locked
Comment savoir si mon PC est surveiller/infecté RRS feed

  • Question

  • Bonjours

    J'ai un gros souçis en ce moment quelqun change mes mot de passe de skype et d'autres logiciels... 

    Pourtant moi j'ai bien changer les mots de passe et les emails, ma question c'est d'abord comment s'avoir si mon pc est surveiller par exemple tous que je tape sur le clavier est vue par le voleur.

    Ensuite Comment savoir si les processus: Conhost.exe et csrss.exe ne sont infecté eux aussi ? 

    J'ai déjà fais malwares et antivirus mais rien trouvé ! merci de tout vos conseils !!

    mardi 23 avril 2013 16:51

Réponses

  • bonjour,

    commencez par regarder ce qui démarre sur votre ordinateur avec autoruns. (onglet logon/scheduled task/services/winlogon/winsock providers/print monitors et drivers) ensuite on peut aussi s'intéresser à ce qui démarre avec IE et les paramètres d'explorer.exe.

    Il faut aussi contrôler ce qu'il y a en mémoire avec process explorer. Une colonne "verified signer" permet de voir si le programme est bien celui qu'il prétend. La colonne "commande line" peut vous renseigner pour les programmes de type "rundll..." (ouvert par un programme tiers).

    Le pb, c'est qu'il faut bien maitriser l'analyse de ces éléments pour être efficace.

    On peut détecter un bon nombre de rootkit dans la liste des pilotes de périphérique chargée en mémoire.

    Elle s'obtient avec process explorer en cliquant sur l'occurrence "system" puis en faisant apparaitre dans le panneau du bas les dll chargées. Là aussi, il est interessant de voir quel signature possède le fichier et essayer de trouver à quoi cela correspond dans votre matériel. Les dll non signées ou avec un truc exotique sont à vérifier.

    Ensuite, si vous craignez que votre saisie soit récupérée, il y a le logiciel keyscramber qui chiffre toute les saisies au clavier.

    autoruns: http://technet.microsoft.com/fr-fr/sysinternals/bb963902.aspx

    process explorer: http://technet.microsoft.com/fr-fr/sysinternals/hh206027

    keyscrambler: http://www.qfxsoftware.com/download.htm

    et j'oubliais, pour faire le ménage, il suffit de décocher programmes dans autoruns  et tuer les tâches actives dans process explorer.

    attention, si un virus est en mémoire, il pourra se réinscrire dans les éléments à redémarrer si vous ne l'arrêtez pas (le mieux est de le mettre en "suspend" pour ne pas déclencher ses mécanismes de réinscription.)

    Malwarebytes est de loin le meilleur pour supprimer des éléments de malware (si le malware n'est plus actif en mémoire).

    au niveau des antivirus, Symantec, Kaspersky, Avira et Gdata. 1 seul suffit et il vaut mieux se tourner vers les suites de sécurité: un antivirus seul ne sert plus à rien. Normalement, si vous n'allez pas récupérer des keygens, que vous téléchargez sur les sites des éditeurs de logiciel et que votre système+app sont à jour, un antivirus est inutile. (http://secunia.com/vulnerability_scanning/personal/) PSI est idéal pour maintenir son pc+appli à jour.

    vendredi 26 avril 2013 07:47
  • Bonjour,

    L'automédication est dangereuse.

    La procédure ZHP est de loin préférable, mais elle doit être mise en œuvre par des experts.
    http://www.saamu.net/topic3603.html
    Poste ta question ici
    http://www.saamu.net/hijackthis-f79.html


    Cordialement
    Aski - MVP Windows Expert-Consumer
    Forum_Aski


    mercredi 24 avril 2013 08:38

Toutes les réponses

  • Commence par passer quelques anti-virus un à un (il faut qu'un seul anti-virus soit installé sur l'ordinateur pendant l'analyse pour éviter les interférence ) et des anti spyware (commence par les anti-spyware selon moi)

    Adaware Malwarebyte, Spybot, Adwcleaner (très bon contre les barres d'outils notamment) par exemple pour les anti spyware

    Pour les anti-virus : Avast, Avira, Kapersky, Norton, Microsoft Safety Scanner , GData , McAfee, Microsoft security essentiels, TrendMicro, Symantec , etc ..... ( y'en a beaucoup ).

    Pas la peine de tous les passer, deux anti spyware (perso j'utilise plus spybot) et deux / trois anti-virus et c'est bon. (déjà si deux trouves rien , oublis le troisième)

    Si tu as des difficultés pour décontaminé (si contamination il y a ), y'a des forums spécialisés qui adapterons la décontamination en fonction de la menace (le meilleur moyens de régler le souci sans tout bousiller)et qui demanderons un rapport détaillé de ton pc avec des outils comme HijackThis par exemple.









    mercredi 24 avril 2013 07:21
  • Bonjour,

    L'automédication est dangereuse.

    La procédure ZHP est de loin préférable, mais elle doit être mise en œuvre par des experts.
    http://www.saamu.net/topic3603.html
    Poste ta question ici
    http://www.saamu.net/hijackthis-f79.html


    Cordialement
    Aski - MVP Windows Expert-Consumer
    Forum_Aski


    mercredi 24 avril 2013 08:38
  • Pour les scan, j'ai déjà fais avec Kaspersky (payant) , Adware Malwarebyte, Adwcleaner Hijack, la je vai sfaire avec Spybot . Mais avec tous ceux d'avant sa n'a rien trouver ! je ne sais pas comment savoir si mon pc est surveiller... Comment on fais pour Spybot ? je fais System Scan?

    jeudi 25 avril 2013 16:58
  • Comment fais-tu lorsque tu es malade, achètes-tu une dizaine de médicaments chez ton pharmacien ou vas-tu chez le docteur ?

    Cordialement
    Aski - MVP Windows Expert-Consumer
    Forum_Aski

    jeudi 25 avril 2013 17:36
  • bonjour,

    commencez par regarder ce qui démarre sur votre ordinateur avec autoruns. (onglet logon/scheduled task/services/winlogon/winsock providers/print monitors et drivers) ensuite on peut aussi s'intéresser à ce qui démarre avec IE et les paramètres d'explorer.exe.

    Il faut aussi contrôler ce qu'il y a en mémoire avec process explorer. Une colonne "verified signer" permet de voir si le programme est bien celui qu'il prétend. La colonne "commande line" peut vous renseigner pour les programmes de type "rundll..." (ouvert par un programme tiers).

    Le pb, c'est qu'il faut bien maitriser l'analyse de ces éléments pour être efficace.

    On peut détecter un bon nombre de rootkit dans la liste des pilotes de périphérique chargée en mémoire.

    Elle s'obtient avec process explorer en cliquant sur l'occurrence "system" puis en faisant apparaitre dans le panneau du bas les dll chargées. Là aussi, il est interessant de voir quel signature possède le fichier et essayer de trouver à quoi cela correspond dans votre matériel. Les dll non signées ou avec un truc exotique sont à vérifier.

    Ensuite, si vous craignez que votre saisie soit récupérée, il y a le logiciel keyscramber qui chiffre toute les saisies au clavier.

    autoruns: http://technet.microsoft.com/fr-fr/sysinternals/bb963902.aspx

    process explorer: http://technet.microsoft.com/fr-fr/sysinternals/hh206027

    keyscrambler: http://www.qfxsoftware.com/download.htm

    et j'oubliais, pour faire le ménage, il suffit de décocher programmes dans autoruns  et tuer les tâches actives dans process explorer.

    attention, si un virus est en mémoire, il pourra se réinscrire dans les éléments à redémarrer si vous ne l'arrêtez pas (le mieux est de le mettre en "suspend" pour ne pas déclencher ses mécanismes de réinscription.)

    Malwarebytes est de loin le meilleur pour supprimer des éléments de malware (si le malware n'est plus actif en mémoire).

    au niveau des antivirus, Symantec, Kaspersky, Avira et Gdata. 1 seul suffit et il vaut mieux se tourner vers les suites de sécurité: un antivirus seul ne sert plus à rien. Normalement, si vous n'allez pas récupérer des keygens, que vous téléchargez sur les sites des éditeurs de logiciel et que votre système+app sont à jour, un antivirus est inutile. (http://secunia.com/vulnerability_scanning/personal/) PSI est idéal pour maintenir son pc+appli à jour.

    vendredi 26 avril 2013 07:47
  • celegorm ,

    Tu a un Skype/Facebook afin de te contacté pour car je n'arriverai pas à faire ce que tu ma dit dans le message. merci

    samedi 27 avril 2013 17:52