Les chevaux de Troie peuvent causer des dommages moraux et financiers à l'utilisateur de l'ordinateur. Les programmes antivirus et les pare-feu arrêtent le flux principal de logiciels malveillants, mais de nouvelles versions de chevaux de Troie apparaissent chaque jour. Parfois, un utilisateur de PC se trouve dans une situation où l'antivirus ne voit pas le code malveillant, il doit alors gérer lui-même le programme malveillant.
Instructions
Étape 1
L'un des types de chevaux de Troie les plus désagréables est la porte dérobée, qui permet à un pirate de contrôler à distance un ordinateur infecté. Fidèle à son nom, la porte dérobée ouvre une faille pour un attaquant à travers laquelle toute action peut être effectuée sur un ordinateur distant.
Étape 2
La porte dérobée se compose de deux parties: le client, installé sur l'ordinateur du pirate, et le serveur, situé sur l'ordinateur infecté. Le côté serveur attend toujours une connexion, "suspendu" sur un port. C'est sur cette base - le port occupé - qu'il pourra être traqué, après quoi il sera beaucoup plus facile de supprimer le cheval de Troie.
Étape 3
Ouvrez la ligne de commande: "Démarrer - Tous les programmes - Accessoires - Invite de commandes". Entrez la commande netstat –aon et appuyez sur Entrée. Vous verrez une liste des connexions de votre ordinateur. Les connexions actuelles seront indiquées dans la colonne "Status" comme ESTABLISHED, les connexions en attente sont marquées par la ligne LISTENING. La porte dérobée en attente de connexion est en état d'écoute.
Étape 4
Dans la première colonne, vous verrez les adresses locales et les ports utilisés par les programmes établissant les connexions réseau. Si vous voyez des programmes dans votre liste dans un état de connexion en attente, cela ne signifie pas que votre ordinateur est certainement infecté. Par exemple, les ports 135 et 445 sont utilisés par les services Windows.
Étape 5
Dans la toute dernière colonne (PID), vous verrez les numéros d'identification du processus. Ils vous aideront à savoir quel programme utilise le port qui vous intéresse. Tapez tasklist dans la même fenêtre de ligne de commande. Vous verrez une liste de processus avec leurs noms et numéros d'identification. En regardant l'identifiant dans la liste des connexions réseau, vous pouvez utiliser la deuxième liste pour déterminer à quel programme il appartient.
Étape 6
Il y a des moments où le nom du processus ne vous dit rien. Utilisez ensuite le programme Everest (Aida64): installez-le, lancez-le et consultez la liste des processus. Everest permet de trouver facilement le chemin où se trouve le fichier exécutable. Si vous n'êtes pas familier avec le programme qui démarre le processus, supprimez le fichier exécutable et fermez son processus. Lors du prochain démarrage de l'ordinateur, une fenêtre d'avertissement peut apparaître indiquant que tel ou tel fichier ne peut pas être démarré, et sa clé d'autorun sera indiquée dans la base de registre. A l'aide de ces informations, supprimez la clé à l'aide de l'éditeur de registre ("Démarrer - Exécuter", la commande regedit).
Étape 7
Si le processus sous enquête appartient vraiment à la porte dérobée, dans la colonne "Adresse externe", vous pouvez voir l'adresse IP de l'ordinateur qui s'est connecté à vous. Mais ce sera très probablement l'adresse du serveur proxy, il est donc peu probable que vous puissiez découvrir le pirate.
