> Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95] Keylogger Conexant dans ZHPCleanerSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Br_Fr
  Posté le 17/05/2018 @ 09:42 
Aller en bas de la page 
Maîtresse astucienne

Coucou Pierre

Me revoilà...

Hier j'ai eu une coupure de connexion et comme ça m'est arrivé 2 à 3 fois ces derniers jours,j'ai passé ZHPCleaner qui a détecté "Keylogger.Conexant"

je te mets le rapport et ensuite je passe à ZHPDiag (hier il n'avait rien trouvé mais je vais le refaire ) et FRST

https://www.cjoint.com/c/HErhQRSaih8



Modifié par Br_Fr le 19/05/2018 16:57
Publicité
Br_Fr
 Posté le 17/05/2018 à 09:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Pierre95
 Posté le 17/05/2018 à 09:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour chère Brigitte,

C'est avec grand plaisir que je te prends en charge.

Un Keylogger, cela n'est pas anodin

Cela sert à regarder tout ce que tu tapes sur ton clavier

J'aurais besoin en plus du rapport ZHPDiag et des 3 rapports FRST, du fameux rapport ZHPCleaner en scan qui détecte cette éventuelle grosse merde.

Cela peut être un Faux Positif de ZHPCleaner.

C'est à nous de voir cela avec éventuellement Nicolas

Br_Fr
 Posté le 17/05/2018 à 09:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Br_Fr
 Posté le 17/05/2018 à 09:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Merci Pierre

on a posté ensemble

tu as tous les rapports!



Modifié par Br_Fr le 17/05/2018 09:57
Pierre95
 Posté le 17/05/2018 à 10:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Affirmatif, Brigitte, j'ai tous les rapports

mais pour ZHPCleaner, un petit détail

~ Items options : 0/7

As tu cochés toutes les options ? car tu devrais avoir 7/7

Peux tu le vérifier ? et si ce n'est pas le cas, refaire un scan

Br_Fr
 Posté le 17/05/2018 à 10:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

oui tout est coché!

Pierre95
 Posté le 17/05/2018 à 10:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK, un petit bug dans ZHPCleaner ce o/7

Revenons à l'essentiel

On va voir ce qu'il y a dans ce dossier C:\Windows\Cnxt avec FRST et après une exportation de clés avec ZHPFix2

Accroches toi, Brigitte !!

Tu vas passer ce correctif avec FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CloseProcesses:
Folder: C:\WINDOWS\Cnxt
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt


Peux tu me faire une exportation de clé avec ZHPFix

ZHPFIX


Tu vas télécharger le logiciel ZHPFIX ICI

Sur la page ouverte, tu cliques sur le bouton "Télécharger"

Un fichier ZHPFix2.exe est crée Tu fais un clique droit dessus " Executer en tant qu'administrateur "
Un raccouci ZHPFix2 est crée sur ton bureau. Tu lances le programme à partir de ce raccourci
Tu obtiens cette fenêtre ou tu copies colles ( coller en cliquant sur le calepin en [1]) à partir de tout en haut à gauche les lignes bleues suivantes

image

Citation
Script ZHPFix
ExportKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WpsUpdateTask_Administrator



Vérifies que les lignes copiées dans le cadre sont celles du scripte et rien d’autre.
Ceci fait , tu cliques sur le balai en haut à gauche

image

A la fin du traitement un fichier Key1__ExportZHPFix.reg et un rapport ZHPFix.txt sont crées sur ton bureau

Peux tu les héberger tous les deux sur CJOINT diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse
Tu auras donc 2 liens internet à me donner


Br_Fr
 Posté le 17/05/2018 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Publicité
Br_Fr
 Posté le 17/05/2018 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Pierre95
 Posté le 17/05/2018 à 11:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Très bon boulot

Chère coéquipière,

Pour donner plus de billes à Nicolas, tu vas faire encore plus fort
Tu vas tester un dossier par Virus Total !!

Virus Total



1 - Peux tu tester le dossier ci dessous en rouge par Virus Total

Citation


C:\WINDOWS\Cnxt\Rollback



Au préalable, tu vas être obligé de le zipper.
Pour cela tu vas te déplacer dans l'arborescence pour arriver au dossier en rouge.
Tu cliques droit dessus puis envoyer vers dossier compressé
Un dossier .zip ou . rar sera crée à coté de ton dossier .
C'est ce dossier que tu vas tester par Virus Total
Clique sur ce lien Virus Total

Sélectionne l’onglet fichier
Clique sur “ choisir un fichier ” et indique le chemin du fichier en te déplacant dans l’arborescence, puis sur “ouvrir”. Clique sur “ analysez
Au bout de quelques minutes, un rapport est généré.
Si on te dit que le fichier a été analysé clique sur “ réanalyser
Fais un copié -collé de l'URL de la réponse (ce qui est encadré en rouge ci dessous) que tu postes dans ta réponse

image

.
Tu peux t'aider de ce Tuto pour cela.

Envoi du fichier zippé

Peux tu m'envoyer le fichier Roolback.Zip en l' hébergeant sur CJOINT ou 1Fichier.com s'il est trop gros

https://1fichier.com/

Tu nous donneras le lien pour qu'on puisse le consulter mais uniquement en Mail Privé pour raison de sécurité

Br_Fr
 Posté le 17/05/2018 à 11:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

en commençant la manip indiquée:

donc je vais mettre sur le Bureau,je pense que c'est pareil

Pierre95
 Posté le 17/05/2018 à 12:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bien sur que tu le mets sur le bureau, c'est plus pratique pour toi d'ailleurs, car après, tu me l'enverras par MP

Br_Fr
 Posté le 17/05/2018 à 12:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Virustotal ne peut l'analyser car il fait 115 Mo et la limite de Virustotal est 65 Mo

je vais t'envoyer par MP le lien de cjoint

Br_Fr
 Posté le 17/05/2018 à 12:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je n'avais pas vu que tu avais donné un autre lien que Cjoint,j'y cours!

Br_Fr
 Posté le 17/05/2018 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

c'est envoyé sur ta messagerie mais j'ai utilisé un autre hébergeur que j'aime bien car rapide!

te l'ai mis aussi sur ton hébergeur et sur ta messagerie



Modifié par Br_Fr le 17/05/2018 12:30
Pierre95
 Posté le 17/05/2018 à 12:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Chère assistante,


J'ai bien recu ton dossier zippé par MP
Ce ne sera pas la peine de tester par Virus Total car il suffira de le dézipper et de tester les fichiers exe , sys ou dll pour vérifier ceux qui feront couiner Virus Total

Maintenant , je pense que j'ai toutes les billes pour les refiler à Nicolas
S'il veut, il pourra les installer sur sa station de test

Tu vas rester en stand by et ne rien supprimer par ZHPCleaner car c'est peut être un Faux Posirtif de ZHPCleaner.

Par contre Tu peux supprimer le dossier zip sur ton bureau


En attendant , tu peux te consacrer entièrement à la création avec GIMP

Je te tiendrais au courant de la réponse de Nicolas

Merci de ta gentillesse et de ta collaboration

Publicité
Br_Fr
 Posté le 17/05/2018 à 12:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Pierre,c'est surtout moi qui te remercie!

Br_Fr
 Posté le 17/05/2018 à 13:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Pierre,je laisse pour l'instant le lien de ton hébergeur mais par contre je vais supprimer sur le mien,car pas besoin d'en laisser dans 2 endroits!

Pierre95
 Posté le 17/05/2018 à 13:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK,

Je les ai téléchargés

Tu peux supprimer le fichier Key1__ExportZHPFix.reg sur ton bureau et ZHPFix.txt

Pierre95
 Posté le 17/05/2018 à 17:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,
Réponse de Nicolas:

Citation
Re,

D'après cet article il y a bien un keylogger d'implanter dans un produit conexant.
https://securityaffairs.co/wordpress/59013/hacking/hp-keylogger-conexant-audio-driver.html

Maintenant que fait ce keylogger, est-il nuisible, je n'en ai aucune idée, ESET lui ne l'aime pas !

Je pense qu'il vaut mieux supprimer la détection dans ZHPCleaner le temps d'y voir plus clair, de toute façon les developpeurs vont sûrement lever ce keylogger sur MicTray...



Donc tu vas faire selon lui le nettoyage avec ZHPCleaner.
et il rajoute

Citation
Oui mais conserve la quarantaine en cas de dysfonctionnement au niveau des pilotes audio de conexant.



Brigitte,
J'ai mieux.

Tu vas faire une sauvegarde de l'image de ton disque C: avec ton Imageur (Aomei ou Acronis, je ne sais plus)
Comme cela on sera paré en cas de dysfonctionnement ==> tu pourras revenir en arrière.

Ceci fait tu passe ZHPCleaner et tu nettoies tout
Tu me postes le rapport de ZHPCleaner de nettoyage
Peux tu après faire un nouveau scan ZHPCleaner: pour voir s'ils ne sont pas recrées

PS: Je n'ai pas étudié ton ZHPDiag et tes rapports Frst.txt, Addition.txt et Shortcut.txt

Br_Fr
 Posté le 17/05/2018 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bonsoir Pierre

J'ai imagé avec Macrium Reflect.

Je vais relancer ZHPCleaner.

Mais un problème pourrait-il survenir suite à cette suppression dans 6 mois et alors je serais incapable de faire le lien avec cette suppression?donc peut-être quand même garder la quarantaine?

Pierre95
 Posté le 17/05/2018 à 21:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bien sur, Brigitte, tu peux aussi conserver la quarantaine de ZHPCleaner .

Br_Fr
 Posté le 17/05/2018 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

voici ZHPcleaner nettoyage:

https://www.cjoint.com/c/HErtHKFhL28

Pierre95
 Posté le 17/05/2018 à 21:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK

Peux tu faire un nouveau rapport ZHPCleaner en scan

Je voudrais vérifier que ZHPCleaner ne détecte plus rien

Br_Fr
 Posté le 17/05/2018 à 22:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je craque,il supprime 3 trucs et en retrouve 2

https://www.cjoint.com/c/HErufxOGZ68

edit:

Dans TEMP j'ai supprimé celui qui est détecté,mais d'où vient cela?



Modifié par Br_Fr le 17/05/2018 22:07
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[Pierre95]pc très lent peut être une infection
[Pierre95]PC LENT
[Pierre95]Aide désinfection
[Pierre95]Gimp est vérolé!
[Pierre95]Après MAN de Windows 10
[Pierre95]Mon pc Rame
ZHPCleaner => Indésirables "empty" et "Avast"
[Pierre95]Les MAJ de Windows 10 apportent des cochoneries !
[Pierre95] NFC_Driver.sys nuisible NetFilter
[Pierre95]erreur au demarrage de win 10
Plus de sujets relatifs à [Pierre95] Keylogger Conexant dans ZHPCleaner
 > Tous les forums > Forum Analyse de rapports et désinfection