Trojan Horse

[lotte-lotte]

Je remets Trojan Horse ici sur le tapis, parce que je ne sais pas si vous allez le voir si j'écris mon message en réponse à un post d'il y a plus de deux mois.. Désolée..

Plusieurs de mes fichiers sont infectés par Trojan Horse, croyez vous que je dois quand même tous les effacer? Parce que de toutes façon, un nouvel avertissement comme quoi un autre fichier est infecté apparaît assez régulièrement (3-4 fois par heure, voire plus..). J'ai déjà redémarré en mode sans échec pour scanner tout, mais mon antivirus met tout en quarantaine, il ne peut rien faire, existe-t-il un moyen pour empêcher de contaminer tous mes fichiers?

Vous avez parlé de sites pornos et de pubs trop agressive, justement, depuis quelques temps, l'ordinateur affiche beaucoup de pubs pornos, croyez vous qu'elles seraient la cause de ce virus? Comment faire pour les arrêter? J'ai déjà intallé un anti pop-up, mais ces pubs là passent quand même..

De plus, je me demande si Trojan Horse est un spware.. Parce que depuis quelques semaines, lorque l'on ouvre Explorer, on reçoit directement un avertissement comme quoi des spywares (spiesware? Ô_o) trainent dans le coin, mais je n'arrive pas à comprendre comment empêcher leur invasion..

Et enfin, euh, est-ce que tout cela a à voir avec le fait que mon pc ferme tout seul des fenêtres, sans me demander mon avis? Enfin, je veux dire par là que lorsque je suis occupée sur Explorer, il se peut que le fenêtre disparaisse tout à coup, sans avertissement. Ca arrive aussi très souvent sur le bloc-notes..

Voilà, excusez moi d'être assez nulle en informatique, j'espère que vous pourrez m'aider, merci.

[JPL]

Ouh là, l'ordinateur pourrait être sérieusement contaminé. Il va falloir que j'écrive un article général sur les méthodes de décontamination parce que cela me lasse un peu de toujours reécrire la même chose.
Trojan horse, en français cheval de Troie. Type de programme introduit à l'insu de l'utilisateur sur l'ordinateur et faisant des choses illicites. Il y a des milliers de chevaux de Troie, donc cette information est insuffisante.
Règles de protection : avoir un pare-feu (=firewall), un antivirus à jour (mise à jour quotidienne) et installer Spybot Search and Destroy, avoir Windows et Internet Explorer à jour en allant sur Windows update.
Pour désinfecter ce qui est du domaine des virus ou vers. Démarrer Windows en mode sans échec, supprimer la restauration du système (pour ME et XP) et lancer l'antivirus. En général les vers et chevaux de Troie actuels ne sont supprimés qu'en mode sans échec.
Lancer ensuite Spybot (version à jour) et nettoyer ce qu'il propose de supprimer, spywares et autres nuisances. Utiliser ensuite la fonction de vaccination de Spybot.
Remettre en fonction la restauration du système.
Ceci devrait être efficace à 99%. Il reste parfois quelques problèmes. On en reparlera uniquement si c'est nécessaire.
Si c'est une version 2000 ou XP de Windows, aller dans Outils d'administrations, services et arrêter le service de messages de Windows.
Se souvenir que sur certains sites il faut sortir couvert.
Bon courage.

[doryphore]

1) Désactive le système de restauration
2) Mise à jour de l'antivirus
3) Redémarrer en mode sans échec
4) Scanner et effacer tous les fichiers infectés.
5) Effacer toutes les données ajoutées par le virus au registre.
6) Effacer éventuellement les fichiers temporaires internet.

Quel est ton système d'exploitation: Windows Xp?

Commence par la procédure de JPL, elle est plus simple.

[JPL]

J'oubliais : le fait que l'antivirus mette tout en quarantaine est un comportement normal. Vide la quarantaine.

[lotte-lotte]

Merci beaucoup!! En fait, j'avais déjà fait tout ça ce matin, mais sans la mise à jour de Windows et de Spybot
Ca a quand même l'air d'aller mieux (on ne me dit plus que j'ai des spyware quand j'allume le pc), mais je pense que ce n'est pas encore top parce que:

* Quand je mets Spybot à jour, il me trouve un nouveau truc à télécherger, mais il ne veut pas le faire pour "erreur de parité" (?)
* Spybot ne veut pas verifier le pc à fond, je reçois un message "Erreur lors des vérifications! Xabot (Ungültiger Datentyp für")" Mais bon, si ça tombe, c'est tout à fait normal, vu que depuis que j'ai Spybot, il m'a toujours fait ça
* Je ne comprends pas très bien ce que tu veux dire par "supprimer la restauration du système" donc, je n'ai pas pu le faire..
* Quand tu parles de "service de messages de Windows", tu veux parler de l'"affichage des messages"? c'est surement débile comme question, mais j'ai peur de faire des gaffes..!!
* Oui, c'est normal que l'antivirus mette tout en quarantaine, mais parfois il peut tout réparer, non? Je croyais qu'il réparait quand il avait assimilé la méthode pour contrer l'attaque.. Je dis ça parce que.. C'est sur que je peux effacer tous les fichiers? Parce que ce sont tous des programmes et je ne suis pas très rassurée d'effacer plein de "*.exe"..

En tous cas, encore merci pour tout, il va être tout beau tout gentil mon petit pc après ça!! ^^

[JPL]

L'erreur de parité de la mise à jour de Spybot, c'est probablement le serveur qui a des problèmes. Change de serveur : il y en a plusieurs au choix.
Restauration du système, c'est uniquement pour ME et XP : faire un clic droit sur le Poste de travail et regarder ce qui s'affiche.
Xabot est un ver (sauf si par hasard il y avait sur l'ordinateur un programme de même nom ????). Curieux que l'antivirus ne l'ait pas signalé et éliminé avec Windows en mode sans échec. Et pourquoi Spybot te met-il le message d'erreur en allemand ?
Oui, dans XP c'est Affichage des messages.
Oui, il faut vider la quarantaine : c'est sans problème. Si c'est l'antivirus Norton, je n'ai jamais bien compris sa logique, mais je crois qu'il met tout systématiquement là. L'effacement est sans danger.

[doryphore]

Oui, c'est un ver qui fait beaucoup de dégâts.
Ca marche quand tu fais Ctrl+Alt+Suppr

[lotte-lotte]

J'ai encore (pour la troisième fois aujourd'hui) refait tout le processus, mais j'ai l'impression que ça ne change rien en fait..
J'avais du me tromper, quand j'ouvre IE, j'ai toujours le message comme quoi des spyware utilisent mon pc pour se reproduire..
Je ne comprends pas non plus pourquoi le message d'erreur apparait en Allemand, mais je ne comprenais déjà pas le message vu que je ne parle pas l'Allemand..!! J'ai cherché si mon pc avait un fichier ou un truc avec le nom Xabot, mais j'ai rien trouvé.. Et pourtant, j'ai refait le scan en supprimant la restauration du système et tout..
Pour Spybot, j'ai enfin réussi à le mettre a jour correctement (encore merci), mais il ne veut quand même pas tout vérifier (à cause de Xabot apparemment). En plus, quand il corrige les erreurs qu'il a repérées et que je redémarre la recherche des erreurs, je retrouve toujours une erreur, toujours la même, même si je recommence l'opération 5 fois et que je corrige à chaque fois..
doryphore : qu'est-ce qui marche quand je fais ctrl+alt+sup? Je peux trouver Xabot là bas? je ne le trouve pas..

[JPL]

As-tu un pare-feu ?
As-tu tenté Spybot en mode sans échec ?
Quel est ton antivirus ?
Essaie aussi CWschredder http://www.spywareinfo.com/~merijn/downloads.html (le site est parfois difficile à atteindre).

[doryphore]

Xabot peut parfois t'empêcher d'ouvrir la fenêtre que tu as pu ouvrir grâce à cette succession de touche.

En dernier recours, on peut faire une extraction manuelle du virus mais elle est très longue, donc il faut préférer une extraction automatique par un antivirus tant que c'est possible.

http://securityresponse.symantec.com...abot.worm.html pour l'extraction manuelle.

[lotte-lotte]

Donc euh.. J'ai un pare feu, mon atnivirus, c'est Norton et j'ai toujours utilisé Spybot en mode sans échec..
Je l'ai encore fait plusieurs fois hier, mais j'ai toujours le même message d'erreur avec Xabot.. J'ai regardé si l'erreur qui réapparaissait à chaque fois (même après l'avoir soignée) était vraiment toujours exactement la même et en fait oui. Vous croyez que c'est ce truc là qui est infecté? J'avais envie de le supprimer pour voir, mais je ne sais pas si je peux, je ne connais pas ça, dans la description, il est écrit "REG_SZ"..
Tiens, c'est bizarre, je viens de me dire que j'allais essayer Spybot en mode "normal", et je n'ai pas cette erreur qui apparait!! Mais j'ai quand même le message d'erreur, toujours le même.
Pour CWshredder, il me dit qu'il n'y a rien d'anormal. Pourtant je l'ai mis à jour et je l'ai lancé avec et sans mode sans échec.
Pour ce qui est d'extraire Xabot manuellement, je préfère pas, je suis tellement peu douée que je risque de faire bien pire que mieux, je ferai ça en dernier recours, ou je demanderai à qqn d'autre de le faire

Voilà, si vous avez encore des bonnes idées, n'hésitez pas à m'en faire part. Sinon, ben.. je crois bien que je vais finir par craquer

[JPL]

Citation:

il est écrit "REG_SZ"..

Cela, c'est uen référence à la base de registre. Il faudrait une copie exacte et complète du message qui contient ou accompagne cette information.

[lotte-lotte]

Euh..? Qu'est-ce que je dois faire? Je ne comprends pas..
(sinon ce n'est pas grave, je pense que je devrais mieux abandonner..!!)

[doryphore]

Il faut juste que l'on sache tout ce qui est écrit sur le message d'erreur en question, c'est tout.

[renart]

Bonjour à tous,

Pour notre facilité, le plus simple serait peut-être que tu ailles sur le site www.ravantivirus.com.

1) Clique sur scan online;
2) clique ensuite sur "To continue without subscribing click here".
3) Attendre quelques instants que "ready to scan" apparaisse dans la barre des statuts;
4) Cocher autoclean;
5) Cliquer sur scan my PC;
6) A la fin du scan, copie / colle le message de ravantivirus ici.



Reste calme et bonne chance,
Renart

[Jeremy]

Pour pare feu utilise ZoneAlarm plutot.

Dans un terminal lance :

Code:

netstat -an | grep tcp

et vérifie que par hasard tu n'as pas un client irc.

Sache qu'il se peu que les trojans utilisent ton ordinateur pour :
- récupérer des données te concenrant (mot de passes / numérode d eCB / ect ..)
- envoyer du spam
- lancer des attaques DoS

donc

Citation:

(sinon ce n'est pas grave, je pense que je devrais mieux abandonner..!!)

Dans ce cas télécharge trouve un cédérom avec ZoneAlarm et un antivirus pret à être installé.
Format ton disque et réinstalle tout.

[JPL]

Citation:

netstat -an | grep tcp

C'est gentil de donner une syntaxe Unix à quelqu'un qui a Windows. Déjà qu'il a l'air très embêté, si tu lui donne des truc comme ça, il va déprimer !

[Jeremy]

Il me semble que netstat existe sous windows, apres le "| grep .." c'est une commande standard aussi.
Mais j'ai pas de windows sous la main pour tester.