Recherche de malware



  • Bonjour,
    J'ai un ou plusieurs PC sur notre réseau infecté par le trojan ZeroAccess, et j'aimerais donc identifier lesquels. J'ai lu qu'il fallait bloquer les ports UDP : 16464, 16465, 16470, 16471. J'ai donc créer une règle qui bloque les ports de 16464 à 16471 en activant les logs. Mais ensuite je ne trouve pas où vérifier les logs de cette règle …?
    ![2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg](/public/imported_attachments/1/2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg)
    ![2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg_thumb](/public/imported_attachments/1/2017-10-11 12_29_17-parefeucdf.pfsense - Firewall_ Rules_ Edit.jpg_thumb)



  • Puisque tu as, à juste titre, activé le log au niveau de la règle, tu peux maintenant aller voir dans le log du fw (status/system/Fw) et même faire un filtre sur les ports utilisés



  • Ok merci pour la réponse rapide. C’est ce que je fais d’habitude mais je ne vois rien concernant ces ports. Et comme je suis toujours à zéro sur cette règle dans la colonne « States », je suppose que soit la règle n’est pas correcte, soit le PC infecté n’est pas allumé… ?



  • Ou bien les éventements sont trop anciens et pas conservés dans les logs du firewall …



  • Ou bien encore qu'une autre règle en amont s'applique avant celle ci qui reste donc à 0.
    L'ordre des règles à une importance capitale, dans tous les cas



  • La règle est en haut, je vais revérifier sur plusieurs jours , ce ne serait pas étonnant que le ou les PC soient éteints aujourd'hui mercredi (établissement scolaire).



  • Ce forum n'est pas conçu pour apporter de l'aide à la désinstallation ou la détection de virus : il y a d'autres forums pour cela.
    Les questions posées ne semblent pas avoir été vraiment cherché : les logs de base se trouvent aisément !

    Le seul intérêt de ce fil est de rappeler les nécessaires (et professionnelles) bonnes pratiques :

    • il faut créer des règles pour tous les flux sortants sur chaque interface : LAN, WIFI, …
    • les utilisateurs de PC sur un réseau professionnel ne doivent pas être administrateurs locaux (c'est mon cas p.e.).
    • les PC doivent avoir les outils habituels antivirus et firewall actifs et à jour, et ils doivent être à jour de mise à jour Windows.
    • les flux habituels de navigation et de mail doivent être particulièrement surveillés et contrôlés.

    Le virus indiqué est particulièrement ancien ! Il est surprenant de voir ce type de malware encore en circulation ...



  • Peut-être que votre problème est le suivant: Cleanserp n’est qu’une des nombreuses applications imposteurs qui circulent sur Internet. Sa conception soignée semble s’aligner avec les meilleures pratiques de provision de recherche sur Internet, mais le mode d’installation et les traits de comportement trahissent sa vraie nature. Les utilisateurs infectés par ce PUP sont incapables d’appliquer leurs paramètres en ligne personnalisés, de sorte qu’ils doivent endurer le service d’escrocerie de Cleanserp.net qui remplace la page d’accueil, le moteur de recherche par défaut et la nouvelle page d’onglet sans demander clairement l’autorisation.
    http://webera.fr/cleanserp/



  • Ce forum n'est pas là pour détecter, éradiquer les virus, ni pour faire la pub de son site … Point


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy