Bonjour,
Mon compte twitter a subit une connexion ou une tentative de connexion indésiré. Comme je ne m'en sert pas énormément, mais que je me suis connecté dessus récemment pour stopper l'envoie d’émail, je suppose la présence d'un keylogger. Même si je n'en suis pas certain vu que cela peut être une simple tentative de connexion et qu'il s'agit aussi d'un vieux mot de passe qui avait déjà été piraté (ou tentative encore une fois) sur d'autres comptes internets (Depuis je n'ai plus le même mot de passe unique et pas la même machine). M'enfin par mesure de précaution j'ai essayé malwarebyte dessus et il semble n'avoir rien trouvé. J'ai aussi lancé le test sur une machine que je pensais sure, et surprise malwarebyte m'a trouvé des entrés. J'ai besoin de votre aide pour m'en sortir s'il vous plait !!

Les deux rapports sont dans ces liens :
http://www.cjoint.com/c/FKEmF68zXuv pour la machine surprise
http://www.cjoint.com/c/FKEmRrPPx6V pour la supposée vérolée par un keylogger

J'ai aussi lancé adwcleaner :
http://www.cjoint.com/c/FKEnbVcewBV La machine surprise avec des entrés
http://www.cjoint.com/c/FKEmjhgl8MV La machine supposée vérolée, rien encore une fois.

Si vous avez d'autres tests a apporter, votre aide serait grandement appréciée, merci.

Edit: j'avais oublié d'inclure les rootkit, du coup j'ai refait avec. Mais du coup je perd l'info sur les résultats positifs trouvés vu qu'ils sont censé être éliminés et que j'ai zappé les liens et le fichier texte d'origine...
C'était des pups additionals wajam, iminent et iotio quequechose. Bon je pense m'en être débarrassé malgré tout.

Le problème, avec Twitter (et aussi pour Google et DropBox, mais moins souvent), c’est qu’il envoie un e-mail du moment qu’on se connecte sans qu’il n’y ait déjà de cookies : si jamais tu supprimes tous les cookies de Twitter sur ton navigateur et que tu tentes de te connecter à ton compte – ou que tu veux simplement te connecter depuis un onglet en navigation privée –, bim, tu as droit à un e-mail d’alerte ! Du coup, ça fait plein de faux positifs dont on finit par ne plus tenir compte (et je dois t’avouer que ça devient extrêmement pénible, quand ta BAL devient remplie d’e-mails de fausses alertes ), et on finit même par créer des filtres pour les envoyer directement à la corbeille ; et le jour où on se fait vraiment pirater, ben…

Du coup, j’ose plus virer les cookies sur mon PC (alors que je déteste ces machins qui enregistrent aussi la liste de tous les sites où tu vas !), parce que j’en ai marre de me faire spammer pour rien.

Si ça se trouve, c’est juste ça : t’es juste victime d’un faux positif parce que tu t’es connecté depuis un navigateur qui n’avait pas de cookie de Twitter déjà présent.

J'y ai pensé par ce que je suis dans ce cas, mais l'email qui m'inquiète est arrivé bien après la connexion du genre un bon mois. Et quand je m'étais connecté pour changer le paramètre j'en avais reçu un en même temps que je me connectais, celui la pour le coup il est valide. Ce qui me soule, c'est qu'on sait pas si c'est une tentative ou quelqu'un qui s'est bien connecté.

Ah, là… Enfin, j’imagine que tu as au moins changé ton mot de passe ? Mais ça manque vraiment, un moyen de déconnecter toutes les éventuelles autres sessions ouvertes d’un coup, comme sur Gmail.

Le mot de passe est changé. Je suspecte vraiment un keylogger, mais la du coup je ne sais pas quoi lancer comme scan pour en être sur.

Si tu soupçonnes un keylogger, on peut regarder ce qu'il y a dans le moteur de Windows avec FRST.
 
 
 
Information : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport ?

 

• Se rendre sur le site http://www.cjoint.com/
• Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
• Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint.
• Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme similaire  

        http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien.  

• Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.

 
 
 
 
==> Farbar Recovery Scanner Tool (FRST) de Fabar :
 
 
        Vous pouvez suivre le tutoriel ci-dessous ou bien le tutoriel plus détaillé en cliquant sur ce lien.
 
 

• Télécharger Farbar Recovery Scanner Tool. Choisir la version 32 ou 64 bits selon son système d'exploitation.

       Note: le programme est enregistré par défaut dans la rubrique Téléchargements de l'Explorateur de
               fichiers de Windows
 

• Copier le fichier FRST ou FRST64 et le coller sur le Bureau et pas ailleurs.

        (on peut aussi trouver la rubrique Bureau dans l'Explorateur de fichiers).
 

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Le programme met à jour sa base de données, patienter 5 secondes.

• Sous "Analyse facultative", cocher les cases suivantes (voir image ci-dessous):

     - Addition.txt
     - MD5 pilotes
     
     

• Cliquer sur Analyser

• Une fois le scan terminé, 2 rapports sont créés sur le Bureau, soit les rapports FRST.txt et Addition.txt.

• Héberger ces 2 rapports sur le site www.Cjoint.com, puis copier/coller les liens fournis dans ta prochaine réponse sur le forum.

Merci,
voila addition : http://www.cjoint.com/c/FKexkN7qFGV
et l'autre : http://www.cjoint.com/c/FKEsN7qFkHV

Pour la machine que je suspecte avoir un keylogger, l'autre je ne peux pas faire le scan pour l'instant.

Non, pas de keylogger ou autres malwares sur ce PC, c'est propre.  

Ok merci, donc je suppose que ce n'était qu'une tentative de connexion. Je suis soulagé. Je ferai demain le scan de la deuxième machine que je pensais saine. C'est ironique quand même la machine que je pensais infectée n'a rien et l'autre saine alors que malwarebyte m'a trouvé des spywares...

Malwarebytes trouve toujours quelques choses surtout si on ne l'a pas utilisé depuis longtemps. Après ça ne veut pas dire que ces traces soient actives, ça peut être que des résidus.  
 
Poste-moi les rapports demain de l'autre PC si tu veux, je regarderai aussi.  

J’espère bien que c'était des résidus, par ce que je m'en sert pas beaucoup de cette machine et les malwares trouvés après renseignement n'avaient pas l'air de faire leurs jobs. Je posterais demain le résultat du FRST mais malawebyte et adwcleaner ne donnent rien, globalement je pense que c'est bon.

Voila, les deux rapports de scan de FRST :
addition : http://www.cjoint.com/c/FLbih5uV
et l'autre : http://www.cjoint.com/c/FLbidfgYs2V

Merci encore.

Idem, pas de keylogger sur ce PC. Juste une petite trace d'infection dans Mozilla.
 
Pense à mettre à jour Java.
 
Et merci à Trit' pour cette explication sur les cookies.
 
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad (voir image ci-dessous).
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Copier maintenant toutes les lignes en gras ci-dessous:

    Note: pour copier toutes les lignes, griser de haut en bas toutes les lignes en restant appuyer sur le  
            clic gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
FF user.js: detected! => C:\Users\Romain\AppData\Roaming\Mozilla\Firefox\Profiles\6270li7b.default\user.js
Folder: C:\WINDOWS\system32\ÿÿÿÿÿÿÿÿerStore
Folder: C:\WINDOWS\system32\ÿÿÿÿÿÿÿÿ8

 
 

• Retourner dans le bloc-notes ouvert et au milieu de la page, faire un clic de la souris et choisir Coller (toutes les lignes vont s'inscrire).  

• Dans l'entête du bloc-notes, cliquer sur Fichier, puis Enregistrer sous ... et selectionner Bureau.  

        Dans la case Nom du fichier, écrire fixlist et cliquer sur Enregistrer.  
 
 

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, un rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Ok voila le rapport : http://www.cjoint.com/c/FLbjsfdgf2V

Du coup c'etait quoi comme type de malware ?

Java je peux le retirer non ? Ca ne sert plus a rien si ?

C'était un paramètre de préférence dans les options de Mozilla qui a été modifié, mais FRST c'est trompé d'après le rapport de correction, il n'a rien corrigé.

Ok du coup c'est bon ?

Oui, c'est bon.

Merci alors !! Je ne sais pas d’où vient cette tentative de vol de compte twitter alors mais le risque est nul finalement !!