3 votes

Utilisateur non enregistré avatar

Comment puis-je savoir si j'ai réussi à supprimer complètement un cheval de Troie non détecté ?

Demandé el 13 de Mars, 2010
Quand la question a-t-elle été
538 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai attrapé un cheval de Troie qui utilise explorer.exe pour se reproduire en cas de suppression de son entrée de démarrage automatique ou de son fichier exe principal dans la base de données. Programs/x .

Il avait déjà essayé de contacter un serveur suspect via explorer.exe, bloqué par mon pare-feu.

I :

  • Suppression des entrées de démarrage automatique du registre.
  • J'ai regardé dans mes services s'il y avait quelque chose de suspect.
  • Supprimé le cheval de Troie de Programs/
  • J'ai parcouru les informations sur le volume du système pour trouver un explorer.exe vieux de deux mois et j'ai remplacé celui qui était peut-être infecté.

Il n'y a plus de processus suspects en cours d'exécution (pas de duplicata d'explorer.exe) et rien ne veut non plus connecter le serveur des propriétaires de ce trojan.

J'ai également vérifié mon système avec plusieurs programmes anti-malware.

Ce que le cheval de Troie a fait :

  • J'ai lancé un deuxième explorer.exe
  • Toujours lorsque je supprime le fichier exe du trojan principal, il est reproduit (par le second explorer.exe).
  • Toujours quand j'ai supprimé l'entrée du démarrage automatique, cela a été reproduit par l'explorer.exe aussi.

Lorsque j'ai fermé l'explorer.exe suspect, qui utilisait deux fois moins de mémoire que l'explorer.exe moins suspect de Windows, une chose étrange que je connais grâce aux ordinateurs de mon cours d'informatique s'est produite :

Une fenêtre s'est affichée en haut à gauche de mon bureau sans explorateur, intitulée "Les paramètres personnels de ... sont ..." et a manifestement copié certains fichiers. Puis les deux explorer.exes ont redémarré et le cheval de Troie était à nouveau partout.

  • Qu'est-ce que le cheval de Troie a fait pour que l'explorateur le sauve ?
  • Mon PC est-il maintenant débarrassé de ce nouveau cheval de Troie ?
  • Quels sont les autres endroits où je dois vérifier la présence du cheval de Troie ?
  • Le trjoan ne semble pas de très haut niveau, pourrait-il avoir modifié d'autres fichiers système ou l'entrée de démarrage automatique est-elle vitale pour lui ?
Demandé el 13 de Mars, 2010 par Utilisateur non enregistré

Réponses

Trop de publicités?

2voto

reshefm avatar
reshefm Points 1719

Vous pouvez jamais être totalement sûr d'avoir supprimé un cheval de Troie. Une fois que votre sécurité est violée, vous ne savez pas ce qui s'est passé exactement.

Vous semblez avoir bien compris ce qu'il a fait à votre système. Mais que faire s'il a installé un rootkit que vous n'avez pas trouvé et qui est invisible pour votre logiciel anti-virus ?

Il y a des tonnes de choses à penser comme l'exemple ci-dessus. La seule et unique façon d'être complètement c'est un réinstallation du système complet .

Si vous n'êtes pas en mesure de le faire, lancez quelques logiciels antivirus, etc. Vérifiez tous vos paramètres de démarrage (registre, msconfig, etc.), recherchez les processus en cours d'exécution "étranges" et supprimez-les pour voir ce qui se passe.

Répondu el 13 de Mars, 2010 par reshefm (1719 Points )

1voto

itsadok avatar
itsadok Points 12971

Comme il a été dit, sans une réinstallation complète, vous ne pouvez pas être complètement sûr... Cependant, si vous prenez le temps d'inspecter en profondeur votre système (ce qui prend souvent plus de temps que d'appliquer une bonne stratégie de sauvegarde/réinstallation...) vous pourriez avoir une petite chance qu'il reste quelque chose. Voici donc quelques outils gratuits pour le faire. (par ordre de préférence personnelle)

Départ et arrivée par un sfc /scannow dans une invite de commande administrateur pour vérifier tous les fichiers système

Scanners anti-malware

Pour plus de sécurité, utilisez plusieurs moteurs et les utiliser à partir d'un support de démarrage (comme ubcd4win ) ou un autre ordinateur (bien protégé).

Détecteur de rootkit

Outils d'inspection des systèmes profonds

Bonus : Une vidéo intéressante avec Mark Russinovich (créateur de ProcessExplorer et Autoruns) à propos du nettoyage des logiciels malveillants

Répondu el 13 de Mars, 2010 par itsadok (12971 Points )

0voto

wim avatar
wim Points 11887

Utilisez Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7, spybot search& destroy ou SUPERAntiSpyware.

Répondu el 13 de Mars, 2010 par wim (11887 Points )

-1voto

Alex avatar
Alex Points 2104

(1) S'il n'a pas été détecté du tout, vous ne pouvez jamais être entièrement sûr d'avoir tout pris.

(2) Je recommanderais plutôt un Mac.

Répondu el 13 de Mars, 2010 par Alex (2104 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X