Menu

Y a-t-il un keylogger sur mon ordinateur [Résolu]

- - Dernière réponse : Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
- 28 juin 2019 à 09:33
Bonjour,

En vérifiant mon dossier spam, j'ai vu un mail reprenant mon adresse mail et un de mes mots de passe en titre.

Le mail me dit que le pirate a installé un keylogger sur ma machine et qu'il a pu faire un tas de choses (webcam etc..) et me réclame une somme ne bitcoins.

Je pense que le mot de passe a été découvert lorsque j'ai voulu m'identifier sur un site imitant le site réel, ce qui a permis de forger ce mail et que rien n'a été installé sur ma machine.

Néanmoins, existe-t-il un moyen de vérifier la présence d'un keylogger actif sur mon ordinateur ?
Par soucis de précaution, je n'ose plus m'authentifier sur ma banque en ligne avant d'être certain que je ne me ferai pas vider mon compte.
Afficher la suite 

5 réponses

Meilleure réponse
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
16286
3
Merci
Salut,

Le mail est une arnarque.
Il n'y a aucun malware, ni keylogger.

Tout est expliqué là même pour la récupération du mot de passe.
=> Arnaque par mail : un hacker vous a piraté.

Dire « Merci » 3

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 54171 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
1
Merci
Bonsoir Melakal,
J'avais bien lu votre premier message, mais en lisant les suivant je me suis juste posé la question sur un service qui, à mon sens, n'aurait plus dû être visible.

Je viens de faire l'analyse avec FRST comme vous me l'avez conseillé.
Voici les liens des 3 rapports:

https://pjjoint.malekal.com/files.php?id=20190626_h9e15d10w13t5

https://pjjoint.malekal.com/files.php?id=FRST_20190626_r11u8s6r13q10

https://pjjoint.malekal.com/files.php?id=20190626_d12g13e14s15w11

Merci pour votre analyse.
> Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
-
Merci beaucoup pour l'examen des rapports.
Bonne Journée :)
Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
16286 > YvesBe -
J'ai mis en résolu.
> Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
-
J'ai une question subsidiaire:
j'utilise une combinaison de clés pour former mes mots de passe sous la forme suivante :
XX MDP Y
- XX clé du site (2 caractères) spécifique pour chaque site web
- MDP chaine fixe : le mot de passe corrompu (8 caractères)
- Y caractère spécial identique partout.

Seule la partie MDP est corrompue, les parties XX et Y restent inviolés.

Dois-je changer tous les mot de passes formés autour de MDP ? Ou seulement celui qui n'est formé "que" de MDP sans XX et Y ?
Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
16286 > YvesBe -
Disons qu'ils peuvent le deviner du coup c'est conseillé oui.
Après faut aussi activer la double authentification surtout sur les comptes sensibles comme la mail ou ceux ayant des CB.
Voir cette page : comment protéger ses comptes internet.
PL453s
Messages postés
594
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
9 juillet 2019
42 -
A chaque fois que l'on ajoute un caractère à un mot de passe, on multiplie les possibilités par plus de 100 (ça doit être une puissance de 2 en fonction de la table de caractère). C'est mathématique. Donc à moins que ses mots de passe soient trop faciles à deviner à partie de cette racine fixe, ça devrait pas poser de problème.
Après la sécurité informatique n'est pas ma spécialité, je laisse donc des personnes plus compétentes que moi apporter des précisions ou me corriger...
Commenter la réponse de YvesBe
Messages postés
594
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
9 juillet 2019
42
0
Merci
Bonsoir,
En effet, je pense aussi qu'il a uniquement récupérer un mot de passe par du phishing.
Vous avez parfaitement eu raison de ne pas cèder à ce mail.
D'autant plus que si votre webcam s'était vraiment allumée, il y a normalement une led pour indiquer qu'elle est active.
Vérifiez avec un logiciel comme Camera (si vous êtes sous Windows 10), Discord ou Skype si vous voyez bien une led allumée lorsque la webcam est sollicitée.
Vous pouvez toujours vérifier si il y a un logiciel tiers espion qui se lance au démarrage de l'ordinateur.

Regardez s'il y a quelque chose se suspect au niveau des services : [Win]+[R] > msconfig > services > Masquer les services Microsoft

Au niveau des démarrages automatiques de l'utilisateur : [Win]+[R] > regedit > HKEY_CURRENT_USER > Software > Microsoft > Windows > Current version > Run

Et au niveau des démarrages automatique de tous les utilisateurs : [Win]+[R] > regedit > HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > Current version > Run

Mais si vous voulez vraiment être sûr à 99.9%, réinitialisez partiellement (documents conservés) ou intégralement votre ordinateur, cela peut se faire facilement sous Windows 10. De toute façon, si vous êtes sous Windaube 10, vous avez déjà un keylogger, mais il est signé Microsoft ;)
Commenter la réponse de PL453s
Messages postés
594
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
9 juillet 2019
42
0
Merci
Bien sûr, changez dès que possible votre mot de passe sur tous les sites où vous l'avez utilisé.
Soit depuis votre ordinateur quand vous serez rassuré, ou depuis un autre terminal (téléphone, autre ordinateur ..), c'est très important pour qu'il n'y ai pas plus de dégâts.
Commenter la réponse de PL453s
0
Merci
Bonjour et merci pour vos réponses.
J'ai ouvert la fenêtre des services et j'ai masqué les services microsoft... Pourtant, il en reste un de visible:

Fabricant: Windows (R) Win 7 DDk provider
Service : Atheros Svc

Est-ce normal de le voir alors que les services microsoft sont masqués ?

Pour le mot de passe corrompu, heureusement que j'utilise un mot de passe différent pour chaque site web :)
PL453s
Messages postés
594
Date d'inscription
dimanche 8 mars 2015
Statut
Membre
Dernière intervention
9 juillet 2019
42 -
Comme il y a marqué Atheros, je pensais d'abord à un service lié à un pilote (peut-être avez-vous une carte sans fil Atheros ?) mais dans le doute, je le désactiverais :
https://threatinfo.net/companies/Windows%20(R)%20Win%207%20DDK%20provider
De toute façon, comme c'est un service tiers, il n'est pas vital au fonctionnement de l'ordinateur et peut être réactivé à tout moment.
Avez-vous checké les clés de registres des démarrages automatiques ?
Il peut aussi y avoir des raccourcis à ces emplacement (même si très improbable car visible depuis le menu démarrer, ça serait pas très malin pour un keylogger !) :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<nom d'utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Malekal_morte-
Messages postés
167837
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 juillet 2019
16286 -
Encore une fois le PC n'est pas infecté.
voir mon message plus haut.


Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Commenter la réponse de YvesBe