Page 1 sur 8

Clavier pourri ou... virus ?

Posté : ven. 21 juil. 2017 10:19
par Nice Devil
Bonjour,

En 2012, j'avais acheté un clavier Logitech G510. Juste avant la fin de garantie (2 ans), il est tombé en panne et le vendeur (Rue du Commerce) me l'a remplacé gratos après avis de Logitech. C'était en décembre 2014 et le nouveau clavier était un G510s garanti 3 ans, le modèle G510 ayant été remplacé dans leur gamme.

Pour info, c'est celui-ci : http://support.logitech.fr/fr_fr/produc ... oard/specs

Aujourd'hui, juillet 2017, plus précisément le 3 juillet, ce clavier Logitech G510s connait EXACTEMENT la même panne !!!

Symptômes :
* Toutes les 18 touches G programmables sont toujours programmées MAIS ne retournent pas la macro définie.
* La touche "accent circonflexe/tréma" ne fonctionne plus (c'est la seule)

MAIS cette fois... un truc nouveau :
* Au démarrage de W10, j'ai l'ouverture automatique d'un fichier appelé Klog.dat qui me répertorie TOUTES les frappes que j'ai faites au clavier depuis le 3 juillet, jour de la "panne" !!!!! TOUTES mes frappes clavier !!! :o :o :o

Toutefois, une panne qui se répète, sous garantie... est-ce bien une panne matérielle ? Une infection virale ?
J'ai refait toutes les programmations des touches G, aucun succès. De plus, ça ne règlerait pas le pb de la touche circonflexe... ni le Klog du démarrage.
Je précise que je n'ai pas accès à un autre ordi pour y tester le clavier.

Une idée ? Une solution ?

Merci ! ;)

Re: Clavier pourri ou... virus ?

Posté : ven. 21 juil. 2017 11:41
par chantal11
Bonjour,

Je précise que je n'ai pas accès à un autre ordi pour y tester le clavier.
Non, ce n'est pas dans ce sens là qu'il faut tester.
Il faudrait que tu testes un autre clavier sur ce PC.


Pour vérifier côté infection sur le système :

---------------------------------------------------------------------------------------------

FRST :
  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
    Image
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+

Re: Clavier pourri ou... virus ?

Posté : ven. 21 juil. 2017 12:23
par Nice Devil
Bonjour chantal et merci de ta réponse.

Ci-dessous, les rapports demandés :

https://up.security-x.fr/file.php?h=Rb6 ... 5c0f7b4f7f
https://up.security-x.fr/file.php?h=R08 ... 131712164b

Re: Clavier pourri ou... virus ?

Posté : ven. 21 juil. 2017 13:41
par chantal11
Re,

Attention aux téléchargements P2P et les sites utilisés, ce sont des vecteurs d'infection.
Je te conseille vivement de désinstaller µTorrent, de nombreuses infections coriaces circulent avec blocage du système, vols de données et perte de données (cryptées sans aucune solution pour les récupérer).


Les produits Adobe sous licence ont été activés illégalement.
Le piratage et activation illégale n'est pas une pratique sécuritaire et peut engendrer divers problèmes et infections.
D'autre part, les outils de désinfection que nous utilisons sont puissants et peuvent avoir des effets inattendus sur des systèmes et logiciels illégaux.
En tout état de cause, nous ne serions être tenus responsables des éventuelles conséquences.

Désinstalle :
Adobe Shockwave Player (version obsolète)
QuickTime (ce produit n'est plus suivi et représente une faille de sécurité)


--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\JARDIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Klog.dat [2017-07-21] ()
    CHR HKLM\SOFTWARE\Policies\Google: Restriction
    BHO: Pas de nom -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Pas de fichier
    Toolbar: HKLM - Pas de nom - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Pas de fichier
    CHR HKLM\...\Chrome\Extension: [pfcgjlglddicjopgimohdcbmabacamll] -
    C:\Program Files\Microsoft Security Client
    Task: {5CB676A1-C4F7-4D9D-9210-1094C382F991} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
    EmptyTemp:
    End::
  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
    Image
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :
  • Télécharge Malwarebytes Anti-Malware (version gratuite) et enregistre le sur le Bureau
  • Exécute mb3-setup-consumer.exe par clic-droit -> Exécuter en tant qu'administrateur
  • La version Premium est automatiquement installée pour un essai gratuit de 14 jours
  • Clique sur Terminer. Malwarebytes s'ouvre
    Image
  • Si dans Etat de l'analyse, Mises à jour est orange, cliquer sur la flèche tournante
  • Dans Paramètres, puis Protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
  • Dans Analyse, clique sur Analyse des Menaces puis clique sur Lancer l'analyse
  • Patiente le temps de l'analyse
  • En fin d'analyse, clique sur Afficher les résultats d'analyse
  • Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine sélectionnée
  • Un résumé d'analyse s'affiche. Clique sur Exporter le résumé puis sur Fichier texte (*.txt) pour enregistrer le rapport d'analyse
  • Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
    Si un redémarrage est demandé, valide par Oui et laisse le système redémarrer.
    Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
Malwarebytes

Re: Clavier pourri ou... virus ?

Posté : ven. 21 juil. 2017 16:01
par Nice Devil
Re,

Bon, il y a tellement de merdouilles sur mon bureau, maintenant, que je peine à retrouver...
Je fais au mieux.

En voilà un, le Fixlog :
https://up.security-x.fr/file.php?h=R92 ... 6aa529f32f

Pour Malwarebyte, rien ne porte le nom annoncé donc, je fais aussi au mieux :
https://up.security-x.fr/file.php?h=Ra4 ... 0317dbec1d
https://up.security-x.fr/file.php?h=R79 ... b734413168

Si ce n'est pas ça, je ne sais pas quoi faire d'autre. A l'heure actuelle, les 4 trucs trouvés sont en quarantaine.

Depuis l'installation de MB, j'ai cette saleté qui s'affiche à raison de 15 ou 20 fois par minute. Elle me bouche la poubelle, s'incruste partout et je ne peux plus rien faire...
https://i11.servimg.com/u/f11/11/58/59/21/captur12.jpg

Dernière précision.
J'ai redémarré plusieurs fois l'ordi.
Mon clavier ne fonctionne toujours pas. Le fichier Klog.bat s'ouvre toujours aussitot le démarrage fait. Donc, RIEN n'a changé. Pour le moment ! ;)

Re: Clavier pourri ou... virus ?

Posté : sam. 22 juil. 2017 09:01
par chantal11
Bonjour,

Le message de Malwarebytes indique le blocage d'accès au site indiqué, qui est donc pourri et à éviter. A toi de faire le nécessaire de ton côté.

Le fichier klog.dat a été supprimé par FRST, mais je pense qu'il est lié à ton application Logitech justement.

Nous allons analyser ce fichier sur VirusTotal :
  • Pour afficher les fichiers et dossiers cachés -> dans Explorateur -> Organiser -> Options des dossiers et recherche -> onglet Affichage ->
  • coche la case Afficher les fichiers et dossiers cachés
  • décoche la case Masquer les extensions des fichiers dont le type est connu
  • Clique sur Appliquer
  • Ouvre cette page VirusTotal
  • Clique sur Choisir un fichier et cherche ce fichier C:\Users\JARDIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Klog.dat
  • Clique sur Analyser et patiente le temps de l'analyse
  • Si le fichier a déjà été analysé, clique sur Réanalyser
  • Un rapport apparaît. Indique le lien de la page de l'analyse en copiant-collant l'url affichée dans la barre d'adresse, dans ta prochaine réponse

Bon, il y a tellement de merdouilles sur mon bureau, maintenant, que je peine à retrouver...
C'est surtout ton installation globale qui est un vrai "bourbier".
En toute honnêteté, tu as un réel besoin de toutes ces applications installées ?


Pour ton clavier, s'il ne fonctionne toujours pas, c'est plus une panne matérielle.

@+

Re: Clavier pourri ou... virus ?

Posté : sam. 22 juil. 2017 09:22
par Nice Devil
Bonjour,
chantal11 a écrit :Bonjour,
Le message de Malwarebytes indique le blocage d'accès au site indiqué, qui est donc pourri et à éviter. A toi de faire le nécessaire de ton côté.
Volontiers ! Je dois faire quoi de nécessaire ???
Je ne sais meme pas ce que c'est, je n'ai jamais vu ce truc et n'y suis jamais allé !
chantal11 a écrit :Le fichier klog.dat a été supprimé par FRST, mais je pense qu'il est lié à ton application Logitech justement.
Ce fichier a disparu UNE SEULE FOIS après le redémarrage n°1 hier. Il revient à chaque fois, maintenant...
chantal11 a écrit :Nous allons analyser ce fichier sur VirusTotal :
  • Pour afficher les fichiers et dossiers cachés -> dans Explorateur -> Organiser -> Options des dossiers et recherche -> onglet Affichage ->
  • coche la case Afficher les fichiers et dossiers cachés
  • décoche la case Masquer les extensions des fichiers dont le type est connu
  • Clique sur Appliquer
  • Ouvre cette page VirusTotal
  • Clique sur Choisir un fichier et cherche ce fichier C:\Users\JARDIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Klog.dat
  • Clique sur Analyser et patiente le temps de l'analyse
  • Si le fichier a déjà été analysé, clique sur Réanalyser
  • Un rapport apparaît. Indique le lien de la page de l'analyse en copiant-collant l'url affichée dans la barre d'adresse, dans ta prochaine réponse
Le voici :
https://www.virustotal.com/fr/file/1cfd ... 500715850/
chantal11 a écrit : C'est surtout ton installation globale qui est un vrai "bourbier".
En toute honnêteté, tu as un réel besoin de toutes ces applications installées ?

Pour ton clavier, s'il ne fonctionne toujours pas, c'est plus une panne matérielle.
Je ne suis pas seul à utiliser cet ordi. Il y a pas mal de trucs inutiles, certainement mais auxquels penses-tu pour alléger "le bourbier" ?

Re: Clavier pourri ou... virus ?

Posté : sam. 22 juil. 2017 11:37
par chantal11
Re,

Ce fichier klog.dat n'est pas néfaste, ce qui me conforte dans l'idée qu'il est lié à ton application Logitech.

C'est à toi de déterminer quelles sont les applications que vous n'utilisez plus, je ne peux rien faire à mon niveau.

C'est toi qui a installé Hotspot Shield VPN Elite ?


Pour le domaine bloqué par Malwarebytes, c'est au niveau des autorisations du pare-feu.

On va appliquer un autre correctif :

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)

    Code : Tout sélectionner

    Start::
    CreateRestorePoint:
    CloseProcesses:
    FirewallRules: [UDP Query User{DB228648-B440-4466-904B-9EEBC26BE868}C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe] => (Allow) C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
    FirewallRules: [TCP Query User{E0B1EAB9-FA92-4175-B62C-C345AAACC51A}C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe] => (Allow) C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
    EmptyTemp:
    End::
  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
    Image
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le nouveau rapport Fixlog

@+

Re: Clavier pourri ou... virus ?

Posté : sam. 22 juil. 2017 12:39
par Nice Devil
chantal11 a écrit :Ce fichier klog.dat n'est pas néfaste, ce qui me conforte dans l'idée qu'il est lié à ton application Logitech.
Et il va revenir sans arret ?????
Une précision, néanmoins. Quand j'ai créé ce fil, la date sur la première ligne était le 03 juillet 2017.
Maintenant, c'est le 21 juillet 2017 et rien d'avant.
chantal11 a écrit :C'est à toi de déterminer quelles sont les applications que vous n'utilisez plus, je ne peux rien faire à mon niveau.
J'en ai viré une bonne douzaine.
chantal11 a écrit :C'est toi qui a installé Hotspot Shield VPN Elite ?
Je ne sais pas ce que c'est ni meme où ça se trouve. La recherche via windows ne me retourne rien. Il est où, ce truc ???

EDIT : J'ai trouvé un Hotspot fourni par W10 qui me permet de me connecter depuis les points WiFi des aéroports, gares, etc. Comme j'ai un ordi de bureau, c'est sans intérêt pour moi, je l'ai désactivé. Tu penses que c'était ça ???
chantal11 a écrit :Pour le domaine bloqué par Malwarebytes, c'est au niveau des autorisations du pare-feu.
Je ne comprends pas la réponse.
Je dois faire quoi ? Je suis obligé d'arreter MB pour que ce truc cesse de m'importuner dans le coin en bas à droite de l'écran à longueur de temps !!! De plus, je ne connais pas ce site et je ne sais pas pourquoi l'ordi veut s'y connecter.
chantal11 a écrit :Est attendu le nouveau rapport Fixlog
Le voici :

https://up.security-x.fr/file.php?h=R92 ... d881e01887

Re: Clavier pourri ou... virus ?

Posté : dim. 23 juil. 2017 07:13
par chantal11
Re,

OK pour le rapport.

J'ai trouvé un Hotspot fourni par W10
Non, je te parle d'un Hotspot tiers installé le 18/07 à 8h49.

Puisque ce n'est pas toi qui l'a installé, nous allons le supprimer en appliquant un autre correctif.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :
  • Ferme toutes les applications, y compris ton navigateur
  • Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier)
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\JARDIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hotspot Shield VPN Elite.lnk [2017-07-18]
    ShortcutTarget: Hotspot Shield VPN Elite.lnk -> C:\Users\JARDIN\AppData\Roaming\Hotspot Shield VPN Elite.exe (AnchorFree Inc.)
    2017-07-18 08:50 - 2017-07-21 07:13 - 15357456 _____ (AnchorFree Inc.) C:\Users\JARDIN\AppData\Roaming\HotspotShield-6.8.12.exe
    2017-07-18 08:50 - 2017-07-18 08:50 - 00000000 ____D C:\ProgramData\Hotspot Shield
    2017-07-18 08:49 - 2017-07-18 08:48 - 17025144 _____ (AnchorFree Inc.) C:\Users\JARDIN\AppData\Roaming\Hotspot Shield VPN Elite.exe
    2017-07-20 10:13 - 2017-07-20 10:14 - 16429568 _____ (AnchorFree Inc.) C:\Users\JARDIN\Downloads\apeheadlock.exe
    EmptyTemp:
    End::
  • Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
    Image
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le nouveau rapport Fixlog

@+