connections isakmp epmap: suspect ou pas suspect ?

[emmanuel_]

Bonjour à tous et à toutes d'abord...

 

Voilà je regardais mon tableau de bord de Sunbelt firewall, et je me suis aperçu de beaucoup de connections sortantes bizarres, notamment celles du processus SVCHOST...

 

Pourriez vous m'en dire plus ?

 

 

Voici l'image en question :

 

Merci d'avance pour vos réponses...

 

Bien cordialement,

 

Manuel.

[Falkra]

Bonjour, cela peut être parfaitement légitime, voir ici :

http://speedweb1.free.fr/frames2.php?page=service10

http://www.micro-astuce.com/depannage/svchost-exe

[emmanuel_]

Bonjour, cela peut être parfaitement légitime, voir ici :

http://speedweb1.free.fr/frames2.php?page=service10

http://www.micro-astuce.com/depannage/svchost-exe

 

 

Merci !

[Falkra]

Pour le reste, on va quand même faire un rapport HijackThis, au cas où et voir ce qui tourne, si le rapport ne montre rien d'infectieux, je bascule ton sujet vers la section internet/réseaux ou sécurisation, où ils seront bien plus calés que moi sur NetBios et autres ports ouverts.

 

Télécharge HijackThis ici, vers ton bureau :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Double clique dessus pour le lancer.

Clique sur "Do a system scan and save a logfile" et poste ler apport qui va aprpaître dans ta prochaine réponse stp.

 

@ toute

[emmanuel_]

Merci à vous...

 

Voici le log :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:52:24, on 14/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MOTU\Audio\MFWAKeys.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKCU\..\Run: [NSeries.PCSync] C:\Program Files\Nokia\NSeries PC Suite\System Utilities\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: MOTU Pedal Handler.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Apprendre Live 6 Drivers Auto Removal (pr2am5nb) (pr2am5nb) - telechargement.fr - C:\WINDOWS\system32\pr2am5nb.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 5780 bytes

 

 

 

 

 

 

---------

 

 

Et voici quels services se cachent derrière SVCHOST grâce au lien que vous m'avez envoyé... :

 

Microsoft Windows XP [version 5.1.2600]

 

 

C:\Documents and Settings\manu>tasklist /svc /fi "imagename eq svchost.exe"

 

 

 

Nom de l'image PID Services

========================= ====== =============================================

svchost.exe 980 DcomLaunch, TermService

svchost.exe 1064 RpcSs

svchost.exe 1172 AudioSrv, CryptSvc, Dhcp, dmserver,

EventSystem, FastUserSwitchingCompatibility,

helpsvc, HidServ, lanmanworkstation, Netman,

Nla, RasMan, seclogon, SENS, SharedAccess,

ShellHWDetection, TapiSrv, Themes, TrkWks,

W32Time, winmgmt, wscsvc, wuauserv, WZCSVC

svchost.exe 1216 WudfSvc

svchost.exe 1328 Dnscache

svchost.exe 1596 LmHosts, SSDPSRV, WebClient

svchost.exe 464 stisvc

Modifié le 14 juin 2008 par emmanuel_

[Falkra]

Le rapport HijackThis ne révèle aucune infection.

[emmanuel_]

rebonjour !

Et re-merci !

 

Serait-il possible de déplacer le message en section internet/réseaux / sécurisation pour savoir ce qu'il se trame derrière le SVCHOST ?

 

Bien à vous,

 

Manuel.

[Falkra]

J'allais te le proposer, je fais ça.

 

En tout cas, pas d'infection active.

 

Bon week-end.

[galimatias]

Bonsoir,

 

ce que je puis te proposer

c'est d'ouvrir Process Explorer

et sur les lignes Svchost.exe

de cliquer dessus et lire les services

 

 

Par ailleurs sur le site

http://www.ptorris.com/

un outil : SVCHOST INFORMATIONS serait libre à télécharger.

 

cordialement

Modifié le 14 juin 2008 par galimatias

[Invité emmanuel_]

Bonsoir,

 

Sur les 5 SVCHOST,

j'ai :

 

1. rpcss.dll

termsrv.dll

 

2.rpcss.dll

 

3.WUDFSvc.dll

 

4.audiosrv.dll

cryptsvc.dll

dhcpcsvc.dll

es.dll

shsvcs.dll

wkssvc.dll

netman.dll

mswsock.dll

rasmans.dll

sens.dll

shsvcs.dll

tapisrv.dll

WMIsvc.dll

wscsvc.dll

wuauserv.dll

 

5.

dnsrslvr.dll

 

 

 

Toutes visiblement ont des ''explications '' en français à coté...