Pour utilisateurs avancés
Détecter et désactiver un Trojan ( Cheval
de troie, Troyen )
Le risque d'être infecté par un Trojan est proportionnel à votre temps de
connexion. Si vous croyez que votre ordinateur est infecté, débranchez-le d'Internet.
Les modems cable et ADSL doivent être déconnectés car votre connexion est permanente.
On peut vérifier avec un logiciel antivirus ou un anti-trojan mais la meilleure méthode
est de le faire manuellement, ces programmes ne peuvent pas trouver tous les Trojans (Des
nouveaux apparaissent à tous les jours). N'attendez pas
d'être infecté pour vérifier, amusez-vous à le faire, après quelques fois vous
n'aurez plus besoin de ces instructions. Il est important à l'occasion de vérifier votre
ordinateur.
Comment savoir si l'ordinateur est infecté ?
Premièrement il faut vérifier les ports. On peut les vérifier avec le programme
Netstat, qui est fourni avec MS-Windows.
Il faut être déconnecté et ouvrir Commandes MS-DOS dans le
menu programme ensuite taper ' netstat -a ' +
Entrée. Photo d'écran
Si vous voyez quelques choses dans ce genre (le numéro de port et l'adresse distante sont
qu'un exemple):
Connexions Actives
Proto
Adresse locale
Adresse distante
État
TCP
_:31337
0.0.0.0:45178
LISTENING
UDP
_:31337
*:*
Ce qui veut dire, qu'il y a un programme en attente au port 31337 pour une connexion -TCP.
Il attend que le hacker vienne se connecter et lui envoyer quelques commandes. Dans ce cas
31337 = Back-orifice. Le premier réflexe sera de faire un scan avec son Antivirus. Mais
peu probable qu'il le trouvera.
Tapez msconfig dans Exécuter et validez. (Le XP est différent, sautez cette étape.)
Vérifiez, ce qui pourrait être suspect dans ces différents onglets de msconfig:
Autoexec.bat - ' del ' et ' format '
Win.ini - Il faut vérifier les entrées ' load= ' et ' run= '
System.ini - L'entrée ' shell=
' devrait normalement être inscrit ' explorer.exe ' , si
c'est autre chose, c'est suspect.
On doit vérifier le Registre - tapez regedit dans exécuter et validez, ensuite vérifiez ces clés.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Il y a trois autres clés à vérifier:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
L'entrée par défaut est : "%1" %*
Soyez très prudent si vous modifiez la base de registre, n'oubliez pas de faire
une sauvegarde du registre avant de faire toute manipulation.
Je conseille fortement d'utiliser Vilma Registry
Explorer. Il permet en cas d'erreur de restaurer une clé et de placer les clés en
favoris.
Vérifiez le planificateur de tâches. L'idéal est de désactiver cet outil de
Windows, souvent il est utilisé par les hackers.
D'autres indices pour savoir si vous êtes infectés.
- Comportement anormal de votre ordinateur.
- Des messages suspects qui apparaissent.
- Des fichiers supprimés.
- Votre ordinateur est plus lent qu'à l'habitude.
Si vous suivez ces instructions, vous avez 99% des chances de découvrir et de supprimer
un trojan !
|
