Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Recherche de malware

    Scheduled Pinned Locked Moved Français
    9 Posts 5 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gaelds
      last edited by

      Bonjour,
      J'ai un ou plusieurs PC sur notre réseau infecté par le trojan ZeroAccess, et j'aimerais donc identifier lesquels. J'ai lu qu'il fallait bloquer les ports UDP : 16464, 16465, 16470, 16471. J'ai donc créer une règle qui bloque les ports de 16464 à 16471 en activant les logs. Mais ensuite je ne trouve pas où vérifier les logs de cette règle …?
      ![2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg](/public/imported_attachments/1/2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg)
      ![2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg_thumb](/public/imported_attachments/1/2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg_thumb)

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Puisque tu as, à juste titre, activé le log au niveau de la règle, tu peux maintenant aller voir dans le log du fw (status/system/Fw) et même faire un filtre sur les ports utilisés

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • G
          gaelds
          last edited by

          Ok merci pour la réponse rapide. C’est ce que je fais d’habitude mais je ne vois rien concernant ces ports. Et comme je suis toujours à zéro sur cette règle dans la colonne « States », je suppose que soit la règle n’est pas correcte, soit le PC infecté n’est pas allumé… ?

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Ou bien les éventements sont trop anciens et pas conservés dans les logs du firewall …

            1 Reply Last reply Reply Quote 0
            • C
              chris4916
              last edited by

              Ou bien encore qu'une autre règle en amont s'applique avant celle ci qui reste donc à 0.
              L'ordre des règles à une importance capitale, dans tous les cas

              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

              1 Reply Last reply Reply Quote 0
              • G
                gaelds
                last edited by

                La règle est en haut, je vais revérifier sur plusieurs jours , ce ne serait pas étonnant que le ou les PC soient éteints aujourd'hui mercredi (établissement scolaire).

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Ce forum n'est pas conçu pour apporter de l'aide à la désinstallation ou la détection de virus : il y a d'autres forums pour cela.
                  Les questions posées ne semblent pas avoir été vraiment cherché : les logs de base se trouvent aisément !

                  Le seul intérêt de ce fil est de rappeler les nécessaires (et professionnelles) bonnes pratiques :

                  • il faut créer des règles pour tous les flux sortants sur chaque interface : LAN, WIFI, …
                  • les utilisateurs de PC sur un réseau professionnel ne doivent pas être administrateurs locaux (c'est mon cas p.e.).
                  • les PC doivent avoir les outils habituels antivirus et firewall actifs et à jour, et ils doivent être à jour de mise à jour Windows.
                  • les flux habituels de navigation et de mail doivent être particulièrement surveillés et contrôlés.

                  Le virus indiqué est particulièrement ancien ! Il est surprenant de voir ce type de malware encore en circulation ...

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • P
                    Philolaus
                    last edited by

                    Peut-être que votre problème est le suivant: Cleanserp n’est qu’une des nombreuses applications imposteurs qui circulent sur Internet. Sa conception soignée semble s’aligner avec les meilleures pratiques de provision de recherche sur Internet, mais le mode d’installation et les traits de comportement trahissent sa vraie nature. Les utilisateurs infectés par ce PUP sont incapables d’appliquer leurs paramètres en ligne personnalisés, de sorte qu’ils doivent endurer le service d’escrocerie de Cleanserp.net qui remplace la page d’accueil, le moteur de recherche par défaut et la nouvelle page d’onglet sans demander clairement l’autorisation.
                    http://webera.fr/cleanserp/

                    1 Reply Last reply Reply Quote 0
                    • J
                      jdh
                      last edited by

                      Ce forum n'est pas là pour détecter, éradiquer les virus, ni pour faire la pub de son site … Point

                      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.