> Tous les forums > Forum Sécurité
 Infecté par logiciel espion "Activity Monitor" de softactivity via clé USBSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Phorcys
  Posté le 17/01/2015 @ 22:36 
Aller en bas de la page 
Petit astucien

Bonjour,

une responsable d'une collectivité m'a officiellement (avec accord du dirigeant) remis un fichier pdf sur une clé USB neuve que je lui ai remise. Elle a donc branché la clé pour la 1er fois sur son PC. Lors du branchement sur mon PC fixe (Win XP) l'installation du pilote de ce nouveau périphérique mouline puis une fenêtre pop-up d'avertissement s'ouvre : . L'emballage de la clé mentionnait pourtant bien sa compatibilité avec mes versions de Windows

Le logiciel que vous êtres en train d'installer pour ce matériel :

périphérique de stockage de masse USB

n'a pas été validé lors du test permettant d'obtenir le logo

Windows et vérifiant sa compatibilité avec Windows XP. ...

Bon je laisse tomber et clique sur "Arrêter l'installation".

Je branche la clé USB sur mon pc portable (Win 7) et là tout se déroule normalement, j'accède au pdf et peux le lire...

Par contre des soucis apparaissent sur mon PC fixe. AVG est perturbé.

Pire les points de restauration du système d'avant l'installation de la clé ont disparus, ainsi que ceux des 4 jours suivants (à moins que ce soit le fait d'une taille insuffisante de la mémoire du pc ?)

SpyBot a permis de repérer 2 Malwares que j'ai éliminé :

Sur mon PC tour, AVG ne veut plus se mettre à jour et affiche des écrans inquiétants :

Impossible de mettre à jour AVG, de restaurer, ni de le réinstaller après l'avoir désinstallé !

Je décide de prendre le risque de cliquer sur "Continuer",

la même fenêtre pop-up beige s'affiche, j'insiste puis apparait une nouvelle fenêtre mentionnant le nom du logiciel ActivityMonitor

Une recherche permet de trouver le descriptif suivant, qui correspond bien à ce qui est un logiciel de flicage !

Activity Monitor est un système permettant de contrôler les activités des utilisateurs d'un PC à travers le réseau. En utilisant Activity Monitor, vous serez toujours informé de ce que font les autres utilisateurs. Vous pouvez contrôler vos employés, vos étudiants, etc. Ce programme n'inclut pas les possibilités d'une influence destructrice d'un ordinateur à distance.

Page détaillée du fournisseur vantant les possibilités du logiciel : http://www.softactivity.com/fr/

Mes questions

- Comment procéder pour remettre mon pc ou mes pc en état ?

- Comment peut-on déceler la présence de ce spyware ? Est-ce possible via le Gestionnaire des tâches ?

- La clé est-elle toujours virulente ? Comment le vérifier et la nettoyer ?

- Ne faisant pas partie du réseau de cette collectivité, mais par contre d'autres réseaux (domicile, boulot) est-ce que je risquait tout de même d'être espionné par cette collectivité ?

Merci d'avoir pris la peine de lire ce post, mais qui pourra certainement servir à d'autres !



Modifié par Phorcys le 19/01/2015 16:02
Publicité
G225
 Posté le 18/01/2015 à 09:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut, Ensuite faire le scan de base de ma signature et me donner les 3 logs.

G225
 Posté le 18/01/2015 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ici on commence par les 3 logs et ensuite regarde vers où on va.

boule de poils
 Posté le 18/01/2015 à 20:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

lavoie a écrit :

Se forum est ouvert à tous, chacun est libre d' avoir sa méthode de travail , tu te prend pour qui pour te permettre de dire aux autres se qu'ils doivent faire ...

Bonsoir,

certes ce forum est ouvert à tous..... pour autant il n'est pas question d'y donner des solutions incomplètes.

G225 propose la base de ce qui doit être fait ici Et LUI n'est pas agressif.

Je conseille à Phorcys de faire ce que lui demande G225 qui lui sait ce qu'il fait.

Phorcys
 Posté le 19/01/2015 à 07:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, Merci à vous 3 pour vos réponses.

A Lavoie : 32 bits. Quelle différence et intéret y a-t-il à voilouir encore une fois désinstaller AVG via "avg_remouver". J'avais pu le faire - peut-être imprfaitement" via "avg-antivirus-free-edition_2015_fr_10997_32.exe" ? Certes lors de la tentative de réinstallation le n0 de licence free était encore en mémoire.

A G225 :

Malwarebytes n'a rien décelé.

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 18/01/2015
Heure de l'examen: 11:08:45
Fichier journal: MBAM.txt
Administrateur: Oui

Version: 2.00.4.1028
Base de données Malveillants: v2015.01.18.05
Base de données Rootkits: v2015.01.14.01
Licence: Gratuit
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Auto-protection: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Utilisateur

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 472462
Temps écoulé: 21 min, 16 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(Aucun élément malicieux detecté)

Modules: 0
(Aucun élément malicieux detecté)

Clés du Registre: 0
(Aucun élément malicieux detecté)

Valeurs du Registre: 0
(Aucun élément malicieux detecté)

Données du Registre: 0
(Aucun élément malicieux detecté)

Dossiers: 0
(Aucun élément malicieux detecté)

Fichiers: 0
(Aucun élément malicieux detecté)

Secteurs physiques: 0
(Aucun élément malicieux detecté)


(end)

Bon je vais poursuivre avec les 2 autres examens.

Phorcys
 Posté le 19/01/2015 à 08:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Phorcys
 Posté le 19/01/2015 à 08:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : MBAM.txt

Phorcys
 Posté le 19/01/2015 à 08:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

G225
 Posté le 19/01/2015 à 09:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Vous avez seulement 1 gig soit 3% de libre sur votre disque dur. Pour que cela fonctionne correctement, vous devez avoir 15%...

Désinstaller Spybot en premier et Auslogics Bootspeed pour faire de l'espace.

--

Ouvrir le lien suivant avec Internet Explorer: http://g225.mvps.org/securite/phorcys.txt

Vous copier les lignes dans le fichier ci-haut en les sélectionnant tous avec la souris.

Ensuite ouvrir ZHPFIX

1. Fermer toutes les applications ouvertes. Il se peut que logiciel ferme et ouvre de nouveau selon la configuration de l'UAC (Windows Vista et supérieur).

- Cliquer sur le bouton Importer.
- Cliquer sur le bouton "GO".

2. Le rapport ZHPFixReport.txt s'affiche automatiquement sur le bureau et le mettre sur le forum dans votre prochaine réponse.

--

Téléchargement de Junkware Removal Tool
http://thisisudax.org/downloads/JRT.exe
et mettre le fichier sur le Bureau.
Faire bouton droit "Exécuter en tant qu'administrateur" sur le fichier JRT.exe.
Appuyer sur une touche pour continuer
L'outil sauvegarde le Registre avec Erunt ensuite analyse le système.
À la fin du scan, un rapport JRT.txt s'ouvre.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un clic droit et cliquer sur "coller".

--

Prendre le logiciel ZHPCleaner et vérifier que tout est bien cocher et faire réparer.
http://www.nicolascoolman.fr/download/zhpcleaner-2/
Mettre le log ici.

Réinitialiser Firefox:https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Désinstaller Java 7 et installer le 8.

Refaire ZHPdiag.



Modifié par G225 le 19/01/2015 09:05
Publicité
Phorcys
 Posté le 19/01/2015 à 09:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bien reçu votre message de procédure.

SpyBot désinstallé. PC redémarré.

Par contre, je ne suis pas parvenu à accéder au fichier que vous avez mis en ligne "Ouvrir le lien suivant avec Internet Explorer: http://g225.mvps.org/securite/phorcys.txt" ni avec IE, ni Firefox ! Pouvez-vous vérifier le lien ?

G225
 Posté le 19/01/2015 à 09:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Fonctionnel!

Phorcys
 Posté le 19/01/2015 à 09:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

En effet, maintenant (!) il l'est. Merci d'avoir vérifié. Je poursuis donc la manip.

Phorcys
 Posté le 19/01/2015 à 10:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

"Vous avez seulement 1 gig soit 3% de libre sur votre disque dur. Pour que cela fonctionne correctement, vous devez avoir 15%...

Désinstaller Spybot en premier et Auslogics Bootspeed pour faire de l'espace."

Après désinstallation de ces 2 logiciels, j'ai toujours que 1,72 Go d'espace libre sur les 40 Go de C:

Q1 : Avant de poursuivre (importation code fichier txt sous ZPHFIX), dois-je impérativement avoir les 15% sur C: ?

Q2 : Est-il opportun de tenter d'utiliser la compression du lecteur C: pour augmenter l'espace libre (cf. copie fenêtre ci-dessous) ?

G225
 Posté le 19/01/2015 à 10:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Non, pour ce logiciel, mais comme votre espace est vraiment restreins, les logiciels comme bootspeed sont inutile.

Vérifier combien de mémoire virtuel Windows prend. Mettre vous même 512 megs dans les 2 cases. Vous pourriez gagner 1 voir 2 gigs.

Explications:

http://windows.microsoft.com/fr-ca/windows/change-virtual-memory-size#1TC=windows-7

Vérifier combien d'espace prend la restauration système et la mettre à 2% ou 3%.

Si vous avez Ccleaner, faire un nettoyage. Paramètres et explication: http://www.ordi-netfr.com/ccleaner.php



Modifié par G225 le 19/01/2015 10:53
Phorcys
 Posté le 19/01/2015 à 12:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai libéré un peu de place sur C:. Déplacé quelques gros dossiers et supprimé quelques programmes. Exécuté CCleaner.

J'ai réduit la mémoire virtuelle à 512 Mo dans les 2 cases. Merci pour le lien, qui m'a aidé, bien qu'étant sur le PC en question sous Win XP. Ci-dessous le paramétrage initial.

Globalement c'est mieux, j'arrive à 12% de libre.

Pour l'autre manip j'ignore comment faire :

"Vérifier combien d'espace prend la restauration système et la mettre à 2% ou 3%."

Je reprends au point de votre message posté à 19/01/2015 à 09:02

Phorcys
 Posté le 19/01/2015 à 12:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFix[R1].txt

Phorcys
 Posté le 19/01/2015 à 13:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le log de Junkware Removal Tool demandé au point (3) de votre message posté à 19/01/2015 à 09:02

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Microsoft Windows XP x86
Ran by Utilisateur on 19/01/2015 at 12:52:35,20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key - Orphan] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}
Successfully deleted: [Registry Key - Orphan] HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}



~~~ Files

Successfully deleted: [File] "C:\WINDOWS\wininit.ini"



~~~ Folders

Successfully deleted: [Folder] "C:\Documents and Settings\All Users\application data\cloud software ltd"
Successfully deleted: [Folder] "C:\Documents and Settings\Utilisateur\Application Data\getrighttogo"



~~~ FireFox

Emptied folder: C:\Documents and Settings\Utilisateur\Application Data\mozilla\firefox\profiles\yn7iudfq.default-1369563562000\minidumps [2 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19/01/2015 at 12:56:44,78
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Publicité
Phorcys
 Posté le 19/01/2015 à 13:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPCleaner.txt

Phorcys
 Posté le 19/01/2015 à 14:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bien je pense avoir fait tout "mes devoirs"

J'ai aussi réinitialisé Firefox.

Reste que pour la màj de JAVA cela ne semblait pas à faire, selon le test

http://www.java.com/fr/download/installed8.jsp

Pourtant en cliquant sur "télécharger" la version 8 est bien proposée !

Bon je suis vos recommandations et vais tenter cette installation.

Phorcys
 Posté le 19/01/2015 à 14:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Finalement, je suis resté à la version précédente de JAVA, à la vue du message suivant affiché en début d'installation. Rappel ce PC fonctionne sous Windows XP.

Je refais encore un ZHPdiag et le poste. Puis, j'attends votre avis.



Modifié par Phorcys le 19/01/2015 15:57
Phorcys
 Posté le 19/01/2015 à 14:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Phorcys
 Posté le 19/01/2015 à 16:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225, suis-je "autorisé" à réinstaller AVG Free ou autre type Spyboot Free (les 2 ensemble) ?

G225
 Posté le 19/01/2015 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pas grave pour Java cela fonctionne pareil, bien installer le 8, il va s'installer.

Ouvrir le lien suivant avec Internet Explorer:

http://g225.mvps.org/securite/phorcys2.txt

Vous copier les lignes dans le fichier ci-haut en les sélectionnant tous avec la souris.

Ensuite ouvrir ZHPFIX

1. Fermer toutes les applications ouvertes. Il se peut que logiciel ferme et ouvre de nouveau selon la configuration de l'UAC (Windows Vista et supérieur).

- Cliquer sur le bouton Importer.
- Cliquer sur le bouton "GO".

2. Le rapport ZHPFixReport.txt s'affiche automatiquement sur le bureau et le mettre sur le forum dans votre prochaine réponse ainsi qu'un nouveau log ZHPdiag toujours sur Cjoint ou héberger sur le forum.

Spybot ne donne pas grand chose, mais vous pouvez réinstaller AVG mais attention dans l'installation, la toolbar n'est pas obligatoire....

Refaire un dernier ZHPdiag. Vous êtes à 11% libre ce qui est dans le minimum de l'acceptable mais surveiller cela.



Modifié par G225 le 19/01/2015 19:00
Phorcys
 Posté le 19/01/2015 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Pas grave pour Java cela fonctionne pareil, bien installer le 8, il va s'installer.

L'installation de Java 8 Update 25 a effectivement été possible.

Un pop-up d'avertissement est cependant apparu sous Firefox lors de la vérification des plugins.

J'ai fait autoriser. Puis au pop-up suivant juste cette fois.

Je passe à la suite.

Phorcys
 Posté le 19/01/2015 à 21:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport ZHPFix[R3].txt

--------------------------------------------------------------------------

Rapport de ZHPFix 2015.1.15.1 par Nicolas Coolman, Update du 15/01/2015
Fichier d'export Registre :
Run by Utilisateur at 19/01/2015 20:52:35
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée (00mn 12s)
Dossier Prefetcher vidé

========== Valeurs du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value

========== Eléments de donnée du Registre ==========
SUPPRIMÉ Explorer Association Data Intl: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉ Redémarrage:** C:\Documents and Settings\All Users\Application Data\boost_interprocess

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (118) (3 656 507 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
7 : Valeurs du Registre
1 : Eléments de donnée du Registre
2 : Dossiers
2 : Fichiers


End of clean in 00mn 19s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R1].txt - 19/01/2015 12:16:09 [12647]
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R1].txt_TOURNEC_2015_01_19_1216.txt - 19/01/2015 12:16:44 [12647]
C:\Documents and Settings\Utilisateur\Application Data\ZHP\ZHPFix[R3].txt - 19/01/2015 20:52:48 [1508]

---------------------------------------------------------------------------------

Bon je redémarre le pc comme le demande le logiciel ZHPFIX. Puis je ferai un nouveau log ZHPdiag.

Phorcys
 Posté le 19/01/2015 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

G225 a écrit : Spybot ne donne pas grand chose, mais vous pouvez réinstaller AVG mais attention dans l'installation, la toolbar n'est pas obligatoire...

Bon je vais me contenter d'installer AVG Free. Je n'avais d'ailleurs installé SpyBot que récemment suite aux problèmes constatés. Merci pour votre mise en garde quant aux risques inhérents à l'installation de la toolbar proposée lors de l'installation d'AVG. J'y étais déjà attentif et la décochait systématiquement. Cet avertissement, sera certainement utile à d'autres lecteurs.

G225 a écrit : Refaire un dernier ZHPdiag. Vous êtes à 11% libre ce qui est dans le minimum de l'acceptable mais surveiller cela.

Ce sera fait. Je veillerai à conserver ce minimum d'espace libre.



Modifié par Phorcys le 19/01/2015 21:41
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
139,78 €Kit de 32 Go (2 x 16 Go) de mémoire DDR4 Crucial Ballistix 3000 MHz à 139,78 € livré
Valable jusqu'au 03 Août

Amazon Allemagne fait une promotion sur le kit de 32 Go (2x16 Go) de mémoire DDR4 Crucial Ballistix 3000 MHz CL15 qui passe à 135,12 € (avec la TVA ajustée). Comptez 4,66 € pour la livraison en France soit un total de 139,78 € livré alors qu'on le trouve ailleurs à plus de 160 €.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
231,04 €Processeur AMD Ryzen 7 3700X (8 coeurs/16 threads) à 231,04 € livré
Valable jusqu'au 03 Août

Amazon Allemagne propose le processeur AMD Ryzen 7 3700X à 225,37 €. Comptez 5,67 € pour la livraison en France soit un total de 231,04 € livré. On le trouve ailleurs à partir de 320 €. Ce processeur à 8 coeurs à 3.6 GHz (4.4 GHz en turbo) est accompagné du ventilateur Wraith Spire LED (silencieux et efficace).

Vous pouvez utiliser votre compte Amazon FR sur Amazon DE et il n'y a pas de douane.


> Voir l'offre
24,99 €Casque audio bluetooth JBL T460BT à 24,99 €
Valable jusqu'au 03 Août

Cdiscount fait une vente flash sur le casque audio sans fil bluetooth JBL T460BT qui passe à 24,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 49,99 €. Ce casque sans fil bluetooth 4.0 offre une autonomie de 11h, permet de commander sur le casque les appels et la musique et est repliable à plat. Il est rechargeable avec un câble microUSB fourni.


> Voir l'offre

Sujets relatifs
Un logiciel espion a infecté des disques durs depuis 2 décennies
INFO : Votre ordinateur peut être infecté par le logiciel espion Computrace
detecter se premunir contre logiciel espion
Quel logiciel contre logiciel espion?
Crainte d'un logiciel espion.
logiciel espion
logiciel espion
victime d'un logiciel espion
logiciel anti logiciel espion
virus logiciel espion
Plus de sujets relatifs à Infecté par logiciel espion "Activity Monitor" de softactivity via clé USB
 > Tous les forums > Forum Sécurité