helion

Merci Greywolf pour ces informations.

Bonjour, Je viens d'installer wireshark sur mon pc et je découvre avec surprise que mon modem livebox2 (source 192.168.1.1) envoie des requêtes type Netbios sur le réseau local (voir image ci-dessous ) : Je reçois également des requêtes du type ARP (environ toutes les minutes) Comment puis je interpréter ces requêtes ? Est ce normal qu'un modem envoie ce type de requête sur le réseau ?? Mon réseau local est il attaqué ? Merci par avance pour vos réponses.

Bonsoir greywolf et serge et tout d 'abord merci pour vos réponses. Alors ces messages apparaissent au démarrage du pc, sans que je ne demande quoi que ce soit (pas d ouverture navigateur...). Oui j'ai volontairement bloquer ces processus avec mon pare-feu car je ne sais absolument pas de quoi il s'agit. Comment savoir quels sont les programmes en demande de sortie sur mon pc vers la box alors que je ne demande absolument rien. C'est assez bizarre ?

Dois je basculer le sujet sur un autre forum ?

Eset vient de localiser une infection (deja localisé par dr web) :

Re, Alors j'ai télécharger ATF Cleaner, en pressant 3 fois, il m'a bien supprimé les quelques fichiers temporaires qui trainaient. En revanche, j'ai toujours ce décalage de 9go sur mon disque dur que je n'arrive pas à expliquer. Le rapport Malwarebyte anti malware n'indique aucun élément nuisible détecté.

Bonjour Apollo, Voici le résultat de l'analyse ZHPDiag : http://www.cijoint.fr/cj201103/cija0IRkS2.txt

Merci encore ticlou pour ton aide.

Voici le rapport hijackthis : Voici le rapport hijackthis :

Je viens de trouver ca concernant l'intrusion shutdown.14 : 2. Occupy hard disk space illegally. Once sneaking into your computer, threats that are parasitic on hard disk always take up a part of the disk space. Avez-vous une idée de comment récupérer l'espace devenu indisponible et voir ce qu'il y a dedans ?

Tout d'abord merci Ticlou et Notpa01 pour vos réponses. Je viens de tester TreeSizeFree et effectivement il ne trouve que 31 Go utilisée contre 40 Go (sur le propriétés de disque local) : Il y a donc 9 Go de disparu ?? Après avoir testé différents antivirus, visiblement mon ordinateur contient 3 hacktools (qui reviennent même après réinstallation du pc). Donc quelqu'un s'acharne a réinstaller des programmes malveillants sur ma machine. J'ai pourtant protéger mon pc avec parefeu + configuration du modem. Et utiliser que des logiciels officiels.

Bonsoir Ticlou et merci pour votre réponse. Par contre est il normal que mon pc n'a seulement qu'un mois : j'ai du télécharger / installer environ une dizaine de logiciels(et rien d'autre) qui doivent prendre environ 3 go à elles toutes. Comment est-il possible que cela représente 18 go d'espace invisible ? Peut-être est ce du à la réinstallation de Windows 7 récemment ?

Bonjour, Lorsque mon pc démarre, le parefeu "online armor" m'indique qu'il bloque certains programmes, voici le message : 27/02/11 18:47:12 [TDI] UDP, Listen, 0.0.0.0:68 <- 0.0.0.0:0, C:\Windows\System32\svchost.exe(984/776) [TDI] Blocked by rule: "UDP, <> svchost.exe, [68,500,3702,4500,5355], -(*)" 27/02/11 18:47:12 [TDI] UDP, Listen, 0.0.0.0:5355 <- 0.0.0.0:0, C:\Windows\System32\svchost.exe(1220/1264) [TDI] Blocked by rule: "UDP, <> svchost.exe, [68,500,3702,4500,5355], -(*)" 27/02/11 18:47:12 [TDI] UDP, Connect, 0.0.0.0:64510 -> 224.0.0.252:5355, C:\Windows\System32\svchost.exe(1220/1264) [TDI] Blocked by rule: "UDP, <> svchost.exe, [68,500,3702,4500,5355], -(*)" 27/02/11 18:47:13 [TDI] UDP, Connect, 0.0.0.0:60305 -> 224.0.0.252:5355, C:\Windows\System32\svchost.exe(1220/1264) [TDI] Blocked by rule: "UDP, <> svchost.exe, [68,500,3702,4500,5355], -(*)" 27/02/11 18:47:31 [TDI] UDP, Connect, 0.0.0.0:65481 -> 224.0.0.252:5355, C:\Windows\System32\svchost.exe(1220/1264) [TDI] Blocked by rule: "UDP, <> svchost.exe, [68,500,3702,4500,5355], -(*)" Lorsque j'ouvre un navigateur (IE ou Firefox), il me met le message suivant : 27/02/11 19:00:38 [TDI] UDP, Connect, 0.0.0.0:52772 -> 192.168.1.1:53, C:\Windows\System32\svchost.exe(1228/1832) [TDI] Blocked by rule: "UDP, <> svchost.exe, [53,3702,5355], -(*)" Bizarrement lorsque j'effectue un netstat -ano en commande dos, je ne vois pas ces connections. Est ce normal ? Comment puis je identifier le(s) programme(s) qui tente(nt) de communiquer avec l'extérieur du réseau ? Et les arrêter ? Par ailleurs, sur la fenêtre d' "état du pare-feu d'Online Armor", le logiciel m'indique qu'aucune interface n'est active pour les données entrantes et sortantes. Est-ce normal ? Je vous remercie par avance de votre aide.

Bonjour, Je viens de réinstaller il y a une dizaine de jours Windows 7 sur mon ordinateur. Seulement, je note bizarrement une étrange différence d'espace : - Lorsque je vais dans les propriétés du disque, l'espace utilisé est de 36,6 go - Lorsque je sélectionne directement le lecteur C et que j'analyse l'espace pris par l'ensemble des fichiers (cachés ou non), je suis à 18.8 go. Comment se fait-il que j'ai quasiment 18 go de différence ? Quelqu'un peut-il m'éclairer sur cette question. Par avance, je vous remercie de vos réponses.

Re, J'avais juste une question concernant la fin de l'analyse ZHPdiag : Est ce normal que le logiciel affiche : error reading MBR ? Ci-dessous l'analayse : ---\\ Recherche Master Boot Record Infection (MBR)(O80) Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, GMER - Rootkit Detector and Remover Run by Leon at 24/02/2011 19:29:36 device: opened successfully user: error reading MBR Disk trace: error: Read Descripteur non valide kernel: error reading MBR

Quelqu'un a t-il une idée ? Merci

Bonjour, Il y a environ une dizaine de jours, deux jours après avoir réinstallé mon pc, je découvre que le mot de passe de mon modem Orange à changer. Impossible d'accéder à l'interface de configuration. J'ai donc rebooté mon modem et changé le mot de passe. De manière à me protéger plus efficacement, j'ai voulu bloquer un maximum de ports sur mon modem Orange pour ne laisser que les ports 80 et 443 d'actifs. J'ai donc personnalisé la liste des ports ouverts pour ne laisser rentrer en udp que ces deux ports. J'ai effectué un scan de ports via les sites zebulon, grc et quelques autres, et tous m'indiquent que les ports 80 et 443 de mon modem sont fermés et que les autres ports sont masqués. J'ai ensuite utilisé un logiciel de scan de ports et bizarrement, voici ce qu'il ressort : les ports 23, 80, 139 et 2222 sont ouverts sur mon modem et le port 135 est ouvert sur mon pc. Et effectivement j'arrive à me connecter en telnet sur mon modem. Que dois je faire ? Comment puis je m'assurer que mon modem n'est pas accessible via telnet et les ports 139 et 2222 ? A defaut de ne pouvoir changer ses ports, comment puis je modifier le mot de passe telnet par défaut ? Dois je acheter un modem plus sécurisé ? si oui lequel me conseiller vous ? Comment puis je fermer le port 135 sur mon pc (windows 7 édition basique) ? Et m'assurer également que les autres ports soient inaccessibles. Je vous remercie d'avance pour l'aide que vous pourrez m'apporter.

ca marche, merci pour ton aide en tout cas.

Merci Bleuet pour ta réactivité. Alors le scan m'indique que les ports 80 et 443 sont fermés et que les autres ports sont masqués. En revanche, lorsque je fais un scan avec un logiciel de scanner de port, il m indique toujours que le modem est ouvert sur telnet et c'est bien le cas. Est il possible de fermer le port 21 sur un modem orange ? Ou au moins par défaut modifier le mot de passe "telnet"? D'autre part, quelle est la procédure à suivre pour protéger le port 135 sur windows 7 ? Il me semble que par défaut ce protocole est indispensable au fonctionnement mais qu'il est possible de contourner le problème.

Voici le rapport ZHPDiag : http://www.cijoint.fr/cj201102/cijtnY9Jhy.txt J'ai toujours Avira Antivirus installé sur mon pc, seulement je l'ai désactivé au démarrage.

Voici le rapport hijackthis :

Bonjour, oui c'est ce que j'ai fait. J'ai scanné mon pc avec spywareblaster, malwarebyte anti malware, cccleaner + scan avira antivir mais rien a été détecté. Faut il que je fasse un rapport hijackthis ?

Bonjour, Il y a environ une dizaine de jours, deux jours après avoir réinstallé mon pc, mon pare-feu (Online Armor) m'indique qu'il a détecté un key logger. Or, je n'ai pourtant installé que des logiciels issus des sites d'origine. Dans le même temps, je découvre que le mot de passe de mon modem Orange à changer. Impossible d'accéder à l'interface de configuration. J'ai donc rebooté mon modem et changé le mot de passe. De manière à me protéger plus efficacement, j'ai voulu bloquer un maximum de ports sur mon modem Orange pour ne laisser que les ports 80 et 443 d'actifs. J'ai donc personnalisé la liste des ports ouverts pour ne laisser rentrer en udp que ces deux ports. J'ai effectué un scan de ports via les sites zebulon, grc et quelques autres, et tous m'indiquent que les ports 80 et 443 de mon modem sont fermés et que les autres ports sont masqués. J'ai ensuite utilisé un logiciel de scan de ports et bizarrement, voici ce qu'il ressort : les ports 23, 80, 139 et 2222 sont ouverts sur mon modem et le port 135 est ouvert sur mon pc. Encore plus bizarrement, en essayant de me connecter via telnet sur mon modem orange, il me repond que le mot de passe est incorrect. Est ce normal ? Que dois je faire ? Comment se fait il que via telnet mon mot de passe ne fonctionne pas ? Comment puis je m'assurer que mon modem n'est pas accessible via telnet et les ports 139 et 2222 ? Dois je acheter un modem plus sécurisé ? si oui lequel me conseiller vous ? Comment puis je fermer le port 135 sur mon pc (windows 7 édition basique) ? Et m'assurer également que les autres ports soient inaccessibles. Pour information, cela fait plusieurs années que je suis victime de personnes qui viennent pirater mon pc en permanence. Je vous remercie d'avance pour l'aide que vous pourrez m'apporter.

Merci pour ces explications. Je clos le sujet.

Tout d'abord un grand merci à lance_yien, Thanos et gof pour vos conseils. J'ai effectivement fait l'erreur de réinstaller le pc et d'installer comodo firewall. A ma grande surprise, a peine quelques minutes le firewall installé, j'ai un message de comodo me disant qu'une intrusion c:/windows/System32/Werfault.exe accède à la mémoire de COMODO firewall. (mais Malwarebytes' Anti-Malware n'a rien detecté d'anormal) Etant victime d'attaques depuis pas mal de temps (bien avant l'acquisition de ce nouveau pc), je trouve un peu suspect les conseils de toyo29 sans pour autant l'accuser. J'ai donc refait une analyse hijackthis, la voici : Voici l'analyse anti-malware : Voici les résultats d'OTL.txt : Voici ceux d'Extras.txt : Au delà de la recherche de malware et virus, pouvez vous m'indiquer comment protéger mon pc des attaques externes de façon optimum ? quel firewall choisir et comment le configurer. Encore merci pour le temps que vous m'accordez.