× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Analyse de rapports et désinfection
 [Pierre95] Keylogger Conexant dans ZHPCleanerSujet résolu
Ajouter un message à la discussion
Pages : 1 [2] 3 ... Fin
Page 2 sur 3 [Fin]
Br_Fr
 Posté le 17/05/2018 à 22:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je craque,il supprime 3 trucs et en retrouve 2

https://www.cjoint.com/c/HErufxOGZ68

edit:

Dans TEMP j'ai supprimé celui qui est détecté,mais d'où vient cela?



Modifié par Br_Fr le 17/05/2018 22:07
Br_Fr
 Posté le 17/05/2018 à 22:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je viens de mettre ce soir cette extension:

https://addons.mozilla.org/fr/firefox/addon/instant-translate/

et je subodore que ce qui a été trouvé dans TEMP c'est lié à cette extension,je la supprime!



Modifié par Br_Fr le 17/05/2018 22:14
Br_Fr
 Posté le 17/05/2018 à 22:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

j'ai donc refait un scan avec ZHPCleaner et il me trouve toujours le PUP.Optional.UpdateTask

https://www.cjoint.com/c/HEruDt2eDX8

Pierre95
 Posté le 17/05/2018 à 22:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Simple remarque:

Au départ, tu avais 2 menaces bien distinctes.

ZHPcleaner en a résolu une ==> celle liée à Conexant

Mais il y avait une autre celle qui m'a obligé a une exportation de la clé

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WpsUpdateTask_Administrator []  =>PUP.Optional.UpdateTask

Je m'aperçois que Nicolas n'as pas répondu à ce problème.

Et que la clé soit n'a pas été supprimée , soit s'est recrée.

J'irais re-soumettre le problème



Modifié par Pierre95 le 17/05/2018 22:36
Br_Fr
 Posté le 17/05/2018 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Ok,merci Pierre

Pierre95
 Posté le 17/05/2018 à 22:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Mais ce sera demain

puis

Br_Fr
 Posté le 17/05/2018 à 23:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bonne nuit moi aussi je vais

Br_Fr
 Posté le 18/05/2018 à 09:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Coucou Pierre

réveil encore tardif...

je peux supprimer le lien sur l'hébergeur 1fichier.com?



Modifié par Br_Fr le 18/05/2018 09:37
Publicité
Pierre95
 Posté le 18/05/2018 à 09:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Coucou chère Brigitte,

Bien sur, tu peux supprimer l'hébergement sur 1fichier.com

Je viens de signaler à Nicolas pour la clé

KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WpsUpdateTask_Administrator

je lui ai mis:

ZHPcleaner en nettoyage ==> ZHPCleaner à supprimé la clé

ZHPCleaner en scan de vérif ==> la clé est toujours la ( pas vraiment supprimée ou recrée par le Système)

Je lui signale qu'on lui a fourni l'exportation de cette clé et je lui est redemandé si elle était véreuse ou pas.

D'autre par, en ce qui concerne Conexant, je lui ai signalé que jusqu'à maintenant, pas de dysfonctionnement sur ton PC

Br_Fr
 Posté le 18/05/2018 à 10:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

OK merci Pierre

que fait-on maintenant?

Pierre95
 Posté le 18/05/2018 à 10:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Binh, on va attendre la réponse de Nicolas.

Ceci dit , je n'ai pas regardé tes rapports ZHPDiag et FRST du début pour voir s'il y a des bricoles à nettoyer.

J'y jetterai un coup d'oeil en début d'après midi, car je vais bientôt m'absenter pour des corvées

Pierre95
 Posté le 18/05/2018 à 10:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ca y est voila la réponse de Nicolas:

Hello Pierre,

La clé de tâche est légitime et appartient à Zhuhai Kingsoft Office Software.

Contenu caché (accès aux membres seulement)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WpsUpdateTask_Administrator []

Je vais supprimer ce Faux Positif de ZHPCleaner.



Modifié par Pierre95 le 18/05/2018 10:23
Br_Fr
 Posté le 18/05/2018 à 14:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Pas rentré????

Pierre95
 Posté le 18/05/2018 à 14:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Si, si, j'arrive, j'accours, me voilà !!

Me voila rentré et fais une brève sieste digestive
Tes rapports sont cleans.
Je vais te faire passer un scripte FRST pour supprimer quelques inutiles

Tu vas passer ce correctif avec FRST

Frst correctif

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Lance FRST en faisant un double-clique sur FRST64.exe

/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Une fois la fenêtre ouverte,
Que les cases soient cochées ou pas cela n'a pas d'importance,

image

Copie colle à partir de tout en haut à gauche les lignes bleues ci dessous dans le cadre " Chercher " de FRST [1] puis valider par " Corriger " [2]", puis valide le Disclaimer par OK et patiente le temps de la correction


Citation
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
CustomCLSID: HKU\S-1-5-21-1230671184-911491863-1631801265-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\today\AppData\Local\Microsoft\OneDrive\18.025.0204.0009\amd64\FileSyncShell64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1230671184-911491863-1631801265-1001_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\today\AppData\Local\Microsoft\OneDrive\18.025.0204.0009\amd64\FileCoAuthLib64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1230671184-911491863-1631801265-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\today\AppData\Local\Microsoft\OneDrive\18.025.0204.0009\amd64\FileSyncShell64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1230671184-911491863-1631801265-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\today\AppData\Local\Microsoft\OneDrive\18.025.0204.0009\amd64\FileSyncShell64.dll => Pas de fichier
C:\Users\today\Desktop\32bit - Raccourci.lnk
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
Cmd: ipconfig /flushdns
End::




Si FRST a besoin de redemarrer , accepte .
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge Fixlog.txt sur CJOINT (diffusion: privée, durée: 21 jours)
CJOINT
CJOINT te donne un lien internet que tu postes dans ta réponse

Remarque: tu peux trouver le rapport Fixlog.txt sous C:\FRST\Log sous la forme Fixlog_date heure.txt

Peux tu me refaire un ZHPDiag tout frais tout chaud ainsi qu'un scan FRST avec ses 3 rapports pour vérifier le travail ?

Br_Fr
 Posté le 18/05/2018 à 14:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

c'est reparti pour la suite des opérations

https://www.cjoint.com/c/HEsmO1M1q48

Br_Fr
 Posté le 18/05/2018 à 14:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Publicité
Br_Fr
 Posté le 18/05/2018 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je viens de remarquer que je ne peux plus utiliser les flèches du forum pour monter et descendre...

Pierre95
 Posté le 18/05/2018 à 15:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour les flêches du Forum, chez moi cela fonctionne bien

C'est OK pour tes rapports rapports

Je ne sais pas si la dernière version de ZHPCleaner la v2018.5.18.113 a corrigé et ne sort plus le FP sur la clé de la Tâche Programmé de Kingsoft

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WpsUpdateTask_Administrator

Peux tu faire un scan de ZHPCleaner pour voir ?

Si Nicolas n'a pas corrigé ici, ce sera à la suivante

Faut il te faire passer ADwcleaner, MBAm et ESET ?

Br_Fr
 Posté le 18/05/2018 à 15:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

J'ai fermé Firefox et rouvert et le problème des flèches a disparu.

Je vais faire ZHPCleaner et ça suffira,il restera à nettoyer tout ce qui est sur le Bureau car plus d'espace libre

Br_Fr
 Posté le 18/05/2018 à 16:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Pierre95
 Posté le 18/05/2018 à 16:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK,

Tout d'abord avant de se quitter, je tiens te remercier d'avoir fourni l' exportation de cette clé et les rapports pour éclaircir tous ces mystères et lever ce Faux Positif de ZHPCleaner

Bonne journée

Pierre

Br_Fr
 Posté le 18/05/2018 à 19:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Pierre95 a écrit :

OK,

Tout d'abord avant de se quitter, je tiens te remercier d'avoir fourni l' exportation de cette clé et les rapports pour éclaircir tous ces mystères et lever ce Faux Positif de ZHPCleaner

J'ai servi à quelque chose pour la 2ème fois

On ne se quitte pas comme ça car encore des questions:

Pierre,le keylogger du rapport initial de ZHPCleaner n'était pas un faux-positif,si j'ai bien compris..?

d'autre part,je peux donc supprimer la quarantaine de ZHPcleaner avec l'icône Outils et icône de la poubelle?ou plutôt supprimer le dossier ZHP ici:

C:\Users\today\AppData\Roaming\ZHP



Modifié par Br_Fr le 18/05/2018 19:23
Pierre95
 Posté le 18/05/2018 à 19:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,

En tout cas, Nicolas n'a pas voulu le considérer comme un Faux Positif . Il le maintient dans ses détections

Je te met tel quel la réponse qu'il m'a donné ci dessous

*************************************************

Re,D'après cet article il y a bien un keylogger d'implanter dans un produit conexant.https://securityaffairs.co/wordpress/59013/hacking/hp-keylogger-conexant-audio-driver.html

Maintenant que fait ce keylogger, est-il nuisible, je n'en ai aucune idée, ESET lui ne l'aime pas !

**************************************************

Ce que j'en pense moi:

On ne sait pas au juste ce qu'il fout, et par précaution mieux vaut supprimer des fichiers qui servent à enregistrer ce que tu tapes sur ton clavier.

A la limite même si à l'origine, c'est inoffensif, quelqu'un pourrait le détourner à des usages pas honnêtes du tout.

J'ai eu le cas, ou lors d'une désinfection, le scan ESET avait révélé un Keylogger.

Mon demandeur en fait l'avait installé lui même pour soi disant voir ce que faisait ses enfants sur le PC qui était à usage familial.

Peut être , va savoir, sa femme et ses enfants n'étaient pas au courant de son installation.

J'ai donc laisser cet outil qu'on pourrait qualifié de parental et marital.

J'ai donné par contre la détection à Nicolas pour qu'il le rentre dans sa base

Br_Fr
 Posté le 18/05/2018 à 19:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Ok

Pierre,je supprime le ZHP?

C:\Users\today\AppData\Roaming\ZHP

Pierre95
 Posté le 18/05/2018 à 19:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Non, garde le pendant un mois même si tu as fait une sauvegarde de l' image de ton disque C:

De plus, tu supprimeras la quarantaine en utilisant la nouvelle fonctionnalité de ZHPCleaner rajouté à la demande de certains helpers

Pour vider la quarantaine: ==> dans un mois
Pour cela tu vas cliquer sur " Outils " [ 1 ] puis sur le balai [ 2 ]

image



Modifié par Pierre95 le 18/05/2018 19:48
Publicité
Pages : 1 [2] 3 ... Fin
Page 2 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
47,99 €Clavier Logitech Wireless Illuminated Keyboard K800 à 47,99 €
Valable jusqu'au 30 Octobre

Amazon propose actuellement le clavier sans fil Logitech Wireless Illuminated Keyboard K800 à 47,99 € livré gratuitement. On le trouve ailleurs autour de 80 €. Ce clavier dispose de touches rétro éclairées pour taper confortablement de jour comme de nuit. Très certainement le meilleur clavier du marché pour la bureautique / Internet. 


> Voir l'offre
159 €Ecran HP 32 pouces 32 (FullHD, 75 Hz) à 159 €
Valable jusqu'au 30 Octobre

Amazon propose actuellement l'écran HP 32 pouces à 159 € livré gratuitement alors qu'on le trouve ailleurs à partir de 200 €. Cet énorme écran de 32 pouces offre une résolution FHD de 1920x1080 pixels sur une dalle VA à 75 Hz.


> Voir l'offre
3,46 €Boîtier externe Orico USB 3.0 pour disque dur ou SSD à 3,46 €
Valable jusqu'au 01 Novembre

Gearbest fait une promotion sur le boîtier disque dur Orico qui passe à 3,46 €.  Ce boîtier va vous permettre de transformer un disque dur 2.5 pouces ou un SSD interne en disque dur externe portable (voir notre dossier pratique Fabriquer un disque dur externe portable). Compatible USB 3.0, ce boitier vous permettra de profiter de transferts rapides. Un câble USB 3.0 est fourni. Disponible en noir ou en blanc.

Ce marchand sérieux se trouvant en Chine, la livraison peut prendre une vingtaine de jours. Vous pouvez payer par carte bancaire ou par Paypal (conseillé pour bénéficier de la garantie Paypal).


> Voir l'offre

Sujets relatifs
[Pierre95]pc très lent peut être une infection
[Pierre95]PC LENT
[Pierre95]Aide désinfection
[Pierre95]Gimp est vérolé!
[Pierre95]Après MAN de Windows 10
[Pierre95]Mon pc Rame
ZHPCleaner => Indésirables "empty" et "Avast"
[Pierre95]Les MAJ de Windows 10 apportent des cochoneries !
[Pierre95] NFC_Driver.sys nuisible NetFilter
[Pierre95]erreur au demarrage de win 10
Plus de sujets relatifs à [Pierre95] Keylogger Conexant dans ZHPCleaner
 > Tous les forums > Forum Analyse de rapports et désinfection