 volsnap.sys
 sptd.sys
 explorer.exe
 userinit.exe
 winlogon.exe
 wininit.exe
 tcpip.sys
 Sfloppy.sys
 Changer.sys
 cdrom.sys
 disk.sys
 ndis.sys
 usbscan.sys
 usbprint.sys
 tdtcp.sys
 tdpipe.sys
 swmidi.sys
 splitter.sys
 rdpwd.sys
 eventlog.dll
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 RASACD.SYS
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 ahcix86.sys
 KR10N.sys
 nvstor32.sys
 ahcix86s.sys
 nvrd32.sys
 /md5stop
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 createrestorepoint
 




 • Clique sur l'icône Analyse (en haut à gauche) .
 • Laisse le scan aller à son terme sans te servir du PC.
 • A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et \ ou  "Extras.Txt"(dans certains cas).

 ...

 Comme les rapports seront volumineux, tu devras les héberger afin que je puisse les récupérer.

 Rends toi sur 1Ficher.com puis:

 1/ Clique sur "Parcourir" afin de sélectionner le rapport "OTL.txt"
 2/ Clique sur "Envoyer"
 http://img815.imageshack.us/im​g815/7346/110130100433650178.p​ng

 3/ Patiente quelques secondes, et copie le lien de partage qui apparait sous "Lien de téléchargement" afin d'aller le coller en messagerie personnelle où je t'ai crée un topic de reception. Pas d'affichage de ce lien ici.

 http://img39.imageshack.us/img​39/2381/110130100603646307.png

 4/ Fait la même chose avec le rapport "Extras.txt"

 ***

 Il va de soit que si dans tes rapports je trouve des logiciels 'légitimes' installés par ta Direction, je n'y toucherai pas mais je te dirais où ils sont et ce qu'ils observent.
 Par contre si je trouve des logiciels de hackage extérieur à un réseau professionnel > Je les supprime!

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 18/07/2012 à 23:06:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 J'ai bien réceptionné tes rapports et effectivement il y a des soucis de fonctionnement qui te font penser que le comportement de ton PC est sous l'emprise d'une action extérieure.

 Ce qui ne va pas :
 - Version du Navigateur Internet désuète et contenant des failles de sécurité à chaque connexion.
 - Lecteurs Virtuels non à jours et présentant des failles de type 'Exploits' pouvant installer des 'RootKits'.

 Définition d'un 'RootKit' :
 



 
 Les rootkits sont une variété de malwares (disons pour simplifier, virus) apparue d'abord dans le monde Unix/Linux puis, plus récemment, dans celui de Windows.
 Les rootkits sont des malwares qui peuvent être très difficiles à démasquer et parfois, à éradiquer. En effet ils possèdent deux caractéristiques originales :
 - d'une part ils modifient en profondeur le fonctionnement du système d'exploitation (éventuellement son noyau) ;
 - d'autre part ils se rendent invisibles à ce système d'exploitation.
 Ils peuvent même rendre invisibles divers autres parasites qu'ils auront installés : spyware, portes dérobée, cheval de Troie... et c'est ce qui constitue en général la raison majeure de leur existence.
 




 - Présence de SpyBot : Ce logiciel est totalement désuète face aux nouvelles infections, rentre en conflit avec les Anti-Malwares (Malwarebytes pour toi), perturbe le fonctionnement des antivirus, ralenti le fonctionnement des PC, fige souvent les pages Web actives, ...
 - Infection 'MountePoints2' sur le lecteur G:\
 - Lancement et exécution de 'OTL.exe' depuis le lecteur G:\ (Une clé USB?).


 Ce que tu vas réaliser maintenant :

 1/
 Via le Panneau de Configuration > Ajouts / Suppressions de Programmes > Désinstalle SpyBot.
 Accepte le redémarrage du PC.

 2/ Transfère 'OTL.exe' de la clé USB sur le Bureau de ce PC.
 Actuellement je ne vois qu'un bout du problème.
 Une fois sur le Bureau réel > Reprends la procédure OTL donné avec les mêmes principes de mise en oeuvre décrite.
 Cette fois-ci tu n'auras qu'un seul rapport > OTL.exe
 Héberge ce rapport > Poste le lien de partage là où tu sais.

 Ensuite on agit!

(Publicité)
jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 19/07/2012 à 07:50:25  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Concernant le SPYBOT et Malwarebytes  ont été installés par moi.
 J'ai réalisé plusieurs scannes pour l'un et pour l'autre sur mes deux sessions de PC.
 Je peux les désinstaller via
 Panneau de Configuration > Ajouts / Suppressions de Programmes >

 Lorsque tu évoques " le PC a un problème " tu veux dires parla que je suis surveillé ?
 y a t il des copies espions de réalisés ?
 Cdlt.

 Merci pour ta rapidité ... :super:

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 19/07/2012 à 09:24:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re,

 Désinstalle uniquement SpyBot.
 Garde 'MalWareBytes' qui lui est trés performant. Je te transmettrai un tuto de paramétrage lorsque nous l'utiliserons en fin de désinfection.

 



Lorsque tu évoques " le PC a un problème " tu veux dires parla que je suis surveillé ?



 J'ai dis que ton PC présentait suffisemment de problèmes de configuration d'utilisation pouvant faire penser à un comportement suspect de celui-ci; Que des logiciels malveillants sont sur ce PC et que l'utilisation de 'OTL.exe' depuis un périphérique me donne qu'une image partielle de la réalité.
 Actuellement je ne peux te dire et t'affirmer si les problèmes sont uniquement dûs à une infection ou s'ils sont 'normaux'.

 J'attends ton rapport!  ;)

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 20/07/2012 à 10:18:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 J'ai parfaitement tout réceptionné.
 Je te prépare un protocole de nettoyage que je poste dans l'après-midi.

 Juste une question :
 Ce PC est un portable que tu connectes en réseau avec l'Administration afin de transmettre des informations d'activités?

(Publicité)
jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 20/07/2012 à 11:56:18  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Les scannes joints sont réalisés via un PC de bureau.
 J'ai un autre PC. portable que je connecte via ce PC. qui me permet d'avoir accès au réseau interne de l'entreprise et à tous mes répertoires de travail.

 Ce matin j'ai essayé de réaliser un scanne de la session administrateur du PC, avec ta méthode  "PERSONNALISATION";
 Résultat: l'analyse s'est bloquée !  et j'ai eu ce message avec un gros "X" rouge:
 " Cannot Create File  C:\Documents and settings\administrateur\bureau​\cmd.bat ".

 Donc, j'ai relancé OLT.exe  en gardant tes mêmes instructions ci-dessus mais en cochant (en haut à droite d' OLT.exe ) sur   " RAPPORT STANDARD ".

 Comme d'habitude, je te joins de suite ce rapport réalisé directement via le bureau de cette session administrateur.

 NB: C'est bizarre que le scanne se bloque en faisant ta méthode de rapport PERSONNALISATION !!!   :heink:

 Merci de te lire.  :jap:

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 21/07/2012 à 08:52:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Désolé du retard, mais il m'arrive à moi aussi de devoir nettoyer mes PC que j'infecte joyeusement pour suivre l'évolution des infections et hier je suis tombé sur une nouveauté qui m'a demandé beaucoup de travail.

 Ce qu'il faut savoir avec OTL c'est que scanné un PC depuis une session administrateur ou invité est exactement la même chose. OTL scanne le PC ainsi que toutes les sessions.
 Le bloquage est normal mais j'ai suffisemment d'informations pour te dire ce qu'il se passe sur ton PC Bureau.

 Effectivement il y a des 'Keyloggers' incrustés dans ton système et ceux-ci sont extérieurs au cadre professionnel. Tu n'es pas 'espionné' par ton Groupe de Travail.
 Certains de ses logiciels étudient ta manière de manipuler un PC, d'autres étudient les modifications de ta config Bureau ainsi que l'évolution (remplissage) du PC. D'autres également observent tes connexions au Net ainsi que tes préférences de navigation ...
 Dans l'ensemble de ce petit monde il y en a un trés méchant > C'est carrément un 'Hack'. Lui il pompe tout. Il se nomme srgo.

 Définition du Threat :
 



 
 Le processus 'srgo.exe' appartient aux logiciels malveillants qui exerce régulièrement des opérations de transfert de données de votre vie privée.
 Il recherche exclusivement des codes, mots de passe, n° de compte bancaire, etc...
 Ce processus trés virulent facilite également la mise en place de 'BackDoors' afin de se protéger contre les tentatives de suppressions directes et pour pouvoir rapidement se réinstaller sur un PC sous emprise.
 Il s'installe au niveau du Registre sur cette clé :
 HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 | "srgo.exe"
 La dangerosité de ce 'Threat' est de 5 sur l'échelle (0-5).
 




 Voici comment nous allons opérer pour supprimer tout ce petit monde.
 Première étape > Nettoyage du PC avec éradication des menaces.
 Deuxième étape > Nettoyage des périphériques infestés.
 Maintenant nous pouvons également travailler directement ici en mode visible car toutes les informations qui seront affichées ne seront pas sensibles pour la Société avec qui tu travailles.

 Effectue ceci :
 - Désactive ton Antivirus avant d'effectuer le correctif d'OTL :
 http://forum.pcastuces.com/des [...] -f31s4.htm
 - Ton antivirus sera automatiquement réactivé au redémarrage du PC.
 - Déconnecte toi du Réseau Unix et de toutes connexions au Web.
 - Ferme toutes les fenêtres actives sur ton PC.

 ...

 Relance OTL depuis le Bureau sur la session Administrateur.
 Dans l'interface d'OTL, vérifie que la case "Rapport minimal" soit bien cochée.
 Copie et colle le contenu de la citation ci-dessous dans la fenêtre "Personnalisation" :
 



 
 :otl
 IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2​B1E416D} - No CLSID value found    
 DRV - (WDICA) --  File not found
 DRV - (PDRFRAME) --  File not found
 DRV - (PDRELI) --  File not found
 DRV - (PDFRAME) --  File not found
 DRV - (PDCOMP) --  File not found
 DRV - (PCIDump) --  File not found
 DRV - (lbrtfdc) --  File not found
 DRV - (i2omgmt) --  File not found
 DRV - (Changer) --  File not found
 O4 - HKLM..\Run: [Winspn]  File not found
 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB​36FD2A2} - Reg Error: Key error. File not found
 NetSvcs: 6to4 -  File not found
 NetSvcs: HidServ - %SystemRoot%\System32\hidserv.​dll File not found
 NetSvcs: Ias -  File not found
 NetSvcs: Iprip -  File not found
 NetSvcs: Irmon -  File not found
 NetSvcs: NWCWorkstation -  File not found
 NetSvcs: Nwsapagent -  File not found
 NetSvcs: WmdmPmSp -  File not found
 MsConfig - StartUpReg: Cobian Backup 7 - hkey= - key= -  File not found
 [2012/07/18 12:24:47 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
 [2012/07/17 10:15:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
 [2010/12/17 19:48:28 | 001,712,496 | ---- | M] (Speedchecker Limited                                        ) -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\Ac​celererPC.exe
 [2011/07/08 18:27:10 | 000,416,160 | ---- | M] () -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\La​testDLMgr.exe
 [2010/12/17 21:12:58 | 000,043,424 | ---- | M] () -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\Sp​eedstarterFR.exe

 :Commands
 [clearallrestorepoints]
 [emptytemp]
 [resethosts]
 [reboot]
 



 Clique sur le bouton "Correction".
 Ne touche plus au PC avant son redémarrage.
 A l'ouverture du PC un rapport va s'ouvrir --> 07212012_xxxxxx.log ... Si ce n'est le cas tu le retrouveras sous le même nom sur le Bureau ou alors dans son dossier --> C:\_OTL
 Copie et colle ici en réponse le contenu de ce rapport.

 Ensuite nous passons à la deuxième étape.

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 21/07/2012 à 17:00:30  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Pour ta réactivité "rien à dire" c'est même trop parfait.  :super:

 Merci pour tes informations, concernant le scanne des sessions.

 Pour le blocage du scanne d'OTL, je pense que tu as ta propre idée de la provenance du problème,  "ne connaissant rien de ce domaine, donc je te fais confiance ... " ,  l'essentielle est d'avoir les bonnes informations, utiles pour éradiquer ces keyloggers de la machine.

 Pour ma culture générale, quelle est la différence de ces deux modes de scanne : [Rapport standard]  et le mode [Rapport minimal] ?
 - question2: le faite de cocher l'option  [avec analyses 64 bits]  ?

 Important: J'ai oublié de t'informer de la suppression du programme ( Cobian Backup 7 ) a été faite ce vendredi dernier, j'ai utilisé ce programme ( RevoUninstaller_1.94_fr ).

 Ok, pour le prochain scanne, comme d'habitude je te posterai via messagerie pour ce lundi.

 Cdlt.  :jap:

(Publicité)
Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 21/07/2012 à 20:28:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re,

 



 
 Pour ma culture générale, quelle est la différence de ces deux modes de scanne : [Rapport standard] et le mode [Rapport minimal] ?
 - question2: le faite de cocher l'option [avec analyses 64 bits] ?
 



 Avec le 'Rapport standard', les dates et heures de chaque fichier sont indiquées au début de la ligne, alors que dans le 'Rapport minimal' seuls les noms de fichiers/emplacements et noms de l'Entreprise sont inclus.

 OTL a des fonctionnalités 32bit et 64bit. Il fonctionne avec toutes les versions de Windows NT et postérieures, c'est-à-dire les systèmes d'exploitation de Windows 2000 à Windows 7.
 Ton XP fonctionne en 32bit. Vista et Seven sont initialement en 32bit avec des migrations de logiciels en 64bit. La dernière génération de Seven est uniquement en 64bit (wow64).
 Lorsque l'on scanne ces PC nouvelle génération on active la case 64bit (normalement déjà cochée par défaut) afin d'obtenir dans les rapports les services travaillant en 32 et ceux en 64. Cela permet également de trouver des mêmes services travaillant sous les deux régimes (l'un peut être infecté et l'autre pas) donc cette différence permet de cibler uniquement le service avec son mode pour les corrections.
 Avec ton XP que la case 64 soit cochée ou pas cela n'a aucune incidence.

 



Important: J'ai oublié de t'informer de la suppression du programme ( Cobian Backup 7 ) a été faite ce vendredi dernier, j'ai utilisé ce programme ( RevoUninstaller_1.94_fr ).
 



 Pas de problème pour le script de correction. Au pire cela sera un 'File not found', au mieux cela supprimera les éléments que 'Revo' n'a pu supprimer.

 Pour le blocage cela est normal > Ton PC a eu une saturation d'informations identiques. Cela serait la même chose si tu avais deux fois le même logiciel avec des noms différents que tu lancerais simultanément. C'est l'effet entonnoir qui déborde car le débit de sortie est moins rapide que celui entrant > Donc OTL par sécurité bloque.

 A lundi pour les résultats du Correctif que tu posteras directement ici par un copier\coller, puisqu'aucun élément sensible professionnel ne sera présent dans le rapport.  ;)

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 22/07/2012 à 17:14:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

danakil a écrit :

 

 Effectivement il y a des 'Keyloggers' incrustés dans ton système et ceux-ci sont extérieurs au cadre professionnel. Tu n'es pas 'espionné' par ton Groupe de Travail.
 Certains de ses logiciels étudient ta manière de manipuler un PC, d'autres étudient les modifications de ta config Bureau ainsi que l'évolution (remplissage) du PC. D'autres également observent tes connexions au Net ainsi que tes préférences de navigation ...
 Dans l'ensemble de ce petit monde il y en a un trés méchant > C'est carrément un 'Hack'. Lui il pompe tout. Il se nomme srgo.

 




 Bonjour danakil,  :)
 Peux-tu à ce niveau retrouver et me donner le(s) nom(s) de ces " Threat " avec dates et heures d'infection de la machine.
 Si le(s) existe suis-je capable de retrouver le chemin via le menu déroulant :
 --> Démarrer

--> Exécuter

-->la regitre

" regedit "  ÉDITEUR DU REGISTRE

 Merci de te lire ...

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 22/07/2012 à 21:00:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Les noms 'Oui' mais pour les dates et heures je te rappelle ceci :  ;)
 



 
 Avec le 'Rapport standard', les dates et heures de chaque fichier sont indiquées au début de la ligne, alors que dans le 'Rapport minimal' seuls les noms de fichiers/emplacements et noms de l'Entreprise sont inclus.
 




 Pour la recherche des inscriptions dans le Registre, je réponds 'Oui' mais tu en ferais quoi?
 Ce ne sont que des inscriptions contenant des données d'identifications héxadécimales que tu ne peux traiter sans certains logiciels propres aux helpers. Maintenant si tu veux une liste de 'Threats' afin de créer des exclusions, j'ai de quoi faire exploser ton PC.  :lol:

 Dans les rapports de suppressions, déjà le premier avec 'OTL', tu auras les lignes de suppressions dans le Registre.
 Pour le nettoyage au niveau des périphériques nous utiliserons un autre tool et là également tu y retrouveras les actions sur le Registre.

 Passe simple le correctif de 'OTL' comme je te l'ai demandé et reste cool, les prises de tête c'est pour moi.  ;)

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 23/07/2012 à 18:36:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour danakil,
 Bon, assez dessus ce matin :'(
 Non, non ...  le PC fonctionne, rien de grave, pas de quoi paniquer :)

 J'ai exactement suivi à la lettre tes recommandations pour relance d'OLT.exe , cela donne ça:
 - Via les deux sessions [ Administrateur et   xxxxx_admin ]
 - Au lancement d'OLT.exe avec le clique droit (en tant qu'administrateur), j'ai eu ce message:
 " Erreur de création du fichier Rapport! "  avec un onglet "OK" ,
 j'ai donc cliqué sur "OK".
 Là, un fichier .txt [bloc note] s'ouvre avec un autre message doté d'un point d’exclamation:
 " !  Le chemin d'accès spécifié est introuvable "  avec aussi un onglet "OK" , j'ai ré-cliqué sur "OK".
 Les fenêtres se sont fermées.
 - J'ai  refais la même manip. ,  lancer OLT.exe, et là,  OLT  s'ouvre normalement.
 - J'ai donc fais un copier/coller de la saisi de commandes que tu m'as envoyées  dans [PERSONNALISATION], en cochant bien [avec RAPPORT MINIMAL] et puis j'ai lance [CORRECTION],
 ah oui !  avant j'avais tout désactivé: l’antivirus AVAST, Malwarebytes, et  le teamer de Spybot.

 Au lancement de la correction, le programme  OLT  c'est arrête puis j'ai eu un message avec un "X" en rouge:
 " Cannot creat file C:\windows\systeme32\drivers\e​tc\hosts. "  avec un onglet "OK" ,  j'ai donc cliqué sur  OK .
 Mais vraisemblablement  OLT  ne fonctionnait plus, même si la fenêtre d'OLT était ouverte.
 J'ai remarqué en bas de cette fenêtre que la barre de défilement s'est arrêtée sur ce texte:  " RESETTING HOSTS FILE. DO NOT INTERRUPT ... "
 Par curiosité j'ai cherché via le net et trouvé que ça avait un lien avec Linux.

 - Effectivement via le disque local (C:) des deux sessions, un répertoire nommé  " _OLT " s'est crée avec un fichier en (.log), son contenu est:
 Files\Folders moved on reboot ...
 PendingFileRenameOperations Files ...
 Registry entries deleted on Reboot...

 Voili, voilu.  :/  
 Qu'on penses tu docteur ?
 Que fait-on ?
 Y a t il un moyen de débloquer et d'éradiquer ces " Threat "  " RootKit ?
 En espérant que ce n'est pas trop compliqué, tu as bien avancés mais est ce faisable ? ...

 Merci de te lire  :super:

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 23/07/2012 à 19:08:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Ce n'est pas bien méchant.  ;)

 Voici ce que tu vas effectuer :

 1/
 Désinstalle absolument 'SpyBot' ainsi que son 'Tea Timer'.
 C'est lui qui nous bloque et perturbe le correctif de OTL.
 Si tu n'y arrives pas > Averti moi, je le neutraliserai et supprimerai depuis un nouveau correctif OTL.

 2/
 Après suppression de Spybot, relance OTL depuis la session administrateur avec cette citation :
 



 
 :otl
 IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2​B1E416D} - No CLSID value found
 DRV - (WDICA) -- File not found
 DRV - (PDRFRAME) -- File not found
 DRV - (PDRELI) -- File not found
 DRV - (PDFRAME) -- File not found
 DRV - (PDCOMP) -- File not found
 DRV - (PCIDump) -- File not found
 DRV - (lbrtfdc) -- File not found
 DRV - (i2omgmt) -- File not found
 DRV - (Changer) -- File not found
 O4 - HKLM..\Run: [Winspn] File not found
 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB​36FD2A2} - Reg Error: Key error. File not found
 NetSvcs: 6to4 - File not found
 NetSvcs: HidServ - %SystemRoot%\System32\hidserv.​dll File not found
 NetSvcs: Ias - File not found
 NetSvcs: Iprip - File not found
 NetSvcs: Irmon - File not found
 NetSvcs: NWCWorkstation - File not found
 NetSvcs: Nwsapagent - File not found
 NetSvcs: WmdmPmSp - File not found
 MsConfig - StartUpReg: Cobian Backup 7 - hkey= - key= - File not found
 [2012/07/18 12:24:47 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
 [2012/07/17 10:15:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
 [2010/12/17 19:48:28 | 001,712,496 | ---- | M] (Speedchecker Limited ) -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\Ac​celererPC.exe
 [2011/07/08 18:27:10 | 000,416,160 | ---- | M] () -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\La​testDLMgr.exe
 [2010/12/17 21:12:58 | 000,043,424 | ---- | M] () -- C:\Documents and Settings\julien_admin\Applicat​ion Data\OpenCandy\OpenCandy_5713A​E2427F04A9AB297170AA2F676AA\Sp​eedstarterFR.exe

 :Commands
 [clearallrestorepoints]
 [emptytemp]
 [reboot]
 



 > Poste moi le rapport de suppression.

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 23/07/2012 à 21:27:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re,
 Pour désinstaller SpyBot  pas de problème, déjà fait.
 Malgré la suppression de ce dernier, impossible de désinstaller   Tea Timer, toujours là.

 Je ne peux supprimer le (.exe) ainsi qu'un autre répertoire ,j'ai un message: Accès Refusé.
 Par le panneaux de configuration  TeaTimer ne figure pas, le répertoire lui même impossible de le désinstaller.

 Pourtant, sous SPYBOT  j'avais  désactivé  TeaTimer
 via: ---> Outils   ----> Résident
 puis décoché la case TeaTimer.

 Comment faire  ?
 à +

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 24/07/2012 à 11:52:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re?

 Lance Ccleaner présent sur ton PC > Onglet [Outils] > Module [Désinstallation de programmes].
 Arrives-tu à supprimer 'Tea Timer'?

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 24/07/2012 à 13:10:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour danakil,  :hello:
 Ok pour TeaTimer, finalement, j'ai réussi à le désinstaller.

 Mais le problème persiste au lancement d'OLT.exe, j'ai toujours les mêmes résultats qu'hier. Peut-être normal !

 Les étapes effectuées:  [ pour les deux sessions ]
 - J'ai lancer OLT.exe en tant qu’administrateur, j'ai eu ce message:
 "ERREUR  DE  CRÉATION  DU  FICHIERS  RAPPORT "  puis j'ai continué en cliquant sur " OK " .
 - Un fichier (.txt)  [BLOC NOTE] s'ouvre avec le même message qu'hier :
 " LE  CHEMIN D’ACCÈS  SPÉCIFIÉ  EST  INTROUVABLE "  puis j'ai continué en cliquant sur " OK "   et j'ai fermé le BLOC NOTE.
 - Je refais la même manip. ,  OLT.exe   s'ouvre normalement, je fais un copier/ coller de tes commandes à exécuter dans " PERSONNALISATION " , en cochant sur " RAPPORT  MINIMAL "  puis lancer la  " CORRECTION " .
 et,  là !  OLT   se lance normalement, ça prend  moins de 3 secondes (pour lancer tes commandes),  puis j'ai eu ce message:
 " Le système doit redémarrer pour finir le nettoyage des fichiers. Cliquer sur OK pour redémarrer maintenant "   ,  donc je clique sur OK , par contre là, il ne se passe rien.
 J'ai attendu plus de 15 minutes. RAS.
 - J'ai redémarre la machine (SE.),  comme d'habitude via le menu " Démarrer ".
 - Effectivement des répertoires se sont crées:
 [ C:\_OLT\MovedFiles\  ]  et dedans j'ai  un fichier (.txt) avec un petit rapport que je te joins via (la messagerie privé) , car le nom de l'entreprise y figure.  ;)

 - Je te joins les deux rapports des deux sessions, je pense qu'ils sont identique.

 Merci de te lire.  :jap:

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 25/07/2012 à 18:51:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Apparement le premier lancement du correctif de 'OTL' à parfaitement fonctionné sans donner de rapport.
 Le fait de relancer le correctif n'affiche que des fichiers et inscriptions dans le Registre n'existant plus.
 Donc côté de ton PC tout est sous contrôle et les infections indentifier ne peuvent y revenir.

 Maintenant on s'occupe de tes périphériques infectés.

 Déconnecte toi du réseau intranet de la société.

 Télécharge UsbFix sur le Bureau de la session administrateur.
 • Lance l'installation avec les paramètres par défaut.

 /!\ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir /!\

 • Double-clique sur le raccourci UsbFix sur ton Bureau.(ou sous Vista et seven  fait un clic droit > Exécuter en tant qu'administrateur)

 • Choisis l'option Suppression

 • Laisse travailler l'outil.

 • Poste le rapport UsbFix.txt en MP.

 Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 25/07/2012 à 21:43:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

danakil a écrit :

 
 Apparement le premier lancement du correctif de 'OTL' à parfaitement fonctionné sans donner de rapport.
 



 Ok, génial, il suffisait juste forcer le redémarrage de la machine.


 

danakil a écrit :

 
 le correctif n'affiche que des fichiers et inscriptions dans le Registre n'existant plus.
 Donc côté de ton PC tout est sous contrôle et les infections indentifier ne peuvent y revenir.
 



 SPYBOT  a du  tout vacciner, j'ai eu pas mal de corrections avec SPYBOT.


 

danakil a écrit :

 
 /!\ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir /!\
 



 Il faut absolument brancher une clé USB ? Disque dur externe ?
 Actuellement un traceur HP. grand format  est connecté sur ma machine.

 

danakil a écrit :

 
 • Poste le rapport UsbFix.txt en MP.
 



 Pas compris " en MP. " !   :(
 Ok messagerie privée

 

danakil a écrit :

 
 • Double-clique sur le raccourci UsbFix sur ton Bureau.(ou sous Vista et seven  fait un clic droit > Exécuter en tant qu'administrateur)
 



 La machine fonctionne sous  XP pro.
 Je profite de ce tuto (c'est hors sujet mais bon), je voulais te demander si j’achète un portable doté d'un Windows Seven, est-il possible de le formater et d'installer XP pro.  à la place de  WIN Seven ?

 Te remerciant[/g]  :jap:


 Modération :
 Corrections des balises d'encadrement déformant ce post.
 Corrections sur les balises [gras].


Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 26/07/2012 à 20:25:23  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Le gros problème avec ton PC est sa configuration de fonctionnement.
 Windows XP + IE6 = Palace aux infections.
 Je t'expliquerai cela plus bas.

 C'est le lecteur G:\ (usb) que je vise surtout en utilisant UsbFix. Il faut brancher tout ce donc tu as l'habitude de connêcter à ce PC, que cela soit un usb ou dd externe.
 Oublie 'SpyBot', STP.
 Je vois qu'UsbFix a lui aussi bloqué - Je viens de lancer une demande de modification du script à El Desaparecido et C_XX, concepteurs du tool,  afin de l'adapter à ta configuration système.

 MP = messagerie personnelle

 



 
 je voulais te demander si j’achète un portable doté d'un Windows Seven, est-il possible de le formater et d'installer XP pro. à la place de WIN Seven ?
 



 Bien sûr > Il faut un CD XP d'installation avec une licence officielle.
 Maintenant pour infos et cela répondra à ce problème de configuration actuelle :
 Windows XP n'est plus mis à jour depuis octobre 2005. Seuls des correctifs sont données pour les versions SP2 et SP3 afin de palier à des failles de sécurité et de fonctionnement. Ces correctifs si je me rappelle bien s'arrétent en fin d'année 2012. Après cela XP part dans les oubliettes et c'est Vista qui passe en ligne de mire ...
 Tous les logiciels externes ont déjà évolués vers le 64bit et laisse le 32bit à la traîne.
 Donc si je peux te conseiller, reste sur un Seven plutôt que de le faire migrer vers un XP qui est de plus en plus défaillant et de moins en moins servie en programmes externes compatibles.


 ...

 Maintenant effectue ceci :
 Télécharge DelFix de Xplode
 > Lance-le.
 > A l'invite de commandes sélectionne le bouton [Recherche]
 > Patiente le temps du scan jusqu'à l'ouverture du rapport.
 > Copie et colle ici en réponse ce rapport.
 (Le rapport est sauvegardé ici --> C:\DelFixSearch.txt)

 ...

 Arréte, STP, d'éditer des messages existants!

jujuzaza
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 26/07/2012 à 22:21:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re,

 J'utilise  pour la messagerie : thunderbird  et pour le net: mozilla   et non pas  internet explorer 6  mais ce dernier et bien installé dans ma machine, veux-tu que je le désinstalle ?

 Concernant la connexion USB, assez souvent j'utilise des clés USB  de mes collègues " je n'ai pas une seule clé attitrée à cette machine " , soit plusieurs clés USB  passent  sur ma machine.
 Ma question est de savoir si un branchement quelconque d'une clé USB " fera l’affaire "   tu auras le résultat voulu ?

 à +

 Pas de problème pour les " éditions de messages " ...  :jap:

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 28/07/2012 à 07:52:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Bon cela change tout  :lol:

 Pour IE6, je te conseille de migrer cette version vers la 8 au minimum, non pas pour l'utiliser mais pour avoir une roue de secours en cas de besoin.

 Pour l'USB > Tu n'as pas déjà utilisé cette clé lors de la première utilisation de OTL?
 

le 19/07 danakil a écrit :

 
 - Infection 'MountePoints2' sur le lecteur G:\
 - Lancement et exécution de 'OTL.exe' depuis le lecteur G:\ (Une clé USB?).
 



 Il me faut cette clé infectée pour pouvoir retirer les logiciels malveillants qui s'y trouvent.

 Tu as effectué 'DelFix'?

mysuperspy
  1. Posté le 20/10/2012 à 09:01:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
There are many monitoring software in the internet. like
 http://www.xxxxxxxxxx.com
 http://www.xxx-xxxxxxxxxx.com


 modération: neutralisation de liens tendant vers des logiciels ne respectant pas la liberté des utilisateurs de PC.
 neutralization of bonds tending towards software not respecting the freedom of the users of PC.

 Page :
1

Aller à :
 

Sujets relatifs
Plus de sujets relatifs à : keylogger [ SE: Xp pro ] [ Réseau UNIX ]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Autorisations dossier réseau 3
MOUCHARD PC 1
Vous avez dit "sécurité " oui mais encore 4
Code allopass seulement à 0.10 € 0
aide sur un deployement d'antivirus 1