Sujet Précédent Sujet Suivant

Trojan / Worm - Qu'elle protection ?

Fermé
P4board Messages postés 33 Date d'inscription dimanche 29 octobre 2006 Statut Membre Dernière intervention 9 août 2022 - 24 oct. 2007 à 17:27
P4board Messages postés 33 Date d'inscription dimanche 29 octobre 2006 Statut Membre Dernière intervention 9 août 2022 - 25 oct. 2007 à 22:23
Bonjour,

J'ai un PC sous Win200 protégé par Avast et Sygate (+ norton sans protection automatique). Nayant pas de soucis, je ne fait plus de scan manuel.
Malheureusement hier, j'ai cru voir une attaque (DCOM) détecté par mon firewall. Au redémarrage ce matin celui-ci me demnade si C:\WinNT\System32\Drivers\csrss.exe peut accéder à internet...

Flairant le merdier, je ne l'autorise pas et regarde les processus : j'ai 2 csrss.exe un vrai et un faux qui me prends tout le CPU. Impossible de l'arreter.

Je vais donc dans la base de registre pour supprimer l'éventuelle clé dans Run avant de redémarrer, mais pas de cle avec ce fichier et rien d'anormal.

Je renomme donc le fichier en crcss.exe.suppr (étrangement ça marche) et redémarre.

Tout rentre dans l'ordre niveau CPU et je commence ma recherche :

¤ Une recherche dans la base de registre me donne :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Event\ImagePath = %systemroot%\system32\drivers\csrss.exe -k NetworkService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Event\ImagePath = %systemroot%\system32\drivers\csrss.exe -k NetworkService

¤ Un scan avec avast me trouve des virus pas tout jeunes :

C:\WinNT\eraseme_74657.exe => Win32.Sdbot-4478 trj (qui date d'avril qu'elle honte !)
C:\WinNT\m35765.exe => Win32.Sdbot-5021 trj
C:\WinNT\System32\Drivers\csrss.exe => Win32.IRCbot-BWF Wrm

Un scan avec Norton me donne la même chose +1 avec

eraseme_74657.exe => W32.IRCBot.Gen ???
m35765.exe => W32.Spybot.worm
csrss.exe => W32.IRCBot.Gen

et C:\WinNT\2466.exe

¤ Un autre scan de la base de registre sur ces fichiers ne me donne rien.

J'ai donc suivi la procédure symantec pour les spybot.worm en regardant toutes les cles dans la base de registre sans rien trouver d'anormal.
Quand à la procédure pour les IRCBot.gen elle se résume à supprimer les fichiers...

Mes questions si vous ne vous êtes pas encore endormis :

¤ Comment Avast a pu laisser passer des virus, assez anciens donc bien connus, ne jamais rien me dire alors qu'il me les détecte parfaitement lors d'un scan manuel... ?

¤ Pourquoi Norton et Avast ne donnent-ils pas les même virus pour le même fichier ?

¤ Faut-il continuer à perdre du temps dans des scans manuels que personne ne fait ?

¤ Pourquoi les 3 anciens virus n'était-ils pas chargé en mémoire et donc ne faisait à priori qu'occuper de la place sur mon disque ?

¤ Comment détecter et supprimer les modifications faites dans la base de registre ? je vais supprimer carrément les 2 répertoires Event sans trop me poser de questions, car sur mon autre PC, ils n'existent pas.

¤ Norton semble préconiser de mettre la variable HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\EnableDCOM sur N alors qu'elle est sur Y chez moi... quoi qu'est-ce et qu'elle incidence ? Il semble que ce module soit plein de failles donc ne pas l'autoriser semble être une solution assez efficace.

¤ Comment se protéger efficacement et durablement ? Je pense surtout aux personne autours de moi qui n'y connaissent rien et qui avec la même config que moi arrivent à choper tout un tas de merdier (je passe mon temps à faire du ménage sur les ordis quand je ne suis pas obligé de formater et ça me gave). Le problème, c'est que je n'arrive pas à leur expliquer ce qu'il faut faire et ne pas faire. Surtout que même moi qui fait plutot gaffe j'ai des trucs qui traine.

Voila, si vous pensez pouvoir m'éclairer...
A voir également:

4 réponses

Réponse 1 / 4
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2007 à 22:38
Pourquoi Norton et Avast ne donnent-ils pas les même virus pour le même fichier ?
chaque antivirus donne un nom different, c'est comme ca



bon essaye ça:

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


-------------------------------------
ensuite:

scan avec des antiespions (en mode sans échec):

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

----------

AVG antispyxare

https://www.01net.com/telecharger/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

_____________
Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

• Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

http://kerio.probb.fr/tuto-Clean-h37.html

--------------

utilise pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
------------

colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr
0
Réponse 2 / 4
P4board Messages postés 33 Date d'inscription dimanche 29 octobre 2006 Statut Membre Dernière intervention 9 août 2022 26
25 oct. 2007 à 12:38
Faut faire tout ça ??? j'en ai jusqu'à la fin de la semaine à lire tout les tuts et à tout télécharger... Pour info MSN n'ai pas installé sur mon poste et ne le sera certainement jamais.

Je suis plutôt du genre à ne pas installer tout un tas de trucs que je ne connais pas, mais plutôt à faire les choses moi même quand c'est pas trop compliqué (avant ton post ça ne l'était pas trop... enfin il me semble). Mais je vois que ce qui travaillent sur des logiciels de protection ne sont pas prêt de manquer de boulot ; surtout si ces logiciels ne marchent pas et qu'il faut en installer 50...

Bon quand je dis pas le même virus suivant l'anti-virus, c'est que je trouve étrange que l'un me dise que c'est un trojan et l'autre un worm... c'est quand même pas la même chose non ?

Mon PC tourne rond, et je pense qu'il n'y a plus rien qui traine sauf éventuellement des traces dans la base de registre.

Ma question n'était pas comment nétoyer mon PC, car je pense m'en sortir, mais comment éviter d'avoir à le faire, donc pourquoi ces trucs sont-ils arrivés sur mon PC alors que j'ai un antivirus à jour et un bon firewall que je maitrise. j'ai une petite idée la dessus (faille DCOM), mais j'aurais aimé qu'on m'explique le pourquoi de la chose...

Maintenant, si l'informatique, c'est passer son temps à dépanner plutôt qu'à l'utiliser, faut arreter tout de suite.

Merci quand même de ta réponse, mais tu l'auras compris, j'aime bien comprendre les choses.
0
Réponse 3 / 4
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 oct. 2007 à 13:25
slt,
pour te renseigner tu va sur secuser.com et dans la recherche tu tape le nom des virus que tu as et tu aura des precisions

http://search.atomz.com/search/?sp-a=sp1002e9aa&sp-f=ISO-8859-1&sp-g=2&sp-q=W32.IRCBot.Gen+&submit=Ok

_________________

trojan definintion:

trojan


worm definition:
http://www.dicofr.com/cgi-bin/n.pl/dicofr/definition/20010101005302
___________


ensuite les antivirus ne sont pas infaillibles et peuvent laisser passer des choses malheureusement, c'est comme ca,
pour eviter , il faut eviter les sites dansgereux, les telechargements, les mails de personnes non connues.....


de plus en gratuit avast est moyen, antivir est meilleur:

et norton dans les payant n'est pas le meilleur non plus


_______________


en plus des antivirus, il faut mettre un parefeu que tu as , des antiespions...











pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

AD AWARE + SPYBOT + WINDOWS DEFENDER ou SPYWARE TERMINATOR

+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf






maintenant si ca te vas pas tant pis
0
Réponse 4 / 4
P4board Messages postés 33 Date d'inscription dimanche 29 octobre 2006 Statut Membre Dernière intervention 9 août 2022 26
25 oct. 2007 à 22:23
C'est un début de réponse assez interessant.

J'irais voir sur secuser.com dès que j'aurais un peu de temps.

Norton je savais que c'était une passoire, c'est pour cela que je suis passé à Avast. Mais si tu me dis qu'Antivir est mieux...
Le firewall Sygate me semble efficace (mais un peu complexe à configurer), donc je garde... à moins de passer sur Kerio dont je n'ai entendu que du bien.
Quand aux anti espions, j'en ai pas... Je vais voir de ce coté, mais devoir installer 3 logiciels voir 4 pour cela, c'est un peu abuser non...

En tout cas, c'est chiant de passer son temps à nettoyer son Pc et ceux des copains ; il faut que je trouve une combinaison simple et efficace.

Pour la valeur de DCOM dans la base de registre, je passe sur N ?

Merci.
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
comment enlever les DRM sur captvty
alcion6465 -
Panth33ra -

1 réponse