|
statut : invité 
|
|
|
|
Pc zombie |
#1 |
 Message de
Vaudou
, posté le 05/08/2007 à 22:44 |
|
Bonjour à tous,
Je travaille dans la maintenance / dépannage informatique. Depuis 48h j'ai eu 3 cas de PC transformés en Zombis : (XP familial et XP pro, à jour sur Windows update + firewall OK + antivirus ok) :
- CPU au taquet
- Envoient des mails via un serveur SMTP furtif installé sur le PC sur un port indeterminé (pas le 25 bien sur ...)
- Aucune tâche suspecte en cours (recherche faite avec "Process explorer" ...)
- Aucune info chez Microsoft (malgré contrat "Premier Support Enterprise")
Pas d'autre solution que la reinstall de Win. Mais cette solution est un un peu 'boeuf'. Est-ce quelqu'un a une piste ?
|
|
  |
|
Pc zombie |
#2 |
| Message de
sygar
, posté le lundi 6 août 2007 à 10:27 |
|
|
tu n'as rien non plus en registry dans la clé Run ?..
|
|
|
|
Pc zombie |
#3 |
| Message de
Vaudou
, posté le lundi 6 août 2007 à 18:05 |
|
|
Non, rien dans les endroits habituels du registre (vu avec Autoruns). Je pense à un rootkit. J'y retourne demain avec RootkitRevealer, que je n'avais pas avec moi la dernière fois.
|
|
|
|
Pc zombie |
#4 |
| Message de
Jmm
, posté le lundi 6 août 2007 à 18:58 |
|
Hello,
Ouaip, les rootkits commencent à proliférer... Les utilisateurs de MSN en font parfois la douloureuse expérience.
Si tu utilises RootkitRevealer, penser à télécharger une version à jour :
RootkitRevealer
lien : www.microsoft.com/technet/sysintern ...
(... depuis que M$ a racheté Sysinternals)
Mais parmi les meilleurs anti-rootkits du moment (dans le désordre) :
RKUnhooker
lien : rkunhooker1.narod.ru/ ...
Icesword
lien : mail2.ustc.edu.cn/~jfpan/ ...
Darkspy
lien : www.fyyre.net/~cardmagic/pages/down ...
Gmer
lien : www.gmer.net/index.php ...
On peut aussi voir qui utilise quel port avec "Netstat" en ligne de commande :
lien : www.microsoft.com/technet/prodtechn ...
Si tu arrives à désinfecter tout cela (même dans le cas contraire...), il faudra penser à sécuriser correctement ces PC :
- l'utilisation d'un compte "administrateur" doit être INTERDIT lorsqu'on fait autre chose qu'administrer la machine,
- munir les PC d'un firewall sérieux (pas celui de XP qui ne filtre que le flux entrant),
- munir les PC d'un antivirus qui comprend un contrôleur d'intégrité (jeter les antivirus gratuits...) ou d'un contrôleur d'intégrité .
Bon courage, cheers,
Jmm.
Quand tout a échoué... lisez la documentation.
|
|
|
|
Pc zombie |
#5 |
| Message de
christian de montpellier
, posté le mardi 7 août 2007 à 14:23 |
|
Bonjour,
+1 Jmm
Depuis plusieurs années, je ne surf pas sur internet avec un compte possèdant des droits.
Toujours avec un compte utilisateur invité, interdisant ainsi l'installation à mon insu.
sans oublié toutes les protections
cordialement
christian de montpellier
Savez vous comment reconnaitre un homme quand il va dire quelque chose d'intelligent??
Sa phrase commence par Ma femme ma dit que
|
|
|
|
Recherche
