Trojan Horse

[Jeremy]

Pour pare feu utilise ZoneAlarm plutot.

Dans un terminal lance :

Code:

netstat -an | grep tcp

et vérifie que par hasard tu n'as pas un client irc.

Sache qu'il se peu que les trojans utilisent ton ordinateur pour :
- récupérer des données te concenrant (mot de passes / numérode d eCB / ect ..)
- envoyer du spam
- lancer des attaques DoS

donc

(sinon ce n'est pas grave, je pense que je devrais mieux abandonner..!!)

Dans ce cas télécharge trouve un cédérom avec ZoneAlarm et un antivirus pret à être installé.
Format ton disque et réinstalle tout.

[JPL]

netstat -an | grep tcp

C'est gentil de donner une syntaxe Unix à quelqu'un qui a Windows. Déjà qu'il a l'air très embêté, si tu lui donne des truc comme ça, il va déprimer !

[Jeremy]

Il me semble que netstat existe sous windows, apres le "| grep .." c'est une commande standard aussi.
Mais j'ai pas de windows sous la main pour tester.

[JPL]

netstat existe, mais grep est de l'Unix.
Ceci étant dit, il est difficile pour l'utilisateur de base de tirer quelque chose de netstat.
Tiens, mon ordinateur est absolument propre et j'ai actuellement
62.233.168.220:1246 ESTABLISHED
219.153.190.106:3710 ESTABLISHED
ceci à partir de mon port 1025.
Je ne sais absolument pas ce que c'est et cela n'a pas été intercepté par Zone Alarm.

[lotte-lotte]

Euh, merci pour cette nouvelle idée!! Euh, j'ai fait le scan, mais je copie-colle juste la "conclusion" parce qu'il y a trop de fichiers infectés.. Mais s'il faut le détail, demandez-moi hein, je le ferai en 2-3 posts..!!
Voilà ce que ça donne. Dans tout le détail, mis à part les deux premiers trucs infectés, il y a chaque fois "trojandownloader" qui apparait.

Scanned
============================
Objects: 138444
Directories: 6205
Archives: 1871
Size(Kb): -545597
Infected files: 221

Found
============================
Viruses found: 8
Suspicious files: 0
Disinfected files: 0
Mail files: 117

Voilà, sinon, JPL a raison, je ne comprends rien à ce que Jeremy dit..!!

[Jeremy]

netstat existe, mais grep est de l'Unix.
Ceci étant dit, il est difficile pour l'utilisateur de base de tirer quelque chose de netstat.
Tiens, mon ordinateur est absolument propre et j'ai actuellement
62.233.168.220:1246 ESTABLISHED
219.153.190.106:3710 ESTABLISHED
ceci à partir de mon port 1025.
Je ne sais absolument pas ce que c'est et cela n'a pas été intercepté par Zone Alarm.

Non mais s'il poste tout ca permet de voir. Ce que tu postes par exemple je peut pas dire il manque l'autre moitié de la ligne

par ex chez moi :

Code:

tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN
tcp        0      0 192.168.0.1:33432       192.168.0.254:22        ESTABLISHED

La ligne established : les port sup à 1024 sont les ports utilisé en local pour se connecté, il sont attribué dynamiquement, le port 22 c'est le port ssh donc j'ai une connexion ssh active.

Les listen permettent de voir les services qui tournent, ici :
139 : netbios
445 : smb (partage de fichier)
631 : IPP (internet printing protocol), Cups

Bref ton firewall n'a rien dit car il s'agit d'une connection que tu as autorisée, ca peut être la connection au serveur web par exemple.

PS : y'a surement un equivalent à grep genre findstr (?)

Voilà, sinon, JPL a raison, je ne comprends rien à ce que Jeremy dit..!!

Ouvre une commande msdos (faire démarrer->executer->cmd)
Tape "netstat -an"
Les ligne commencant par "tcp" sont les lignes intéressantes.

[JPL]

Je n'ai pas mis toute la ligne parce que je n'avais pas envie de laisser traîner mon IP, la moitié qui manque c'est : TCP, mon adresse IP et le port 1025. Curieusement ces connexions entre ports >1024 aboutissent pour les derniers op à une série de routeurs, puis à une machine finale sans noms. Du coup j'ai bloqué le 1025 sortant sur mon firewall et depuis cela semble propre.

[JPL]

Pour en revenir à netstat, je passe que ta proposition équivaut à
netstat -anp TCP qui marche sous Windows.

[Jeremy]

Peut être, si ca donne le même résultat.

Sinon pour ton port 1025 tu as bien fait de le bloquer :

TCP Port 1025
Common Use Microsoft Remote Procedure Call (RPC) service.

Ce qui explique que ZoneAlarm n'ai pas bronché, ca doit être un process de windows comme svhost.

Sinon je confirme que grep se remplace par findstr.
Si tu veux récupérer le process qui utilise ce port :
"tasklist | findstr 1025"

On trouve les services correspondant à tous les ports tres facilement avec google.

[Jeremy]

Je profite de la discusion pour vous donner un lien :

https://www.grc.com/x/ne.dll?bh0bkyd2

Ca vaut le coups d'y faire un tour, c'est un site qui permet de tester différent aspects de la sécurité de votre ordinateur.

[lotte-lotte]

Je vais encore avoir l'air bête, mais quand je fais "démarer, exécuter, netstat -an, ou netstat -anp, ou netstat -anp TCP (ben oui, on ne sait jamais..!! )", j'ai bien une fenêtre qui s'ouvre, mais pas le temps de la lire hein, elle reste affichée une fraction de seconde, je n'ai même pas le temps de voir la forme du truc (je vois juste du blanc sur du noir.. )

[JPL]

Il faut aller dans Exécuter et taper cmd. On a alors la fenêtre qui ressemble à l'ancien DOS et on y tape la commande à exécuter.

[renart]

Rebonjour,

Il vaut mieux coller toutes les infos données par ravantivirus. La conclusion ne te donne que le nombre de virus.

Tu peux peut-être essayer de télécharger trojanremover :
http://telecharger.01net.com/windows...e1s/12884.html.

Il est spécialement conçu pour éliminer les trojan. Tu peux scanner les fichiers que ravantivirus considérent comme contaminés et les éliminer via ce logiciel.

Renart.

[Jeremy]

Ca sert pas à grand chose de supprimer les trojan si on leur laisse la porte grande ouverte

[renart]

Rien empêche de les éliminer et d'installer un bon firewall.
Il y en de très bons qui sont gratuits. Je pense notamment à KERIO ou ZONEALARM. Personnellement, j'utilise le premier.

Sans vouloir répéter ce qui a déjà été dit plus haut, si on veut surfer couvert, il vaut avoir :
1) un bon antivirus mis à jour;
2) un firewall;
3) un antispyware;
4) et ça ne peut pas faire de mal, un logiciel spécialisé dans lutte contre les trojans et les vers (PC CLEANER, TROJAN REMOVER,...) qui sont pullulent ces derniers temps.

Un site assez bien documenté dont une rubrique porte sur la question et que je recommande aux internautes les moins avertis sur les risques de contaminations virales :
www.sebsauvage.net

Bonne soirée.

Renart