PC infecté, en fait sûrement problème réseau, donc redirigé ici

[Looner]

Bonjour,

 

J'ai ZoneAlarm sur le PC, et je reçois très fréquemment des alertes (hier, une toutes les 2/3 sec), donc je pense que je suis infecté par un truc

 

Dans l'historique, j'en prends une au hasard pour la décrire :

Description : Packet sent from 192.168.1.1 (TCP port 4665) to 192.168.1.10 (TCP port 2869) was blocked

Niveau : moyen

Date/Heure : 2008/09/16 15:11:26+2:00 GMT

Type : Pare-feu

Protocole : TCP (indicateur : S)

Programme :

IP source : 192.168.1.1:4665

IP de destination : 192.168.1.10:2869

Direction : Entrant

Action entreprise : Bloqué

Nombre : 1

DNS source : HSIB.home

DNS de destination : STEPH-5DE2DFEF9

 

Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:09, on 16/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\a-squared Free\a2service.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1221267550765

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 5954 bytes

 

Un peu d'aide serait la bienvenue s'il vous plait

Modifié le 16 septembre 2008 par Looner

[Falkra]

Bonsoir, c'est envoyé en local, d'un pc à un autre à l'intérieur du réseau.

 

Ton rapport ne montre pas d'infection.

 

Description : Packet sent from 192.168.1.1 (TCP port 4665) to 192.168.1.10 (TCP port 2869) was blocked

 

Ca part du pc en ip 1.1 vers le 1.10 tu fais du p2p (emule au hasard) en passant par une autre machine de ton réseau, un routeur, autre ?

[Looner]

Bonsoir, c'est envoyé en local, d'un pc à un autre à l'intérieur du réseau.

 

Ton rapport ne montre pas d'infection.

 

 

 

Ca part du pc en ip 1.1 vers le 1.10 tu fais du p2p (emule au hasard) en passant par une autre machine de ton réseau, un routeur, autre ?

Je n'ai pas installé emule ni aucun logiciel de ce type, pour pas chopper de merdes justement.

Je suis relié à internet par wifi (Livebox), et mon frère également depuis la pièce d'à côté, je sais pas si c'est ça que tu appelles un réseau local, mais on n'a pas essayé de relier nos ordinateurs ensemble en tout cas.

 

J'ai d'autres alertes différentes de celle-là, mais je ne sais pas comment envoyer un log recensant toutes mes alertes.

Une autre :

Description : Packet sent from 192.168.1.10 (Datagramme NeTBIOS) to 192.168.11 (Datagramme NeTBIOS) was blocked

Niveau : moyen

Date/Heure : 2008/09/16 20:16:40+2:00 GMT

Type : Pare-feu

Protocole : UDP

Programme :

IP source : 192.168.1.10:138

IP de destination : 192.168.1.11:138

Direction : Sortant

Action entreprise : Bloqué

Nombre : 1

DNS source : STEPH-5DE2DFEF9

DNS destination : 9d0e1e8f822c450.home

 

Je sais pas si c'est pour une alerte de ce type, et désolé au passage de pas avoir pensé à noter, mais je sais que quand une fois j'avais clique sur "plus d'infos" dans la fenêtre d'alerte, ZoneAlarm m'avait dit que c'était peut-être un programme qui tentait de se connecter à internet, pour ça que je m'inquiète.

 

Hier, j'ai eu plusieurs alertes de niveau élevé qui me disaient qu'une source tentait de se connecter à mon ordinateur via le port 139 je crois, et j'avais vu le truc écrit plus haut (9d0e1e8f822c450.home) dans ces alertes.

Une fois que ces alertes ont cessé, j'ai eu droit à des alertes de niveau moyen, dont des connections sortantes comme celle décrite juste au dessus.

 

Mais je suis sûr qu'un truc ne va pas, pendant un moment, pendant peut-être 30 min j'ai eu beaucoup d'alertes de niveau moyen, environ une toutes les deux ou trois secondes, il y a forcément u problème quelque part.

 

Un début de solution ?

Modifié le 16 septembre 2008 par Looner

[Falkra]

Ok, c'est en fait une histoire de paramétrage réseau tout ça.

 

Je bascule ton sujet vers une autre section, ils te répondront de façon plus efficace que moi sur ces questions là.

[Looner]

Ok, c'est en fait une histoire de paramétrage réseau tout ça.

 

Je bascule ton sujet vers une autre section, ils te répondront de façon plus efficace que moi sur ces questions là.

Oki mais je suis quand même surpris, je n'y connais rien mais c'est pas logique, ZoneAlarm a pas dû inventer ces connexions qui essayaient d'entrer chez moi depuis une adresse alors que maintenant elles se font dans l'autre sens, et ça ne serait qu'une histoire de paramétrage réseau alors que je ne suis en réseau avec personne ?

 

Dans tous les cas, merci pour ton aide, je vais faire confiance.

[Greywolf]

192.168.1.1 c'est ta Livebox qui a des fonctionnalités UPnP de découverte des services sur le réseau local

 

La connexion entrante sur TCP 2869 fait partie de ces fonctionnalités via le service SSDP de windows

http://fr.wikipedia.org/wiki/Simple_Servic...covery_Protocol

 

Ta livebox se déclare comme une passerelle (la notification de tels évènements passaient par TCP 5000 avant)

 

UDP 138 ce sont les annonces de voisinage réseau des 2 PC windows (le tien et celui de ton frère qui sont bien en réseau, reliés par la livebox)

 

bref pas de quoi fouetter un chat

[Looner]

192.168.1.1 c'est ta Livebox qui a des fonctionnalités UPnP de découverte des services sur le réseau local

 

La connexion entrante sur TCP 2869 fait partie de ces fonctionnalités via le service SSDP de windows

http://fr.wikipedia.org/wiki/Simple_Servic...covery_Protocol

 

Ta livebox se déclare comme une passerelle (la notification de tels évènements passaient par TCP 5000 avant)

 

UDP 138 ce sont les annonces de voisinage réseau des 2 PC windows (le tien et celui de ton frère qui sont bien en réseau, reliés par la livebox)

 

bref pas de quoi fouetter un chat

Bon d'accord, je me suis inquiété pour rien quoi, désolé pour le post dans ce cas. Mais j'avais jamais vu ça avant, donc je préférais être sûr.

 

Merci pour votre aide.