Pîques de connection anormale

[fabilout]

Bonjour,

 

J'ai fraichement formaté mon pc et malgré la fermeture de tout les programmes susceptibles d'utiliser ma connexion internet (Anti-virus, msn, etc.), j'ai pu constaté grâce au programme NetMeter une activité continue de ma connexion internet (voir image plus bas). Ca m'inquiète un peux, de plus que NOD32 et Malwarebytes ne détectent aucune intrusion. Je précise que je ne constate aucun ralentissement car comme on peut le voir sur le graphique l'utilisation de ma connexion à intervale régulier est en réalité très faible, ça se joue à quelques 3 KiB/s au max.

Donc soit je suis complètement parano et c'est pique régulier dans ma connexion sont normale, soit il y'a en effet quelque chose qui ne va pas, et dans ce cas pourriez vous m'aidez?

 

 

 

 

Voici le résultats du teste que j'obtiens sur HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:48:01, on 16/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe

C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe

C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe

C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirec...p;gc=1&q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"

O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"

O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Google Update (gupdate1c9a3d89f8fbf92) (gupdate1c9a3d89f8fbf92) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

 

--

End of file - 5508 bytes

 

 

 

Merci.

[Falkra]

Bonsoir,

 

il y a une saleté, mais qui n'est pas forcément responsable de ça.

 

Vu le faible taux d'upload, ça ressemble fort à un programme (légitime) qui interroge ton modem ou vérifie la connexion, mais pas à une intrusion ou un truc vilain qui te pique tes données.

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Double-clique maintenant sur le fichier téléchargé.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

[fabilout]

D' abord merci pour ta réponse. Je précise que j' utilise un routeur (Linksys), ça pourrait éventuellement être la raison de mes piques de connexion...

 

Je ne sais pas ce qui t'intéresse dans le rapport d'analyse du programme ToolBarSD, donc en voici une copie complète. (Je remarque que le programme a répertorié un dossier crack ... C'est pour rire hein, j'ai nommé ce dossier ainsi juste pour le fun hum hum)

 

 

 

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )

BIOS : BIOS Date: 04/07/08 12:00:50 Ver: 08.00.12

USER : De Maria ( Administrator )

BOOT : Normal boot

Antivirus : NOD32 Antivirus System 2.51 2.51 (Activated)

C:\ (Local Disk) - NTFS - Total:298 Go (Free:222 Go)

D:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( mar. 17/03/2009|20:23 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(De Maria) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q="

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - mar. 17/03/2009|20:24 - Option : [1]

 

-----------\\ Fin du rapport a 20:24:00,56

Modifié le 17 mars 2009 par fabilout

[Falkra]

(Je remarque que le programme a répertorié un dossier crack ... C'est pour rire hein, j'ai nommé ce dossier ainsi juste pour le fun hum hum)

Tout le monde dit ça, jusqu'à être infecté par un crack de trop, qui te flingue tes données. Souventi l faut ça pour le comprendre. A toi de voir, je ne suis pas le FBI, ni là pour te juger, par contre je dois t'informer. Depuis quelques années, la plupart des cracks sont infectés/piégés, et les infections s'attrapent très très souvent par des cracks piégés.

 

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirec...p;gc=1&q=%s

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

Si tu démarres en mode sans échec avec prise en charge réseau (pour avoir internet, sinon pas intéressant), tu as ces petits pics aussi ?

[fabilout]

J'ai supprimé les 5 processus comme tu me l'as indiqué. Par contre je n'ai jamais lancé Windows en mode sans échec, je ne sais pas trop comment m'y prendre... Et qu'est ce que tu entends par "avec prise en charge réseau" ? Pardonne mon ignorance.

 

(Je précise qu'a ce stade, après une nouvelle vérification, j'ai tjs ces piques dans ma questions)

[Falkra]

Les piques peuvent être tout à fait normaux, parfois des logiciels communiquent entre eux en TCP-IP (le protocole d'internet), mais localement, sans passer par le net, et ces outils voient ça.

 

On peut essayer de voir ça sans le mode sans échec pour l'instant.

Télécharge et dézippe TCPView :

http://technet.microsoft.com/en-us/sysinte...s/bb897437.aspx

Cet utilitaire affiche les connexions réseau en cours.

 

Redémarre la machine, ne lance aucun processus à toi pour internet (navigateur etc, rien), comme ça le rapport sera court.

 

Double clique sur TCPview.exe pour lancer le programme, accepte l'accord d'utilisation si proposé.

Va dans le menu "File" puis "save as" et sauvegarde un fichier texte de rapport.

 

Poste ce rapport dans ta prochaine réponse stp.

[fabilout]

Voilà stp:

 

 

[system Process]:0 TCP de-8d0bd6510de9:1092 host-212-68-203-136.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1104 65.55.12.249:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1106 host-212-68-203-137.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1058 host-212-68-203-137.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1059 host-212-68-203-137.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1093 host-212-68-203-137.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1097 host-212-68-203-136.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1099 host-212-68-203-136.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1100 host-212-68-203-136.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1043 localhost:1042 TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1101 213.199.141.139:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1090 host-212-68-203-136.brutele.be:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1089 207.46.16.252:http TIME_WAIT

[system Process]:0 TCP de-8d0bd6510de9:1091 host-212-68-203-136.brutele.be:http TIME_WAIT

alg.exe:664 TCP de-8d0bd6510de9:1025 de-8d0bd6510de9:0 LISTENING

lsass.exe:924 UDP de-8d0bd6510de9:isakmp *:*

lsass.exe:924 UDP de-8d0bd6510de9:4500 *:*

svchost.exe:1152 TCP de-8d0bd6510de9:epmap de-8d0bd6510de9:0 LISTENING

svchost.exe:1212 UDP de-8d0bd6510de9:ntp *:*

svchost.exe:1212 UDP de-8d0bd6510de9:ntp *:*

svchost.exe:1332 UDP de-8d0bd6510de9:1074 *:*

svchost.exe:1332 UDP de-8d0bd6510de9:1047 *:*

svchost.exe:1332 UDP de-8d0bd6510de9:1029 *:*

svchost.exe:1332 UDP de-8d0bd6510de9:1053 *:*

svchost.exe:1332 UDP de-8d0bd6510de9:1073 *:*

svchost.exe:1464 UDP de-8d0bd6510de9:1900 *:*

svchost.exe:1464 UDP de-8d0bd6510de9:1900 *:*

System:4 TCP de-8d0bd6510de9:microsoft-ds de-8d0bd6510de9:0 LISTENING

System:4 TCP de-8d0bd6510de9:netbios-ssn de-8d0bd6510de9:0 LISTENING

System:4 UDP de-8d0bd6510de9:netbios-ns *:*

System:4 UDP de-8d0bd6510de9:microsoft-ds *:*

System:4 UDP de-8d0bd6510de9:netbios-dgm *:*

[Falkra]

Tu es en Belgique, avec Brutele comme FAI ?

[fabilout]

Oui c'est ça, mais ça s'appelle VOO maintenant.

[Falkra]

Ok, là dans ton rapport il n'y a rien d'anormal, des connexions microsoft (windows updates sans doute), et chez ton FAI.

 

Il faudrait voir si en mode sans échec avec prise en charge réseau ça le fait aussi, pour déterminer si c'est windows, ou un programme à toi.

 

 

Pour redémarrer en mode sans échec :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte habituel.
  
• Un message t'informera, et le bureau sera moche (peu de couleurs).
  

 

Pour voir la tête que ça aura :

http://www.micro-astuce.com/depannage/dema...mode-sans-echec