Trojan Horse

[invite42d0c639]

Je remets Trojan Horse ici sur le tapis, parce que je ne sais pas si vous allez le voir si j'écris mon message en réponse à un post d'il y a plus de deux mois.. Désolée..

Plusieurs de mes fichiers sont infectés par Trojan Horse, croyez vous que je dois quand même tous les effacer? Parce que de toutes façon, un nouvel avertissement comme quoi un autre fichier est infecté apparaît assez régulièrement (3-4 fois par heure, voire plus..). J'ai déjà redémarré en mode sans échec pour scanner tout, mais mon antivirus met tout en quarantaine, il ne peut rien faire, existe-t-il un moyen pour empêcher de contaminer tous mes fichiers?

Vous avez parlé de sites pornos et de pubs trop agressive, justement, depuis quelques temps, l'ordinateur affiche beaucoup de pubs pornos, croyez vous qu'elles seraient la cause de ce virus? Comment faire pour les arrêter? J'ai déjà intallé un anti pop-up, mais ces pubs là passent quand même..

De plus, je me demande si Trojan Horse est un spware.. Parce que depuis quelques semaines, lorque l'on ouvre Explorer, on reçoit directement un avertissement comme quoi des spywares (spiesware? Ô_o) trainent dans le coin, mais je n'arrive pas à comprendre comment empêcher leur invasion..

Et enfin, euh, est-ce que tout cela a à voir avec le fait que mon pc ferme tout seul des fenêtres, sans me demander mon avis? Enfin, je veux dire par là que lorsque je suis occupée sur Explorer, il se peut que le fenêtre disparaisse tout à coup, sans avertissement. Ca arrive aussi très souvent sur le bloc-notes..

Voilà, excusez moi d'être assez nulle en informatique, j'espère que vous pourrez m'aider, merci.
-----

[JPL]

Ouh là, l'ordinateur pourrait être sérieusement contaminé. Il va falloir que j'écrive un article général sur les méthodes de décontamination parce que cela me lasse un peu de toujours reécrire la même chose.
Trojan horse, en français cheval de Troie. Type de programme introduit à l'insu de l'utilisateur sur l'ordinateur et faisant des choses illicites. Il y a des milliers de chevaux de Troie, donc cette information est insuffisante.
Règles de protection : avoir un pare-feu (=firewall), un antivirus à jour (mise à jour quotidienne) et installer Spybot Search and Destroy, avoir Windows et Internet Explorer à jour en allant sur Windows update.
Pour désinfecter ce qui est du domaine des virus ou vers. Démarrer Windows en mode sans échec, supprimer la restauration du système (pour ME et XP) et lancer l'antivirus. En général les vers et chevaux de Troie actuels ne sont supprimés qu'en mode sans échec.
Lancer ensuite Spybot (version à jour) et nettoyer ce qu'il propose de supprimer, spywares et autres nuisances. Utiliser ensuite la fonction de vaccination de Spybot.
Remettre en fonction la restauration du système.
Ceci devrait être efficace à 99%. Il reste parfois quelques problèmes. On en reparlera uniquement si c'est nécessaire.
Si c'est une version 2000 ou XP de Windows, aller dans Outils d'administrations, services et arrêter le service de messages de Windows.
Se souvenir que sur certains sites il faut sortir couvert.
Bon courage.

[invite3bc71fae]

1) Désactive le système de restauration
2) Mise à jour de l'antivirus
3) Redémarrer en mode sans échec
4) Scanner et effacer tous les fichiers infectés.
5) Effacer toutes les données ajoutées par le virus au registre.
6) Effacer éventuellement les fichiers temporaires internet.

Quel est ton système d'exploitation: Windows Xp?

Commence par la procédure de JPL, elle est plus simple.

[JPL]

J'oubliais : le fait que l'antivirus mette tout en quarantaine est un comportement normal. Vide la quarantaine.

[A voir en vidéo sur Futura]

[invite42d0c639]

Merci beaucoup!! En fait, j'avais déjà fait tout ça ce matin, mais sans la mise à jour de Windows et de Spybot
Ca a quand même l'air d'aller mieux (on ne me dit plus que j'ai des spyware quand j'allume le pc), mais je pense que ce n'est pas encore top parce que:

* Quand je mets Spybot à jour, il me trouve un nouveau truc à télécherger, mais il ne veut pas le faire pour "erreur de parité" (?)
* Spybot ne veut pas verifier le pc à fond, je reçois un message "Erreur lors des vérifications! Xabot (Ungültiger Datentyp für")" Mais bon, si ça tombe, c'est tout à fait normal, vu que depuis que j'ai Spybot, il m'a toujours fait ça
* Je ne comprends pas très bien ce que tu veux dire par "supprimer la restauration du système" donc, je n'ai pas pu le faire..
* Quand tu parles de "service de messages de Windows", tu veux parler de l'"affichage des messages"? c'est surement débile comme question, mais j'ai peur de faire des gaffes..!!
* Oui, c'est normal que l'antivirus mette tout en quarantaine, mais parfois il peut tout réparer, non? Je croyais qu'il réparait quand il avait assimilé la méthode pour contrer l'attaque.. Je dis ça parce que.. C'est sur que je peux effacer tous les fichiers? Parce que ce sont tous des programmes et je ne suis pas très rassurée d'effacer plein de "*.exe"..

En tous cas, encore merci pour tout, il va être tout beau tout gentil mon petit pc après ça!! ^^

[JPL]

L'erreur de parité de la mise à jour de Spybot, c'est probablement le serveur qui a des problèmes. Change de serveur : il y en a plusieurs au choix.
Restauration du système, c'est uniquement pour ME et XP : faire un clic droit sur le Poste de travail et regarder ce qui s'affiche.
Xabot est un ver (sauf si par hasard il y avait sur l'ordinateur un programme de même nom ????). Curieux que l'antivirus ne l'ait pas signalé et éliminé avec Windows en mode sans échec. Et pourquoi Spybot te met-il le message d'erreur en allemand ?
Oui, dans XP c'est Affichage des messages.
Oui, il faut vider la quarantaine : c'est sans problème. Si c'est l'antivirus Norton, je n'ai jamais bien compris sa logique, mais je crois qu'il met tout systématiquement là. L'effacement est sans danger.

[invite3bc71fae]

Oui, c'est un ver qui fait beaucoup de dégâts.
Ca marche quand tu fais Ctrl+Alt+Suppr

[invite42d0c639]

J'ai encore (pour la troisième fois aujourd'hui) refait tout le processus, mais j'ai l'impression que ça ne change rien en fait..
J'avais du me tromper, quand j'ouvre IE, j'ai toujours le message comme quoi des spyware utilisent mon pc pour se reproduire..
Je ne comprends pas non plus pourquoi le message d'erreur apparait en Allemand, mais je ne comprenais déjà pas le message vu que je ne parle pas l'Allemand..!! J'ai cherché si mon pc avait un fichier ou un truc avec le nom Xabot, mais j'ai rien trouvé.. Et pourtant, j'ai refait le scan en supprimant la restauration du système et tout..
Pour Spybot, j'ai enfin réussi à le mettre a jour correctement (encore merci), mais il ne veut quand même pas tout vérifier (à cause de Xabot apparemment). En plus, quand il corrige les erreurs qu'il a repérées et que je redémarre la recherche des erreurs, je retrouve toujours une erreur, toujours la même, même si je recommence l'opération 5 fois et que je corrige à chaque fois..
doryphore : qu'est-ce qui marche quand je fais ctrl+alt+sup? Je peux trouver Xabot là bas? je ne le trouve pas..

[JPL]

As-tu un pare-feu ?
As-tu tenté Spybot en mode sans échec ?
Quel est ton antivirus ?
Essaie aussi CWschredder http://www.spywareinfo.com/~merijn/downloads.html (le site est parfois difficile à atteindre).

[invite3bc71fae]

Xabot peut parfois t'empêcher d'ouvrir la fenêtre que tu as pu ouvrir grâce à cette succession de touche.

En dernier recours, on peut faire une extraction manuelle du virus mais elle est très longue, donc il faut préférer une extraction automatique par un antivirus tant que c'est possible.

http://securityresponse.symantec.com...abot.worm.html pour l'extraction manuelle.

[invite42d0c639]

Donc euh.. J'ai un pare feu, mon atnivirus, c'est Norton et j'ai toujours utilisé Spybot en mode sans échec..
Je l'ai encore fait plusieurs fois hier, mais j'ai toujours le même message d'erreur avec Xabot.. J'ai regardé si l'erreur qui réapparaissait à chaque fois (même après l'avoir soignée) était vraiment toujours exactement la même et en fait oui. Vous croyez que c'est ce truc là qui est infecté? J'avais envie de le supprimer pour voir, mais je ne sais pas si je peux, je ne connais pas ça, dans la description, il est écrit "REG_SZ"..
Tiens, c'est bizarre, je viens de me dire que j'allais essayer Spybot en mode "normal", et je n'ai pas cette erreur qui apparait!! Mais j'ai quand même le message d'erreur, toujours le même.
Pour CWshredder, il me dit qu'il n'y a rien d'anormal. Pourtant je l'ai mis à jour et je l'ai lancé avec et sans mode sans échec.
Pour ce qui est d'extraire Xabot manuellement, je préfère pas, je suis tellement peu douée que je risque de faire bien pire que mieux, je ferai ça en dernier recours, ou je demanderai à qqn d'autre de le faire

Voilà, si vous avez encore des bonnes idées, n'hésitez pas à m'en faire part. Sinon, ben.. je crois bien que je vais finir par craquer

[JPL]

il est écrit "REG_SZ"..

Cela, c'est uen référence à la base de registre. Il faudrait une copie exacte et complète du message qui contient ou accompagne cette information.

[invite42d0c639]

Euh..? Qu'est-ce que je dois faire? Je ne comprends pas..
(sinon ce n'est pas grave, je pense que je devrais mieux abandonner..!!)

[invite3bc71fae]

Il faut juste que l'on sache tout ce qui est écrit sur le message d'erreur en question, c'est tout.

[invite66cf2135]

Bonjour à tous,

Pour notre facilité, le plus simple serait peut-être que tu ailles sur le site www.ravantivirus.com.

1) Clique sur scan online;
2) clique ensuite sur "To continue without subscribing click here".
3) Attendre quelques instants que "ready to scan" apparaisse dans la barre des statuts;
4) Cocher autoclean;
5) Cliquer sur scan my PC;
6) A la fin du scan, copie / colle le message de ravantivirus ici.



Reste calme et bonne chance,
Renart

[inviteb865367f]

Pour pare feu utilise ZoneAlarm plutot.

Dans un terminal lance :

Code:

netstat -an | grep tcp

et vérifie que par hasard tu n'as pas un client irc.

Sache qu'il se peu que les trojans utilisent ton ordinateur pour :
- récupérer des données te concenrant (mot de passes / numérode d eCB / ect ..)
- envoyer du spam
- lancer des attaques DoS

donc

(sinon ce n'est pas grave, je pense que je devrais mieux abandonner..!!)

Dans ce cas télécharge trouve un cédérom avec ZoneAlarm et un antivirus pret à être installé.
Format ton disque et réinstalle tout.

[JPL]

netstat -an | grep tcp

C'est gentil de donner une syntaxe Unix à quelqu'un qui a Windows. Déjà qu'il a l'air très embêté, si tu lui donne des truc comme ça, il va déprimer !

[inviteb865367f]

Il me semble que netstat existe sous windows, apres le "| grep .." c'est une commande standard aussi.
Mais j'ai pas de windows sous la main pour tester.

[JPL]

netstat existe, mais grep est de l'Unix.
Ceci étant dit, il est difficile pour l'utilisateur de base de tirer quelque chose de netstat.
Tiens, mon ordinateur est absolument propre et j'ai actuellement
62.233.168.220:1246 ESTABLISHED
219.153.190.106:3710 ESTABLISHED
ceci à partir de mon port 1025.
Je ne sais absolument pas ce que c'est et cela n'a pas été intercepté par Zone Alarm.

[invite42d0c639]

Euh, merci pour cette nouvelle idée!! Euh, j'ai fait le scan, mais je copie-colle juste la "conclusion" parce qu'il y a trop de fichiers infectés.. Mais s'il faut le détail, demandez-moi hein, je le ferai en 2-3 posts..!!
Voilà ce que ça donne. Dans tout le détail, mis à part les deux premiers trucs infectés, il y a chaque fois "trojandownloader" qui apparait.

Scanned
============================
Objects: 138444
Directories: 6205
Archives: 1871
Size(Kb): -545597
Infected files: 221

Found
============================
Viruses found: 8
Suspicious files: 0
Disinfected files: 0
Mail files: 117

Voilà, sinon, JPL a raison, je ne comprends rien à ce que Jeremy dit..!!

[inviteb865367f]

netstat existe, mais grep est de l'Unix.
Ceci étant dit, il est difficile pour l'utilisateur de base de tirer quelque chose de netstat.
Tiens, mon ordinateur est absolument propre et j'ai actuellement
62.233.168.220:1246 ESTABLISHED
219.153.190.106:3710 ESTABLISHED
ceci à partir de mon port 1025.
Je ne sais absolument pas ce que c'est et cela n'a pas été intercepté par Zone Alarm.

Non mais s'il poste tout ca permet de voir. Ce que tu postes par exemple je peut pas dire il manque l'autre moitié de la ligne

par ex chez moi :

Code:

tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN
tcp        0      0 192.168.0.1:33432       192.168.0.254:22        ESTABLISHED

La ligne established : les port sup à 1024 sont les ports utilisé en local pour se connecté, il sont attribué dynamiquement, le port 22 c'est le port ssh donc j'ai une connexion ssh active.

Les listen permettent de voir les services qui tournent, ici :
139 : netbios
445 : smb (partage de fichier)
631 : IPP (internet printing protocol), Cups

Bref ton firewall n'a rien dit car il s'agit d'une connection que tu as autorisée, ca peut être la connection au serveur web par exemple.

PS : y'a surement un equivalent à grep genre findstr (?)

Voilà, sinon, JPL a raison, je ne comprends rien à ce que Jeremy dit..!!

Ouvre une commande msdos (faire démarrer->executer->cmd)
Tape "netstat -an"
Les ligne commencant par "tcp" sont les lignes intéressantes.

[JPL]

Je n'ai pas mis toute la ligne parce que je n'avais pas envie de laisser traîner mon IP, la moitié qui manque c'est : TCP, mon adresse IP et le port 1025. Curieusement ces connexions entre ports >1024 aboutissent pour les derniers op à une série de routeurs, puis à une machine finale sans noms. Du coup j'ai bloqué le 1025 sortant sur mon firewall et depuis cela semble propre.

[JPL]

Pour en revenir à netstat, je passe que ta proposition équivaut à
netstat -anp TCP qui marche sous Windows.

[inviteb865367f]

Peut être, si ca donne le même résultat.

Sinon pour ton port 1025 tu as bien fait de le bloquer :

TCP Port 1025
Common Use Microsoft Remote Procedure Call (RPC) service.

Ce qui explique que ZoneAlarm n'ai pas bronché, ca doit être un process de windows comme svhost.

Sinon je confirme que grep se remplace par findstr.
Si tu veux récupérer le process qui utilise ce port :
"tasklist | findstr 1025"

On trouve les services correspondant à tous les ports tres facilement avec google.

[inviteb865367f]

Je profite de la discusion pour vous donner un lien :

https://www.grc.com/x/ne.dll?bh0bkyd2

Ca vaut le coups d'y faire un tour, c'est un site qui permet de tester différent aspects de la sécurité de votre ordinateur.

[invite42d0c639]

Je vais encore avoir l'air bête, mais quand je fais "démarer, exécuter, netstat -an, ou netstat -anp, ou netstat -anp TCP (ben oui, on ne sait jamais..!! )", j'ai bien une fenêtre qui s'ouvre, mais pas le temps de la lire hein, elle reste affichée une fraction de seconde, je n'ai même pas le temps de voir la forme du truc (je vois juste du blanc sur du noir.. )

[JPL]

Il faut aller dans Exécuter et taper cmd. On a alors la fenêtre qui ressemble à l'ancien DOS et on y tape la commande à exécuter.

[invite66cf2135]

Rebonjour,

Il vaut mieux coller toutes les infos données par ravantivirus. La conclusion ne te donne que le nombre de virus.

Tu peux peut-être essayer de télécharger trojanremover :
http://telecharger.01net.com/windows...e1s/12884.html.

Il est spécialement conçu pour éliminer les trojan. Tu peux scanner les fichiers que ravantivirus considérent comme contaminés et les éliminer via ce logiciel.

Renart.

[inviteb865367f]

Ca sert pas à grand chose de supprimer les trojan si on leur laisse la porte grande ouverte

[invite66cf2135]

Rien empêche de les éliminer et d'installer un bon firewall.
Il y en de très bons qui sont gratuits. Je pense notamment à KERIO ou ZONEALARM. Personnellement, j'utilise le premier.

Sans vouloir répéter ce qui a déjà été dit plus haut, si on veut surfer couvert, il vaut avoir :
1) un bon antivirus mis à jour;
2) un firewall;
3) un antispyware;
4) et ça ne peut pas faire de mal, un logiciel spécialisé dans lutte contre les trojans et les vers (PC CLEANER, TROJAN REMOVER,...) qui sont pullulent ces derniers temps.

Un site assez bien documenté dont une rubrique porte sur la question et que je recommande aux internautes les moins avertis sur les risques de contaminations virales :
www.sebsauvage.net

Bonne soirée.

Renart