Cela fait maintenant quelque mois que je suis un utilisateurs de CIS 2011 Complete Edition, mais si j’ai pris cette solution là, ce n’étais pas pour faire jolie, il y à quelque mois je me suis fait pirater et depuis j’ai changer ma protection anti virus par CIS, bref, venons en au faite.
Cela fait à nouveau quelque temps que je pense avoir des visiteurs sur mon PC, en effet, j’ai bel et bien l’impression que je suis “surveillé” la 1er fois que cela m’est arriver, le gars n’a pas été malin et je l’ai “vu” déplacer ma souris et tapper du texte dans la barre d’URL de mon firefox, j’avais mis à ce moment là le pc Hors Réseau le temps de diagnostiquer quoi que ce soit, en vain…
Cela fait désormais 5 bon formatage dont un de bas niveau, mais j’ai apparament toujours ce problème à la différence que là le ou les gars sont plutôt discret, genre je vais mettre CTRL+ALT+SUPPR (menu pour la gestion des taches et autres ) et paf 2minute après plus rien, de nouveau sur le bureau de windows ou encore je sort 5 minute je reviens je suis sur une page FB d’un groupe alors que j’avais pas lancé Firefox…Bref sois je suis parano, sois j’ai un réel problème
Ce que j’ai tenté: Capture de trame avec WireShark, dont je recense plusieurs IP émanant des Etats Unis ou encore Corée du Nord dont les information et le ping me sont “refusé”, au passage j’ai déjà essuyer à peu près mille tentative d’intrusion sur mon poste, que Comodo Firewall avait bloqué, et cela venais généralement des pays de l’est, Chine, Etats-Unis et un peu des pays du moyen orient également.
Ce que je voudrais savoir: Il y aurait il une solution définitive pour éliminer ce genre de problèmes là, j’ai beau avoir achevé mes études dans le réseau informatique je ne suis pas la science infuse comme ont dit
Les symptômes font penser à un troyen activé par un ou des petits logiciels que l’on trouve facilement sur le net et dont le seul but est d’ennuyer l’utilisateur du PC vérolé. Malwarebytes devrait détecter le malware et le détruire.
Or tu es allé plus loin et utilisé la solution atomique, tu as formatté ton DD 5 fois dont une fois par un formattage de bas niveau ==> le troyen devrait être pulvérisé! Or il revient, ce qui laisse suspecter un rootkit de super bas niveau ,mais ça ne clope pas avec les symtômes car ses agissements devraient être tout aussi cachés que lui et ne pas se limiter à jouer avec toi.
Donc mystère. Passes quand même un coup de Malwarebytes et si rien n’y fait, peut-être alors la solution tout à fait radicale : changer ton disque dur.
Vérifies également que toutes les mesures de sécurité son implémentées dans ton routeur.
Tout d’abord merci d’avoir pris la peine de répondre, j’ai également peu de temps après avoir poster ici installer et lancer MalwareBytes, il à trouver un trojan ainsi qu’un Heuristics.Reserved.Word.Exploit (Mafois je ne sais pas du tout à quoi ça correspond mais bon) dans mon svhost.exe ils ont tout deux étais supprimer.
Néanmoins, je doute encore, la solution quand à changer de DD m’a effleurer l’esprit également
Au niveau du routeur, je n’ai pas masses d’option, au niveau pare feu, je bloque tout les paquets ARP, les datagrammes d’ip et j’ai cocher analyser le protocole et surveiller les protocoles NDIS non TCP/IP.
svchost.exe est un processus générique qui regroupe les services utilisés. As-tu pu déterminé le PID du svchost.exe que Malwarebytes a décelé comme infecté et donc de quel service il s’agit?
Je suppose que tu as désactivé les services qui ne sont pas essentiels au fonctionnement du système.
Au niveau du parefeu, si ce n’est déjà fait, active l’option 3 de l’assistant de ports furtifs “bloquer les connections entrantes et rendre mes ports furtifs pour tout le monde”.
Mets le parefeu en mode d’action personnalisée, supprime toutes les règles d’application en dehors de celle de comodo. Fais une règle pour svchost.exe autorisant les connections sortantes:
vers le port de destination 67 si tu obtiens automatiquement une adresse IP par DHCP
vers le port de destination 53 pour le DNS
de cette façon, tu auras une connection internet, mais tu seras alerté de toute demande de connection sortante ce qui devrait te permettre d’isoler celles qui te paraîtraient suspectes.
Mets également Defense+ en mode parano, tu vas avoir beaucoup d’alertes mais comme tu as une formation IT tu devrais pouvoir t’en sortir et à nouveau isoler ce qui te paraît suspect.
Active la sandbox, elle isolera tout fichier non signé numériquement.
Bonne chance et bon courage. Mais si ton problème persiste, sincèrement changer le dique dur est quand même la solution la plus efficace et pas tellement coûteuse à l’heure actuelle.
NB : comme tu as l’édition complète de CIS, tu peux également faire appel à GeekBuddy pour nettoyer ton PC, mais le service n’est pas en français pour le moment.
Cela fait désormais 5 bon formatage dont un de bas niveau,
Vraiment? Et le probléme est toujours la?
Il faut que tu cherche dans ton réseau, ou dans les logiciels que tu installe, ou dans ta tête (vraiment).
Tout ça me fait penser a Adèle Blanc-Sec.
Je m'excuse.
Merci pour les conseil Boris 3, je vais mettre en application ce que tu m’a dit et voir un peu ce qui ce passe sur le réseau et le poste.
@SG65: C’est ce que j’ai fait, chercher dans mon réseau, et j’ai vu des IPs qui me semblait suspecte, je les bloques les unes derrières les autres, mais à ce tarif là je m’en sort plus. Au niveau des Software c’est clean dans la mesure du possible. Je viens poser la question à d’autres qui sont peut être passé par là ou qui dans leur quotidiens sont confrontés à ce genre de soucis.
Je ne suis pas parano, je ne dit pas que rien ne me fait peur, mais la dernière fois ça à faillis me coûter chère et m’a value un détour par la banque ainsi qu’à la police alors tu comprend que je me méfie quand même plus au moindre pet à droite au lieu de la gauche.
Je suis pour le moins intrigué, car après autant de formatage bas-niveau tu devrais être clean. Même les rootkits attaquant le MBR, devraient être éradiqués. Tu devrais aussi poser ta question sur ces forums :
