Chaos Wraith
-= Chaos Wraith =-
Inscription le 01-01-70
Messages :
 Age : ???
Lieu de résidence :
|
|
|
|
|
Troyan a été posté le : 24/09/03 09:38
|
dites, un ami semble avoir un cheval de troie sur son pc....
Mais il n'arrive pas à le trouver...
Comment faire pour le trouver de façon rapide, et le dézinguer de façon efficace?
Merci
|
|
|
|
 Cachée
|
|
Dixit Eo
-= Chaos Doomed =-
Inscription le 25-05-02
Messages : 6806
 Age : 114 ans
Lieu de résidence : Dixit Eo
|
|
|
|
|
Réponse au Sujet 'Troyan' a été posté le : 24/09/03 10:47
|
A chaque fois qu'on me dit ça, je répond: www.zonelabs.com ( http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp?lid=pdb_za1 pour avoir le lien dirrect vers la page de téléchargement)
Puis, il clique sur "zonealarm download firewall" (les autres sont payants)
Et là, il a un firewall.
Et la, tout le monde me répond: "oui mais ça change rien".
Eh bien si. Ce firewall la, en plus de controler ce qui vient de l'extérieur, controle également ce qui vient de l'ordi vers l'extérieur.
Donc, le troyen de ton ami, quand le firewall sera activé, va faire une requete pour se connecter à internet.
Le firewall va le voir (pour peu qu'il soit laissé configuré comme à l'origine) et va émetre une alerte: "kjhgkjshdf.exe try to access to internet. Whould you like to continue?" bref, la question est: "un programme essaye d'accéder à internet, voulez vous le laisser faire?" Et la, ton pote met non.
Le probleme, c'est que zonealarm fait la meme chose avec TOUT Les programmes.
Donc, ton pote aura la meme chose avec internet explorer, msn messenger, le petit jeu de la petite soeur qui collecte des infos illégales pour le compte d'une société qui les revends aux plus offrants (des élargisseurs de pénis, en regle générale) etc, etc.
Donc, il faut séparer le bon grain quand il dit vrai. (pardon pour la finte nule)
Ainsi, installation du firewall. On relance windows.
windows démare. Quand la connection internet est lancée, il y a pleins de trucs qui demandent à se connecter sur internet pour des motivations diverses et variées.
Pour celles dont vous etes surs, cliquez sur oui (et sur "never ask again" (ou un truc comme ça). Vous pouvez faire ça pour "internet explorer" par exemple.
Pour les aplications dont on n'a aucune idée de leurs utilité, alors, on clique sur non.
Comme zonealarm est bien fait, il signale application après application.
Ainsi on peut faire toutes sortes de tests.
Et ça risque d'etre nécessaire. En effet, je suis pret à parier que certains programmes indispensables ne passeront pas au début car inconnus. (je vais essayer de palier à ça en donnant une liste non exhaustive.)
Donc, si apres avoir fait vos "oui" et vos "non" , internet ne marche pas, vous savez pourquoi. Il suffit soit d'aller dans zone alarm et de changer manuellement les autorisations, soit de relancer l'ordi. Tout les "non" reposeront la question, (sauf si vous avez cochés la petite case "never ask again", mais il faut pas le faire pour les non, au début) et les "oui" ne demanderont plus rien (puis ce qu'on a coché la dite petite case)
Ainsi, il vous est à loisir de metre des oui non définitifs pour tester si ça marche ou pas....on met un "oui" pour tel programme, ça ne marche pas, on met un oui pour tel autre programme, ça marche, on retire le oui pour le premier programme, ça ne marche plus, ok, il falait les deux programmes ensembles en oui pour que ça marche, alors, on laisse les deux oui.
Voila.
Voici une petite liste de programmes qui doivent avoir acces à internet (ou qui peuvent sans que ça ne coute quoi que ce soit)
1: "Generic host process for win32 services"
2: "Internet explorer" (étonnant)
3: "application sous systeme spouleur"
4: "applications services et controleur"
Ainsi que tout les programmes dont il est logique qu'ils accedent à internet.
(notez que si une de ces applications ne sont pas listée chez vous, ce n'est pas grave. Notez également que d'autres programmes pouraient etres indispensables sous d'autres windows. A vous de faire vos tests.)
Exemple: il est logique que msnmessenger accede à internet.
Il n'est pas logique que sprlfnsfsdfh.exe accede à internet. (vous lui avez rien demandé)
Vous avez trouvé votre troyen.
Reste deux solutions, soit, faire une recherche sur internet du non du fichier suspect, soit effacer le dit fichier, mais cette deuxiemme solution n'est guere efficace.
Telle était la méthode "deluxe".
La méthode barbare, maintenant: l'antivirus. Conjoint au firewall, car sinon, l'auteur du troyen, si il est online, peut tres bien s'amuser a couper l'antivirus toutes les secondes.
C'est chiant.
Je conseille l'antivirus ONLINE suivant: http://www.secuser.com/antivirus/index.htm .
Comme c'est online, il faut que le firewall laisse l'acces pour internet à internet explorer ainsi qu'aux programmes indispensables sités ci plus haut.
Vous cliquez sur oui à la question: "faire confiance à machin bidule et télécharger le programme?" (sinon, l'antivirus ne démare pas)
Vous sélectionnez les lecteurs à scanner (tous sauf lecteur cd et disquette, a moins que vous n'ayez l'impression que ça pourait venir de la mais faut etre fort)
Et scannez.
Si vous avez un troyen, il le trouvera.
Si vous n'en avez pas, Eh bien vous etes paranos 
Voila. Vous avez ici plusieurs techniques pour trouver un troyen, l'antivirus est la meilleure, mais non couplée à un firewall, il peut s'avérer inéficace (si le méchant pas bo qui controle le troyen est en ligne)
Reste les antivrirus qui ne sont pas onlines, comme mc affee ou Norton, mais je vous préviens, entre un troyen et un antivirus qui s'installe sur le disque dur, je prend le troyen, c'est plus facile à enlever et ça prend moins de place et moins de ressources, et ça ne pompe que les informations que le crétin qui l'a créé veut conaitre, et non TOUTES les informations possibles et imaginables.
Bref. Antivirus online, c'est déjà un bon début.
|
|
Dernière mise à jour par : Iron Ant le 24/09/03 10:52
|
--------------------
Paris a ça de commun avec les petits villages de la campagne profonde que ce sont les deux seuls endroits où on peut y trouver des individus foncièrement agressifs, stupides, associaux de nature, se croyants intelligents et n'étant pas conscient de la vie qui existe hors de leur commune. (Dixit Eo)
--------------------
Zien Nith, le plus grand des Hasards ! (Dixit Eo)
--------------------
Membre du Fan Club de Yavine03 (Dixit Eo)
--------------------
Serial paranoïaque team, atteint du syndrôme de Pafoitroi. (Dixit Eo)
--------------------
Vis fidei + In actis honor (et vive Gropaf ! (Dixit Eo))
--------------------
Dix-Itéo : La signature. (Dixit Eo)
|
|
|
|
|
Cachée
|
|
|
Dixit Eo
-= Chaos Doomed =-
Inscription le 25-05-02
Messages : 6806
Age : 114 ans
Lieu de résidence : Dixit Eo
|
|
|
|
|
|
Réponse au Sujet 'Troyan' a été posté le : 24/09/03 11:41
|
Alors j'ai fait plusieurs test de scans de ports, surtout.
Et je suis mort de rire: je passe via un modem routeur, donc, c'est son ip qui est visible sur le net. Voici les résultats obtenus:
Je clique sur "lancer le test".
"ATTENTION! L'ip de votre ordinateur ne semble pas etre celle visible à partir d'internet!"
hé, c'est CA, la protection, con.
"Voullez vous continuer néanmoins?"
Bah oui....
"scaanning".
trop cool.
"result: port 80 et port 21 open*! ATTENTION TRES DANGEREUX! ACHETEZ D URGENCE NOTRE PROGRAMME DE PROTECTION! VOUS N ETES PAS PROTEGES CORRECTEMENT!"
Ah. D'accord. J'y penserais quand des hackers arriveront à implanter des troyens dans un modem routeur. En attendant, vous permettez, mais je préfere ne pas mettre trop de pognon dans un truc qui ne me servira pas.
Sinon, j'aime bien, ça peut etre utile pour les gens qui n'ont pas encore de protection. Sauf si ils gaspillent par après leurs pognon dans les programmes "conseillés"..
Alors qu'il suffit d'un zonealarm pour.... bon, d'accord, je m'en vais
*pour ceux qui ne le savent pas, le port 80 est le port qui permet d'acceder a internet avec un browser (en gros) et le port 21 est le port qui permet de faire des transferts de fichiers via ftp. Enfin... Si on ne décide pas de les changer. Pas étonant donc que ce soit ouvert..
|
|
Dernière mise à jour par : Iron Ant le 24/09/03 11:43
|
--------------------
Paris a ça de commun avec les petits villages de la campagne profonde que ce sont les deux seuls endroits où on peut y trouver des individus foncièrement agressifs, stupides, associaux de nature, se croyants intelligents et n'étant pas conscient de la vie qui existe hors de leur commune. (Dixit Eo)
--------------------
Zien Nith, le plus grand des Hasards ! (Dixit Eo)
--------------------
Membre du Fan Club de Yavine03 (Dixit Eo)
--------------------
Serial paranoïaque team, atteint du syndrôme de Pafoitroi. (Dixit Eo)
--------------------
Vis fidei + In actis honor (et vive Gropaf ! (Dixit Eo))
--------------------
Dix-Itéo : La signature. (Dixit Eo)
|
|
|
|
|
Cachée
|
|
|
