Chinese (Simplified) Greek Italian Japanese Portuguese Russian Spanish

[Tutoriel] Comment savoir si votre ordi est infecté par un backdoor?

Le bureau est dédié à tout ce qui touche à l'environnement informatique.
Venez discuter de vos configurations PC, de vos périphériques, etc ...
Voir le premier message non lu • 10 messages • Page 1 sur 1

Comment savoir si votre ordi est infecté par un backdoor?

Message non lupar flyer8600 » 08 Mar 2012, 14:58

Bonjour à tous,
A l'heure où foisonnent les menaces diverses et variés, il y en a quand même une qui est préoccupante, c'est le backdoor (porte dérobée). Je vais vous expliquer comment savoir si vous en avez un et comment vous en défaire. Le cours maintenant!!!
1) C'est quoi un backdoor? Comment ça marche?
Un backdoor est une espèce de cheval de Troie (la partie dite serveur) qui ouvre une connexion à un ordinateur distant. Ce qui fait qu'avec un logiciel prévu pour ça, celui qui vous a envoyé le trojan à tous les pouvoirs sur votre ordinateur. Oui TOUS les pouvoirs : voir votre écran, démarrer votre webcam, votre micro, éteindre votre PC, supprimer des fichiers, voler vos mots de passe... En fait comme son nom l'indique, le fichier qui vous a infecté (le serveur) a transformé (à votre insu) votre bécane en serveur, on peut s'y connecter et récupérer tout ce qu'il y a dedans. Tout naturellement, les backdoors ne sont presque jamais détectés à l'antivirus... Les méthodes de contamination sont : téléchargement d'un fichier infecté (la plus courante) ou alors envoyé directement via votre adresse IP (assez rare)

2) Comment s'en défaire?
Vous vous en doutez, le gestionnaire de tâches est inutile pour ça... les processus des backdoors sont très souvent masqués. Pour cela il vous faut SpyBot Search and Destroy et CCleaner. Dans le menu SpyBot, allez dans outils et démarrage système :
URL : http://hpics.li/b58f923
Image
Vous avez une liste de processus qui débutent au démarrage de l'ordinateur. Cherchez celui (ou ceux) qui a (ont) comme fichier de démarrage (indiqué dans le chemin qui est le truc le plus à droite de chaque ligne) un objet : soit placé dans un disque dur autre que C:\ ou alors ceux qui ont un nom très parlant (style serveur backdoor.exe, mais c'est rare d'avoir ça...) ou encore ceux qui ont un nom qui n'est pas un des fichiers système (en clair, ceux qui ne sont pas des antivirus, des services de mises à jours, des pilotes périphériques...). Après avoir trouver le bon fichier, décochez la case correspondante à droite, puis copiez le chemin (en enlevant ce qu'il y a à la fin, c'est-à-dire le MACHIN.exe) et collez le dans la barre de recherche du poste de travail. Après que votre ordi ait trouvé le dossier, ouvrez-le, le fichier.exe qui est le backdoor devrait être dedans! Envoyez-la à la corbeille, et si ça ne marche pas, utilisez l'effaceur de sécurité de SpyBot.
URL : http://hpics.li/88b4da3
Image
En retraçant le chemin du fichier à la main ou en le collant, vous devriez y arriver.
Ce n'est pas fini! Maintenant ouvrez CCleaner, registre, chercher les erreurs mais pas tout de suite réparer. Il faut d'abord s'assurer que la clé associée au backdoor est dadans! Pour cela, regardez les clés qui doivent être corrigées et comparez-la à celle que vous avez trouvée dans SpyBot. Si elle y est, vous pouvez faire réparer. Si elle n'y est pas, allez dans le menu démarrer, puis rechercher, et tapez "regedit.exe" (attention reservé aux administrateurs et utilisateurs avertis! ça peut parfois être risqué de mettre son nez là-dedans), puis allez dans les dossiers indiqués par la clé (donnée par SpyBot) jusqu'à ce que vous trouviez la clé. Puis supprimez-là. Et c'est réglé, vous avez un ordi sain. Ceci dit si vous pouvez éviter d'aller dans le regedit c'est mieux. Bonne chance! Si vous avez des questions, n'hésitez pas à les poser ;)

PS : pour quelle raison obscure mes images ne s'affichent pas et j'ai des carrés tout pourris à la place? j'ai dû mettre l'URL à la place, mais c'est moins bien...
Avatar de l’utilisateur
flyer8600
Manager Multimédia
 
Messages: 1874
Inscription: 17 Déc 2010, 20:27
Localisation: Anvers (EBAW)
Médailles: 22
Bon Conseiller (3) Problème [Résolu] (2) Couche Tard (1) X-Plane Expert (1) Membre Vétéran Actif (1)
Contributeur (1) Gagnant Concours (13)

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar mimitutu » 11 Mar 2012, 11:45

Hello,

Il faut aussi désactiver ton réseau. Cela évitera d'envoyé des informations ou des documents au créateur du virus.

Émilien.
Avatar de l’utilisateur
mimitutu
 
Messages: 426
Inscription: 10 Mai 2009, 07:50
Localisation: Dunkerque

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar flyer8600 » 13 Mar 2012, 22:29

Salut,
Bonne remarque de ta part, j'avais oublié de l'indiquer, merci de l'avoir remarqué ;) . Je viens aussi de remarquer que j'avais mis
avec un logiciel prévu pour ça
:arrow: ça s'appelle la partie "client", mais pour celui qui est en train de se faire hacker, ça change rien... juste une petite précision. Je précise aussi quelque chose de très important, c'est que même un ordinateur sain en apparences peut être infecté par un backdoor, c'est pourquoi je vous recommande de faire toute la partie d'analyse même si tout semble normal, le processus peut être (et est souvent) injecté dans un autre ce qui le rend invisible sans les outils appropriés (ceux qui sont mentionnés). Souvent les serveurs (ce que la personne hackée a sur son ordi à son insu) sont "cryptés", c'est à dire traités pour berner les antivirus en se faisant passer pour de bêtes applications sans l'ombre d'un danger (j'ai dû le dire, mais pas en détail). Je précise aussi que les méthodes de contamination ne sont pas que les deux que j'ai mentionnées, le backdoor peut aussi avoir été installé par un autre cheval de Troie (par téléchargement automatique cette fois, et non téléchargé par l'utilisateur hacké), il y a sûrement d'autres méthodes de contamination qui existent, mais là on a les principales je pense. Voilà pour les précisions, merci de le faire remarquer si jamais il y en avait d'autres à apporter ;) .
Avatar de l’utilisateur
flyer8600
Manager Multimédia
 
Messages: 1874
Inscription: 17 Déc 2010, 20:27
Localisation: Anvers (EBAW)
Médailles: 22
Bon Conseiller (3) Problème [Résolu] (2) Couche Tard (1) X-Plane Expert (1) Membre Vétéran Actif (1)
Contributeur (1) Gagnant Concours (13)

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar trumaster » 14 Mar 2012, 10:38

Bonjour !

Je viens de lire le sujet , je suis inquiet maintenant ,j'ai des antivirus tel que :Microsoft Security Essentials"
Puis Malwarebytes Anti Malware"

Pour l'instant je ne pense pas avoir trop de problème ,à part quelques bug par ci par la. J'ai "Ccleaner",

mais voila je ne m'en suis jamais servis car je ne sais pas comment il faut le faire fonctionner ,c'est a dire il y a windows
d'un coté et application de l'autre ,en bas il y a analyse ,mon problème je ne sais pas quel case qui faut coché ou décoché ,ça ma l'air compliqué

Si quelqu'un aurais un tutos bien explicite ,ça m'éviterais de faire des erreurs que j'avais commis dans le passer
j'avais fait un nettoyage est j'avais pratiquement fait disparaitre toutes mes application ,tous mes fichiers ,alors vous comprenais que j'hésite a m'en servir.

Amicalement

Trumaster :Smilcaptain:
Windows 7 - 64 bits Edition Integrale Proc: Intel (R) Multi core (TM) i5-4670k 4 Duo CPU @ 3,40 GHz 3,40 GHz Ram 8,00 Go 2 pr: CG GTX 650 Ti :8Go de ram de Mémoire Phisique (instal) Mémoire Virtuel14Go, Mémoire virtuel disponible11.3 Go
Avatar de l’utilisateur
trumaster
 
Messages: 187
Inscription: 09 Oct 2010, 15:15
Localisation: Lézignan-Corbières

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar wolf29 » 14 Mar 2012, 12:08

Bonjour trumasteur !
Je possède également Cclearner, de mon coté
je n'utilise que les fonctions suivants :
recherche clefs invalide et historique des
recherche sur le surf !
wolf29 :silly:
Toujours plus vite ! Toujours plus haut !
Wolf29 !
Avatar de l’utilisateur
wolf29
Team
 
Messages: 1144
Inscription: 21 Juin 2010, 06:51
Localisation: Quimper, Finistère Sud
Médailles: 3
Membre Vétéran Actif (1) Contributeur (1) Gagnant Concours (1)

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar trumaster » 14 Mar 2012, 12:54

Bonjour wolf29

J'ai regarder mais il n'y a pas ce que tu me dit d'un coté "tous les cookies à garder" et de l'autre cookies a garder,
mais d'abord je ne c'est pas ce que c'est les cookies et en plus c'est tout mes fichiers installer et de l'autre c'est Google ,windows, windows live c'est tout la je ne c'est pas me servir de Cleaner

Merci ,je vais chercher voir qui pourras m'aider avec un tutos en images .

Bien amicalement,

Trusmaster :Smilcaptain:
Windows 7 - 64 bits Edition Integrale Proc: Intel (R) Multi core (TM) i5-4670k 4 Duo CPU @ 3,40 GHz 3,40 GHz Ram 8,00 Go 2 pr: CG GTX 650 Ti :8Go de ram de Mémoire Phisique (instal) Mémoire Virtuel14Go, Mémoire virtuel disponible11.3 Go
Avatar de l’utilisateur
trumaster
 
Messages: 187
Inscription: 09 Oct 2010, 15:15
Localisation: Lézignan-Corbières

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar sTEN » 14 Mar 2012, 13:15

Bonjour Trumaster,
Je vais essayer de t'expliquer comment je procède pour CCleaner. En principe tu dois avoir l'icône "corbeille" quelque part sur ton écran en raccourci. Tu clique droit dessus. Une petite fenêtre s'ouvre et propose plusieurs options comme: vider corbeille, lancer CCleaner, ouvrir CCleaner.
Pour avoir une vue des opérations, tu choisi:"ouvrir CCleaner". Une fenêtre s'ouvre et te propose "analyse". Tu clique dessus, et tout l'historique des opérations s'affiche. Ca met un peu de temps parfois, selon la longueur de l'historique. Ensuite tu clique "lancer nettoyage". Quand c'est fait, tu clique de nouveau "lancer nettoyage" pour confirmer, et c'est fini.
Voilà, bonne continuation.
A+
Sten.
A+et bon vol.
sTEN.
Avatar de l’utilisateur
sTEN
Modérateur
 
Messages: 1721
Inscription: 18 Déc 2011, 14:09
Localisation: Strasbourg
Médailles: 9
Bon Conseiller (1) Couche Tard (1) Membre Vétéran Actif (1) Contributeur (1) Gagnant Concours (5)

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar trumaster » 14 Mar 2012, 19:56

Bonjour Sten!

Merci tu m'a bien aider ,je n'oser pas ,parce que je voyer mes fichiers et j'avais peur de les supprimé ,enfin de compte j'ai eu que Facebook qui c'est déconnecter et Rikoooo ,ce n'est pas grave j'ai pu me reconnecter

Merci du renseignement.


amicalement

Trumaster :Smilcaptain:
Windows 7 - 64 bits Edition Integrale Proc: Intel (R) Multi core (TM) i5-4670k 4 Duo CPU @ 3,40 GHz 3,40 GHz Ram 8,00 Go 2 pr: CG GTX 650 Ti :8Go de ram de Mémoire Phisique (instal) Mémoire Virtuel14Go, Mémoire virtuel disponible11.3 Go
Avatar de l’utilisateur
trumaster
 
Messages: 187
Inscription: 09 Oct 2010, 15:15
Localisation: Lézignan-Corbières

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar sTEN » 14 Mar 2012, 20:39

Bonsoir,
Content de t'avoir aidé. ;) Je te conseil de faire cette manip au moins une fois par semaine.
Bon vol
A+
Sten.
A+et bon vol.
sTEN.
Avatar de l’utilisateur
sTEN
Modérateur
 
Messages: 1721
Inscription: 18 Déc 2011, 14:09
Localisation: Strasbourg
Médailles: 9
Bon Conseiller (1) Couche Tard (1) Membre Vétéran Actif (1) Contributeur (1) Gagnant Concours (5)

Re: Comment savoir si votre ordi est infecté par un backdoor

Message non lupar flyer8600 » 15 Mar 2012, 22:00

Bonjour,
Je vois qu'il y a eu du mouvement pendant mon absence ;) . Pour trumaster, Microsoft Security Essentials n'est pas un mauvais antivirus mais avec antivir couplé à Spybot et MalwareBytes Antimalware et un bon pare-feu (zone alarm est pas mal, mais pour les backdoors même un pare-feu payant et réputé est inutile) t'as une sécurité optimale, le moteur de blocage d'antivir est génial (et c'est gratuit!!!). Le summum du haut de gamme en antivirus reste cependant Kaspersky, mais il est payant... Si tu télécharges pas illégalement, que tu n'as pas d'amis hackers qui causent avec toi sur MSN ou Skype (car il est très facile de trouver l'IP de quelqu'un lorsqu'on est en communication avec lui, 2 ou 3 lignes dans l'invite de commandes Windows suffisent si elles sont entrées par le hacker pendant la conversation), tu as très peu de chances de te faire attaquer. Si jamais tu as des messages bizarres qui s'affichent, ton lecteur CD qui s'ouvre tout seul, des fichiers qui disparaissent et qui reviennent par magie à un autre endroit (ou qui ne reviennent pas) ou des fichiers bizarres qui apparaissent sur le bureau ou ailleurs, des logiciels qui se lancent tout seuls comme par magie, là tu peux te dire que ton ordi a des problèmes... mais aussi le backdoor peut se faire discret et (juste) te voler tes mots de passe grâce aux cookies ou au keylogger (enregistreur de frappe, un logiciel très discret qui est une fonction mise à disposition du hacker dans la partie "client", ou RAT dans le jargon pour Rempote Administration Tools, qui permet d'envoyer au hacker 100% de ce que tu as tapé au clavier, dont les codes de cartes bancaires...), d'où en fait l'importance de supprimer ses cookies dès qu'on quitte internet (avec CCleaner ou l'option qui permet de supprimer les données de navigation sur les navigateurs, mais c'est moins efficace, même après ça CCleaner en trouve encore des fois). En clair CCleaner tous les jours c'est mieux ;) . Dans CCleaner, pensez à tout cocher dans les sections navigateurs, le cache ne sert à rien (en théorie c'est fait pour accélérer la navigation sur les pages déjà visitées, mais j'ai pas vu la différence avec ou sans), les historiques non plus, les cookies sont juste un truc qui permet de se connecter automatiquement sur un site où on a un compte, comme rikoooo qui propose cette option que je conseille d'éviter pour les raisons dites un peu avant, et tout le reste qui ne sert qu'à encombrer le disque dur.
Voilà je pense que c'est bon pour aujourd'hui, bonne chasse aux éventuels backdoors sur votre ordi (faites-le c'est important!!! Si il le faut, recherchez sur notre ami google tous les noms des processus qui sont présents dans la liste de SpyBot pour voir à quoi ça sert et si c'est dangereux ou pas, il y a un site qui s'appelle ProcessLibrary qui donne des infos sur chaque processus répertorié, et autre détail, le processus du backdoor peut reprendre un nom légitime comme "expolrer.exe", mais différents à un espace près comme "explorer .exe", ce qui change tout... alors il faut voir le fichier de démarrage, qui lui aussi peut porter un nom qui semble être légitime, mais comme deux processus ne peuvent avoir le même nom sauf s'il est lancé deux fois simultanément, il doit être différent à un espace près aussi pour avoir l'air normal, sans oublier qu'il peut se mettre dans le même dossier que le fichier de lancement légitime), excusez moi d'être aussi bavard, mais la sûreté, c'est important ;) . Bonne chance et à bientôt!
Avatar de l’utilisateur
flyer8600
Manager Multimédia
 
Messages: 1874
Inscription: 17 Déc 2010, 20:27
Localisation: Anvers (EBAW)
Médailles: 22
Bon Conseiller (3) Problème [Résolu] (2) Couche Tard (1) X-Plane Expert (1) Membre Vétéran Actif (1)
Contributeur (1) Gagnant Concours (13)


10 messages • Page 1 sur 1

Retourner vers Le bureau des geeks

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré