Trouver et supprimer un Keylogger sur mac?

[panzershreik]

Bonjour à tous et à toutes.
Voilà mon gros souci, il semblerait que j'ai un Keylogger sur mon Mac Book mais impossible de le trouver.
J'ai tenté d'utiliser l'utilitaire de disque pour les réparations des autorisations je ne sais pas si il répare tout et quand je lance réparation du disque soit il stoppe la vérif du disque soit il plante.
J'ai tenté avec la démo de Avast et MacScan mais il ne trouve rien excepté des cookies et des dossiers du genre "/.fseventsd/0000000000000042"

J'ai pensé à une réinstall du système mais les cd d'installations ne sont pas avec moi.
Que faire?

 

[daffyb]

qu'est ce qui te fait croire que tu as un keylogger ??

 

[panzershreik]

Mon compte wow a été hack alors que j'étais en vacances, les MJ affirment dur comme fer que c'est un keylogger mais après 2 analyses anti vir différentes rien n'apparaît.
Avast toutefois me donne cette liste d'erreur et celles-ci ont attirés mon attention par leur nom bizarre.


"/private/var/folders/zz/zzzivhrRnAmviuee+++++++++++/-Caches-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++EE+++22/-Caches-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++EE+++22/-Tmp-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++KE+++3Y/-Caches-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++KE+++3Y/-Tmp-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++L++++3k/-Caches-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++L++++3k/-Tmp-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++M++++4+/-Tmp-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++ME+++42/-Caches-"
"/private/var/folders/zz/zzzivhrRnAmviuee++++pE+++BI/-Tmp-"

 

[Romuald]

Tiens, ça me rappelle quelque chose...

 

[panzershreik]

J'ai essayé de trouvé ce qui a été posté sur l'autre sujet à propos de la console mais j'ai un peu de mal à m'en servir et à trouver les lignes demandées.

 

[bompi]

Je continue à penser [jusqu'à preuve du contraire, bien entendu], que c'est le site qui a été cracké et que les administrateurs ne veulent pas le reconnaître.

Reste que pour trouver une application, il n'y a pas dis mille manières : il faut déjà commencer par vérifier tous les processus présents sur la machine. Quant à ces dossiers, je suis terrifié par le fait qu'ils sont aussi présents sur ma machine ... :rateau:

 

[panzershreik]

Comment exactement lancer ces processus ?

 

[bompi]

Non : c'est vérifier ceux qui sont lancés, qu'il faut faire.

C'est simple : tu utilises le moniteur d'Activité [dans le dossier des utilitaires, accessibles directement dans le Finder via le menu "Aller à ..."].

---------- Nouveau message ajouté à 09h39 ---------- Le message précédent a été envoyé à 09h34 ----------

Aussi : installer un pare-feu sortant [genre LittleSnitch] histoire de vérifier aisément ce qui sort de la machine : un keylogger qui ne sort rien, c'est déjà moins dangereux.

 

[panzershreik]

Je viens de regarder les activités j'ai rien vu de spécial ce qui " pompe" le plus c'est itunes, safari, et thunderbird.
Je vais essayer de trouver ce pare-feu merci des informations

 

[PA5CAL]

Je viens de regarder les activités j'ai rien vu de spécial ce qui " pompe" le plus c'est itunes, safari, et thunderbird.
Je vais essayer de trouver ce pare-feu merci des informations

En admettant qu'il y ait réellement un keylogger (ce qui reste encore très hypothétique, comme on te l'a déjà fait remarqué ici et dans la discussion précédente), ce n'est pas en procédant ainsi que tu risques de le trouver.


Commence par fermer toutes les applications qui consomment inutilement du temps CPU (au minimum iTunes, Safari et Thunderbird, et toutes celles qui ne te servent à rien durant ta recherche).

Lance le Moniteur d'activité et règle-le afin de visualiser toutes les opérations classées par ordre décroissant d'utilisation CPU (« % proc. »).

Lance également une application destinée à utiliser le clavier, par exemple TextEdit.

Dans un premier temps, regarde l'activité CPU des process sans toucher au clavier.

Ensuite sélectionne TextEdit, et tout en maintenant une touche appuyée (de manière à provoquer une répétition rapide de la frappe au clavier) note les process dont l'activité augmente (durant l'opération, TextEdit doit continuer à être l'application active afin de recevoir les caractères tapés).

Les process qui doivent passer dans la tête de liste du Moniteur d'activité sont TextEdit et l'éventuellement process contenant le keylogger (s'il existe). D'autre process comme WindowServer, pmTool ou le Moniteur d'activité lui-même restent toujours dans la tête de liste même lorsqu'on n'utilise pas le clavier, et ne doivent donc pas être pris en compte.

Répète l'opération plusieurs fois, afin de déterminer quels process sont, sans doute possible, affectés par l'usage intensif du clavier.


Toutefois, le Moniteur d'activité ne montre pas absolument tout, et ce genre d'investigation n'est que partielle.

 

[panzershreik]

Je viens de faire ce que tu m'as dit plus de 4 fois et TextEdit est en effet premier suivi par moniteur d'activité et enfin systemUIserver.
Je peux donc en conclure que je n'ai pas de Keylogger ?
en tt cas merci à tous pour votre aide

 

[PA5CAL]

Je peux donc en conclure que je n'ai pas de Keylogger ?

Non, pas à 100%. Seulement, s'il y en a un, alors il est bien caché.

Mais il est beaucoup plus probable que si ton compte a été piraté, cela se soit passé en dehors de ton Mac. Et compte tenu de la réponse abracadabrante de Blizzard, on peut même faire l'hypothèse que le problème vienne de chez eux et qu'ils soient parfaitement au courant.

 

[Caleb01]

What about me i use KeyBag.It's perfect keylogger for Mac.it's keylogger recorder all for your mac computer and also undetectable .
It helps me a lot.

 

[bompi]

You know you're posting on a French forum, dedicated to French-speaking people, don't you ?

By the way, it's not about getting and installing a keylogger, but digging out and uninstalling a keylogger.
Quite a difference, IMO.

 

[PA5CAL]

(...) also undetectable

KeyBag peut être détecté par une méthode donnée dans le fil cité plus haut.