[résolu]Intrus dans un PC

[Pang]

Bonjour,

 

Je suis sur un PC qui me tracasse.

En effet, j'ai beaucoup trop de connexions sortantes vers des adresses diverses et variées et j'ignore pourquoi.

 

Application	direction	   local				 distant	port
svchost.exe	 out		192.168.1.10	192.221.106.126		80
svchost.exe	 out		192.168.1.10	   8.12.199.126					80
svchost.exe	 out		192.168.1.10	198.78.202.126	   80
svchost.exe	 out		192.168.1.10	217.243.192.26		 80  (AKAMAI)
svchost.exe	 out		192.168.1.10	   4.23.54.126		  80
...
...

 

La liste est longue. Akamai revient souvent dans les connexions sortantes et je ne sais pas pourquoi.

 

Voici :

 

Logfile of HijackThis v1.99.1

Scan saved at 06:41:43, on 20/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

D:\UniqueDisplay.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [uniqueDisplay] D:\UniqueDisplay.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1195387748812

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C32EC46-D8E9-40C8-99F9-FCAB11E10AF2}: NameServer = 192.168.1.1

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

-----------------

 

O4 - HKLM\..\Run: [uniqueDisplay] D:\UniqueDisplay.exe , correspond à une application permettant à chaque utilisateur d'avoir sa propre définition d'écran.

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C32EC46-D8E9-40C8-99F9-FCAB11E10AF2}: NameServer = 192.168.1.1 , j'ai déja précedement fixé cette ligne avec HijackThis mais elle revient.

 

Antivir fut installé dès les premiers instant de cet XP pro.

Spyware Terminator est la version téléchargée sur MajorGeeks (sans la barre de navigation).

Règles spécifiques pour Kerio.

 

Qu'est ce que je pourrais faire pour pousser plus loin mes investigations et savoir pourquoi j'ai autant de connexion vers AKAMAI ainsi que des adresses IP 'chelou'.

 

D'avance, un grand merci à l'équipe sécurité.

Modifié le 24 novembre 2007 par coolman

[Berfizan]

Bonjour Pang

 

Je ne vais pas t'être d'un grand secours, je suis plutôt demandeur sur ce sujet, comment obtiens-tu ces stat ?

[Pang]

'Jour Berfizan,

 

Tu parles des stats de connexions je suppose ?

C'est tout simplement le log de Kerio suite à la règle spécifique : entrée/sortie : tout refuser & log.

(j'aime bien voir ce qui circule sur ma carte réseau)

 

C'étais le sens de ta question ?

[Berfizan]

Oui tout à fait ..merci

[Pang]

En terme de UP, je rajouterais que j'ai déja fixé deux lignes (dans l'incertitude glogable ) lors d'un Hijackthis précédent :

 

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

(vraisemblablement lié à MSN... ?)

 

 

Merci.

[Pang]

PRoblème résolu :

 

Cette activitée sortante était lié au centre de sécurité de XP.

Désactivation du service et plus de connexion sortante dans le pare feu.

 

...enfin si toutefois cela interesse quelqu'un.

[Nicolas Coolman]

Bonjour à tous,

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C32EC46-D8E9-40C8-99F9-FCAB11E10AF2}: NameServer = 192.168.1.1 , j'ai déja précedement fixé cette ligne avec HijackThis mais elle revient.

Il s'agit probablement de l'adresse IP de ton modem, vérifie dans la documentation.

 

Le problème semble avoir trouvé sa solution.

Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].

Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

Modifié le 24 novembre 2007 par coolman