j'ai un ordinateur avec Windows XP contaminés. J'ai utilisé l'anti-virus Avast
et ses complices de nettoyage : Ad-Aware et SpyBot.
je n'arrive pas a venir a bout d'une petite cochonnerie qui lorsque
je suis connecté au net ouvre une jolie connexion TCP sur le port 6667
sur une IP que je ne peux vous donner exactement a cet instant précis.
Une fois cette connexion établie (je ne connais pas l'ordre chronologique
exact), mon réseau se trouve submergé par des requetes ARP (detectées
via Ethereal).
Je suppose qu'il s'agit d'un cheval de troie télécommandé par un canal IRC.
Qui saurait l'identifier et mieux l'erradiquer ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
Marc Quinton:
Je suppose qu'il s'agit d'un cheval de troie télécommandé par un canal IRC. Qui saurait l'identifier et mieux l'erradiquer ?
Ce genre de bestiole exploite au moins 2 failles de windows pour pénétrer sur le PC depuis l'internet:
La faille RPC DCOM, port 135, 139, 445, 593: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 : http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu 1) n'as pas mis ton windows à jour depuis longtemps (jamais?) 2) n'utilise pas les services d'un firewall (si oui, c'est grave)
# Étape 1: Activation du firewall de XP.
Si tu as un autre firewall, alors active-le et passe à l'étape suivante.
Va dans la console des services: panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets le en démarrage automatique afin qu'il se remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Ton antivirus. Ou:
Les nettoyeurs (60aine de bestioles courantes dont les agobot/gaobot):
Plus lourd et beaucoup plus complet, Syscleaner: http://www.trendmicro.com/download/dcs.asp instructions: http://www.trendmicro.com/ftp/products/tsc/readme.txt (c'est l'antivirus utilisé sur Secuser.com)
Mieux encore: suppression à la mimine.
# Étape 3: Préparation.
Déconnecte le PC d'internet. Si tu as des partages (pour cause de réseau local par exemple), reconfigure-les (mots de passe solides, partage d'un répertoire mais pas de tout le disque, et surtout pas du répertoire windows!).
Désactivation de la restauration système (XP uniquement). Aide: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", sinon la restauration système est toujours active.
Utilise ton antivirus, ou si tu connais le nom du fichier, supprime-le.
# Étape 5: Remettre la restauration système (pas forcément en mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de réinfection dès que le firewall aura un problème.
-- joke0
Salut,
Marc Quinton:
Je suppose qu'il s'agit d'un cheval de troie télécommandé par
un canal IRC. Qui saurait l'identifier et mieux l'erradiquer ?
Ce genre de bestiole exploite au moins 2 failles de windows pour
pénétrer sur le PC depuis l'internet:
La faille RPC DCOM, port 135, 139, 445, 593:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps (jamais?)
2) n'utilise pas les services d'un firewall (si oui, c'est grave)
# Étape 1: Activation du firewall de XP.
Si tu as un autre firewall, alors active-le et passe à l'étape suivante.
Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Ton antivirus. Ou:
Les nettoyeurs (60aine de bestioles courantes dont
les agobot/gaobot):
Plus lourd et beaucoup plus complet, Syscleaner:
http://www.trendmicro.com/download/dcs.asp
instructions:
http://www.trendmicro.com/ftp/products/tsc/readme.txt
(c'est l'antivirus utilisé sur Secuser.com)
Mieux encore: suppression à la mimine.
# Étape 3: Préparation.
Déconnecte le PC d'internet. Si tu as des partages (pour
cause de réseau local par exemple), reconfigure-les (mots de
passe solides, partage d'un répertoire mais pas de tout le
disque, et surtout pas du répertoire windows!).
Désactivation de la restauration système (XP uniquement).
Aide:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
sinon la restauration système est toujours active.
Utilise ton antivirus, ou si tu connais le nom du fichier, supprime-le.
# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.
Je suppose qu'il s'agit d'un cheval de troie télécommandé par un canal IRC. Qui saurait l'identifier et mieux l'erradiquer ?
Ce genre de bestiole exploite au moins 2 failles de windows pour pénétrer sur le PC depuis l'internet:
La faille RPC DCOM, port 135, 139, 445, 593: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 : http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu 1) n'as pas mis ton windows à jour depuis longtemps (jamais?) 2) n'utilise pas les services d'un firewall (si oui, c'est grave)
# Étape 1: Activation du firewall de XP.
Si tu as un autre firewall, alors active-le et passe à l'étape suivante.
Va dans la console des services: panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets le en démarrage automatique afin qu'il se remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Ton antivirus. Ou:
Les nettoyeurs (60aine de bestioles courantes dont les agobot/gaobot):
Plus lourd et beaucoup plus complet, Syscleaner: http://www.trendmicro.com/download/dcs.asp instructions: http://www.trendmicro.com/ftp/products/tsc/readme.txt (c'est l'antivirus utilisé sur Secuser.com)
Mieux encore: suppression à la mimine.
# Étape 3: Préparation.
Déconnecte le PC d'internet. Si tu as des partages (pour cause de réseau local par exemple), reconfigure-les (mots de passe solides, partage d'un répertoire mais pas de tout le disque, et surtout pas du répertoire windows!).
Désactivation de la restauration système (XP uniquement). Aide: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du chargement de win), choix "safe mode" ou "mode sans échec", sinon la restauration système est toujours active.
Utilise ton antivirus, ou si tu connais le nom du fichier, supprime-le.
# Étape 5: Remettre la restauration système (pas forcément en mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de réinfection dès que le firewall aura un problème.
-- joke0
Marc Quinton
joke0 wrote:
C'est arrivé parce que tu 1) n'as pas mis ton windows à jour depuis longtemps (jamais?) 2) n'utilise pas les services d'un firewall (si oui, c'est grave)
en general, je suis derriere un routeur, mais Free, suite a un degroupage m'a causé bien des soucis m'amenant a une connexion directe via un modem USB. C'est probablement a ce niveau que je me suis fait contaminer.
Et pour completer, c'est vrai que ma machine n'est pas completement a jour au niveau des patchs, honte a moi.
merci infiniment pour ta longue et tres précieuse réponse.
joke0 wrote:
C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps (jamais?)
2) n'utilise pas les services d'un firewall (si oui, c'est grave)
en general, je suis derriere un routeur, mais Free, suite a un degroupage
m'a causé bien des soucis m'amenant a une connexion directe via un
modem USB. C'est probablement a ce niveau que je me suis fait contaminer.
Et pour completer, c'est vrai que ma machine n'est pas completement
a jour au niveau des patchs, honte a moi.
merci infiniment pour ta longue et tres précieuse réponse.
C'est arrivé parce que tu 1) n'as pas mis ton windows à jour depuis longtemps (jamais?) 2) n'utilise pas les services d'un firewall (si oui, c'est grave)
en general, je suis derriere un routeur, mais Free, suite a un degroupage m'a causé bien des soucis m'amenant a une connexion directe via un modem USB. C'est probablement a ce niveau que je me suis fait contaminer.
Et pour completer, c'est vrai que ma machine n'est pas completement a jour au niveau des patchs, honte a moi.
merci infiniment pour ta longue et tres précieuse réponse.
