Discussion :

[zooffy]

Bonjour tout le monde.

Désolé si je ne suis pas au bon endroit, mais j'ai plus l'habitude du forum .NET.

Je suis dans un groupe de copain et je passe pour l'informaticien de la bande, nécessairement, c'est moi qu'on appelle quand la bécanne tousse !!!

Donc un pot a pris sasfis dans la tête et MalwareBytes l'a éradiqué. Mais comment en être sûr ?

Et surtout, est ce que j'en ai lu sur le net est bien vrai : un vria trojan qui prends des information du PC et les envoi, genre les login et pass de jeux comme WOW ou autres ?

Merci pour votre aide.

[Benj.]

Donc un pot a pris sasfis dans la tête et MalwareBytes l'a éradiqué. Mais comment en être sûr ?

D'après ce que j'en ai lu sur le site/forum de Kaspersky, le trojan en question envoie des informations à un serveur.
Le mieux est donc de vérifier les connexions qui se font, sur quels ports et via quels processus.

Tu peux utiliser netstat et d'autres logiciels gratuits qui te permettront de monitorer les activités réseaux de ton/tes poste(s). (currports, processexplorer, etc).

Une fois ces connexions identifiées (si elles existent malgré la suppression du virus, un scan antivirus et un scan anti malwares), il faut les bloquer (bloquer les ports, les serveurs distants, les applications concernées, etc suivant les connexions effectuées).

Et surtout, est ce que j'en ai lu sur le net est bien vrai : un vria trojan qui prends des information du PC et les envoi, genre les login et pass de jeux comme WOW ou autres ?

le trojan peut faire office de keylogger également. Donc, par sécurité, changer les mots de passes de ses messageries, comptes en lignes et autres (au possible depuis un autre poste/OS) afin de s'assurer que ces derniers restent secrets aussi longtemps qu'il le faut et bien penser à les changer régulièrement.

[zooffy]

Merci pour ton aide.

Je vais faire le nécessaire.

[FillPCA]

Bonjour,

L'infection échange des données vers un serveur installé dans les pays de l'Est.
Il faudrait vérifier si cette valeur de registre n'a pas été modifiée :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"

Chez moi, sous XP home SP3, elle contient cette donnée :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

Il faut aussi vérifier si on ne trouve pas ces fichiers dans C:\windows\system32

Et ensuite vider les %TEMP% avec ccleaner ou un outil similaire.

Fill

[zooffy]

Merci pour cette info.
Je vais farre vérifier tout ça.