Bonjour,
 
 Depuis une semaine, tous les jours, je suis bloqué par un blacklistage de mon adresse publique par CBL.
 
En gros, il m'accuse de spammer une adresse située au Pays Bas.
 
Je demande le retrait, cela marche mais le lendemain de nouveau banni. J'ai scanné ma trentaine de postes informatiques avec Microsoft Essential + Malware Bytes et je n'ai rien trouvé de probant. Je serais infecté par le cheval de troie Zeus aussi connu comme "Zbot" et "wsnpoem".
Impossible de m'en défaire.
 
J'ai l'adresse de destination qui est 95.211.120.23:80. J'aurais voulu avoir de l'aide pour m'en défaire. Je pensais utilisé Wireshark que je mettrais sur mon serveur pour trouver l'adresse source et ainsi voir quel poste pose problème.
 
Une bonne idée? Comment la mettre en place?  
Merci

ta qu'a bloquer cette ip sur ton firewall, tout le traffic sortant n'y allant pas

C'est ce que j'ai demandé à mon responsable qui à la main sur les firewall ... Mais j'aimerais bien trouvé quel poste sème la zizanie

Ouais enfin wsnpoem c'est un trojan pour contrôler une machine à distance, bloquer en direction d'une adresse externe servira pas à grand chose
Ce qui m'étonne c'est que ce bot date de 2008, qu'il est bien connu et bien repéré par les antivirus et Malwarebytes. A la rigueur je serais tenté de dire de prendre chaque poste un à un, les déconnecter du réseau, booter sur un livecd avec un antivirus dessus (une liste ici) avec les dernières définitions de virus, et formater/wipper carrément le poste qui a la chose dessus.
Une autre solution, si tu as de quoi faire un boot PXE, serait de faire un serveur dédié, redémarrer les machines une nuit dessus pour charger un antivirus en "livePXE", de mettre les résultats dans un répertoire dédié partagé.

Oui le truc est vieux .. J'ai passé tous mes postes, surpprimès les trucs mais rien n'y fait.

Si le virus est encore actif sur certains postes, pourquoi ne pas faire une vérification des ports ouverts par celui-ci pour le détecter ?
Port aléatoire ?
A distance, ça se fait bien si ton antivirus est pas trop sensible à du scan de ports

 Ça pourrait aussi être un utilisateur itinérant / avec sa machine personnelle si par exemple des commerciaux ou autre se connectent sur votre réseau interne en wifi ou quoi, enfin c’est une piste à creuser.
 
Sinon pour wireshark je ne m'en suis pas trop servit (dans mon cas j'utilise Fing sur smartphone pour découvrir un réseau, mais on ne peux pas tracer des paquets ou autre avec), mais oui ça me semble une bonne idée pour ne pas tourner en rond des heures!
 
L'histoire de booter en PXE aussi, mais c'est pe un brin sortir la grosse artillerie dans l'immédiat.

Sinon tu peux déjà vérifier si tes postes ont us OS supporté et complètement patché aussi...

J'ai eu le souci récemment, ça prend 3 secondes de regarder dans les logs du firewall quelle machine a émis une requête vers l'IP indiquée par CBL.
Surtout que CBL explique très bien pourquoi tu te fais blacklister (IP distante, heure, etc...)