Infecté par un keylogger?

Q

quack

Nouveau membre
Bonjour,

Actuellment mon frere s'est fait voler son compte d'un Jeu MMORPG, Donc il a contacté l'asistant clientèle pour recuperer son compte. Cette personne a dit qu'un keylogger peut etre introduit dans des addons pour modifier l'interface du jeu. Le soucis c'est que j'utilise les meme addons que lui. Je vous demande votre aide pour savoir si je suis vraiment infecté ou non

J'ai utilisé ccleaneur et ensuite récuperer le log de HiJackThis

Voici se log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:07, on 20/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\OO Software\Defrag\oodtray.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Mickael\Local Settings\Application Data\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OO Software\Defrag\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Mickael\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mickael\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mickael\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
Vous devez être connecté pour voir les liens.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Vous devez être connecté pour voir les liens.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
Vous devez être connecté pour voir les liens.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
Vous devez être connecté pour voir les liens.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Mickael\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe

End of file - 6999 bytes

Merci pour votre aide

PS: J'utilise NOD32 et j'ai fait un scan avec spybot, ils ne detectent rien

Configuration: Configuration: Windows XP / Safari 533.4
 
cosmido

cosmido

Grand Maître
Et pour cause y aucune infection la dedans.

De quel addon faites vous références ; Firefox ou ?



Pour diagnostique complet du système.

Télécharger
Vous devez être connecté pour voir les liens.
(OldTimer) sur le bureau
Vous devez être connecté pour voir les images.


• Lancez OTL.exe,
• Fermez toutes les autre fenêtres - applications.
• Cochez [Rapport Minimal],
• Cocher [Recherche Lop] et [Recherche Purity],
• À [Registre: approfondi] cochez Tous.

• Cliquez sur [Analyse] (→ tel que sur
Vous devez être connecté pour voir les liens.
),
.. le Bloc-Notes va s'ouvrir avec les rapports OTL.txt et Extras.txt


Au lieu de poster ce rapport "très volumineux" direct sur le forum.

• Aller sur le site
Vous devez être connecté pour voir les liens.
,
• Appuyez sur [Parcourir] et chercher le rapport sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
.. Une adresse http//......(bleu, mauve) sera créé.
Postez cette adresse http//.......

• Recommencez cette procédure pour l'autre rapport..
 
Q

quack

Nouveau membre
Merci pour votre réponse.

Pour ce qui est des addons c'est juste des addons du jeu donc aucun addons de chrome ou de IE

Voici les deux rapports

OLT.txt

Vous devez être connecté pour voir les liens.


Extra.txt

Vous devez être connecté pour voir les liens.


 
Q

quack

Nouveau membre
Parcontre les txt sont illisible. Ai je fait une erreur avec OTL? ou avec cjoint?
 
cosmido

cosmido

Grand Maître
Aller désinstaller toute les Toolbar de : Yahoo!

Ne lancer une Défag qu'aux 30jours, c'est suffisant !
__________________________________________________

Doublez clic sur OTL.exe pour le lancer.
• Copiez / collez la Citation dans la fenêtre [Personnalisation]

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
Vous devez être connecté pour voir les liens.
(Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
(Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
(Java Plug-in 1.6.0_15)
[2010/07/13 11:40:54 | 005,731,573 | ---- | C] (Wondershare Software ) -- C:\Documents and Settings\Mickael\Mes documents\download.exe
[2010/07/12 18:02:33 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mstinit.exe
[2010/07/12 18:01:36 | 000,133,120 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sndrec32.exe
[2010/07/12 18:01:32 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sessmgr.exe
[2010/07/12 18:01:30 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comrepl.exe
[2010/07/20 13:20:11 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk
[2010/07/13 11:42:43 | 005,731,573 | ---- | M] (Wondershare Software ) -- C:\Documents and Settings\Mickael\Mes documents\download.exe
[2010/07/20 13:20:11 | 000,000,681 | ---- | C] () -- C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk
Cliquez pour agrandir...

• Clique sur [Correction] (en haut),
• Si le logiciel demande de redémarrer, accepte en cliquant sur YES.
• Au redémarrage , autorisez OTL a s'exécuter.
Poste le rapport généré par OTL.
__________________________________________________

Mises à jours Logiciels.
Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Adobe :
Vous devez être connecté pour voir les liens.


• Suivez ce
Vous devez être connecté pour voir les liens.
, pour télécharger et installer Java,
• Et ensuite, supprimer les anciennes version de Java.

• Faites les mise à jours proposées par
Vous devez être connecté pour voir les liens.
ou
Vous devez être connecté pour voir les liens.

► À vérifier aux 30jours.
__________________________________________________

Lancer un jet de nettoyage des fichier temporaire .. avec CCleaner.


 
Q

quack

Nouveau membre
Voici le message

Error: Unable to interpret <O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. > in the current context!
Error: Unable to interpret <O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15) > in the current context!
Error: Unable to interpret <O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15) > in the current context!
Error: Unable to interpret <O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15) > in the current context!
Error: Unable to interpret <[2010/07/13 11:40:54 | 005,731,573 | ---- | C] (Wondershare Software ) -- C:\Documents and Settings\Mickael\Mes documents\download.exe > in the current context!
Error: Unable to interpret <[2010/07/12 18:02:33 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mstinit.exe > in the current context!
Error: Unable to interpret <[2010/07/12 18:01:36 | 000,133,120 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sndrec32.exe > in the current context!
Error: Unable to interpret <[2010/07/12 18:01:32 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sessmgr.exe > in the current context!
Error: Unable to interpret <[2010/07/12 18:01:30 | 000,009,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comrepl.exe > in the current context!
Error: Unable to interpret <[2010/07/20 13:20:11 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk > in the current context!
Error: Unable to interpret <[2010/07/13 11:42:43 | 005,731,573 | ---- | M] (Wondershare Software ) -- C:\Documents and Settings\Mickael\Mes documents\download.exe > in the current context!
Error: Unable to interpret <[2010/07/20 13:20:11 | 000,000,681 | ---- | C] () -- C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk> in the current context!

OTL by OldTimer - Version 3.2.9.1 log created on 07202010_171512
 
chonos

chonos

Helper
Salut cosmido,

Je ne connais pas "OTL (OldTimer)" tu peu me dir en quelque mots ce qu'il fait de plus /de mieux que "HiJackThis" Merci a+
 
dextermat

dextermat

Grand Maître



D'habitude c'est dans les add-on de jeux (calculateur, cheat, trainer, runner) que tu y trouve le key logger et il ne sera pas trouver pas les antivirus / anti-spyware / malaware. Le problème c'est qu'il scan seulement lorsque tu démarre l'add on le jeu.

Quel jeux et quel add on as tu par rapport a ce jeux ?
 
Q

quack

Nouveau membre
Le jeux est wow, les addons que je telecharge sont sur Curse.gaming un site trés connu.
 
cosmido

cosmido

Grand Maître
Désactiver Spybot. ..pour une ligne ayant rapport au registre.
• Lancez Spybot → Mode avancé → Outils → Résident
• Décochez la case résident "tea timer" et refermez Spybot
>> Vous le réactiverez après .. <<.


■Recommencez la procédure [Correction] avec OTL du message en date du 20-07-2010 à 16:42:41
■Mais avec cette Citation ....éditée. (ramasser le :OTL ..au début)
Et reposter le nouveau rapport qui sera produit.

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)
:Files
C:\Documents and Settings\Mickael\Mes documents\download.exe
C:\WINDOWS\System32\dllcache\mstinit.exe
C:\WINDOWS\System32\dllcache\sndrec32.exe
C:\WINDOWS\System32\dllcache\sessmgr.exe
C:\WINDOWS\System32\dllcache\comrepl.exe
C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk
Cliquez pour agrandir...
_______________________________________

Télécharger/installer
Vous devez être connecté pour voir les liens.
Free Edition,
.. Les mises à jours ayant été faites.
• Lancer le et appuyer [Scanner votre ordinateur]..
• Cocher "Scan complet" et appuyer sur [Suivant],

.. Après le scan,
• Appuyer sur [Préférences] → [Statistiques/Journaux de bord]
Poster le raport du scan.
 
Q

quack

Nouveau membre
Error: Unable to interpret <TL> in the current context!
Error: Unable to interpret <O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.> in the current context!
Error: Unable to interpret <O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)> in the current context!
Error: Unable to interpret <O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)> in the current context!
Error: Unable to interpret <O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Vous devez être connecté pour voir les liens.
[...] s-i586.cab (Java Plug-in 1.6.0_15)> in the current context!
========== FILES ==========
C:\Documents and Settings\Mickael\Mes documents\download.exe moved successfully.
C:\WINDOWS\System32\dllcache\mstinit.exe moved successfully.
C:\WINDOWS\System32\dllcache\sndrec32.exe moved successfully.
C:\WINDOWS\System32\dllcache\sessmgr.exe moved successfully.
C:\WINDOWS\System32\dllcache\comrepl.exe moved successfully.
C:\Documents and Settings\Mickael\Bureau\Raccourci vers .exe.lnk moved successfully.

OTL by OldTimer - Version 3.2.9.1 log created on 07202010_190643

Voici le pack d'addons

Vous devez être connecté pour voir les liens.
 
dextermat

dextermat

Grand Maître


voici quelques post en anglais:

par rapport a Curse.gaming + keyloggers


Vous devez être connecté pour voir les liens.


Vous devez être connecté pour voir les liens.


Vous devez être connecté pour voir les liens.


voici ce que google me donne

Vous devez être connecté pour voir les liens.


En tout cas je ferais pas confiance après avoir lu le tout

 
cosmido

cosmido

Grand Maître
Ouvrez SuperAntispyware.
• Appuyer sur [Préférences] et aller dans [Statistiques/Journaux de bord]
• De la, ouvrez y le rapport en date du scan, soit aujourd'hui
► Poster le rapport du scan.

Curse.Gaming devrait apparaitre dans le rapport, comme désinfecté !?

Ouvrez le rapport en double-cliquant sur sa ligne
Vous devez être connecté pour voir les images.
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 337
Messages
6 722 863
Membres
1 586 838
Dernier membre
Guillaume Galletti
Partager cette page
Haut