[Résolu] Ports fermés et intrusion Win.MSSQL.worm.Helkern

[Dweron]

Bonjour à tous,

Depuis quelques jours j'ai remarqué quelques ralentissement sur le net !
et en faisant un test sur les ports de ma box, j'ai remarqué que pas mal de ports étaient fermés (pas visible ni masqués), avant de désinstaller kaspersky j'ai eu une alerte : intrusion Win.MSSQL.worm.Helkern.

Par la suite, j'ai désinstallé kaspersky et ils sont re-devenus en masqués et ma navigation est normale maintenant.

Est-ce que des ports fermés sont dangereux pour mes données ?

j'ai fais une analyse complète avec Eset smart security et malwarebytes : Pas eu grand chose ! mais c'est effacé !
J'ai ensuite fais une analyse avec Trojan remover et AdwCleaner : rien du tout.

J'ai vraiment peur que mes données ont pu être partagés pendant que mes ports étaient fermés (et non masqués).

Est-ce que vous avez d'autres outils pour les virus ?


Merci pour d'avance pour vos rèponses.

 

EDIT: J'ai recommencer l'analyse (complète) de ZhpDiag : http://cjoint.com/data/0KdsWuapUrd.htm

[Apollo]

Bonsoir,

 

 

intrusion Win.MSSQL.worm.Helkern.

 

C'est juste ton firewall qui t'a notifié une attaque réseau mais il l'arrête, ne t'en fais pas. Le pc attaquant est également bloqué pendant 1 heure. Perso, j'avais désactivé la notification à l'écran pour les attaques réseau qui peuvent être nombreuses.

 

Peux-tu poster les rapports eset et MBAM stp?

 

Si la licence de ton Kaspersky 2012 est encore valable, tu peux migrer vers la 2014. 2012 n'est plus prise en compte par le support. http://forum.kaspersky.com/index.php?s=6df0cf4b3a9168e1a1526c11d70b1f03&showforum=128

 

-------------------

Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

Site éditeur: http://thisisudax.org/

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.
S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

Renomme JRT_NEW en JRT.

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

Poste le rapport généré à la fin de l'analyse.

NB: Le bureau disparaitra un instant, c'est normal.

>>>Si le rapport est long, l'héberger ici: http://cjoint.com http://dl.free.fr/

 

@++

 

[Dweron]

Voila le rapport de Junkware :

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.0.7 (10.15.2013:3)

OS: Windows 7 Home Premium x64

Ran by laurent on 03/11/2013 at 19:10:13,20

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{02DD8284-A49F-43E5-9D84-CF19DC9AD21D}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{27DE7D30-BCCD-44D1-ADCB-A74A4259EBEF}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{3A0EFC4E-F167-4D0E-9C24-FC5519237993}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}

~~~ Files

Successfully deleted: [File] "C:\Windows\syswow64\wscm32.dll"

Successfully deleted: [File] "C:\Windows\syswow64\wscm64.dll"

~~~ Folders

~~~ Chrome

Successfully deleted: [Folder] C:\Users\laurent\appdata\local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 03/11/2013 at 19:17:10,87

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Par contre je ne trouve pas les rapports de Eset et de MBAM complets ! j'ai regardé dans les rapports et journaux, pas moyen de les trouver !

Par contre je peux vous dire quel virus j'ai trouvé avec eset (et que j'ai effacé) :

MSIL/RiskWare.HackAV.B Application - faisait partie de l'objet supprimé

Et le fait que ma connexion était lente, y aurai t-il pu avoir quelqu'un de connecté sur mon pc ?

Les ports qui sont en "fermés", c'est dangereux nan ?

[Apollo]

Tu as fait le test sur Zebulon? Je viens de vérifier avec mon KIS 2014 et aucun port n'apparaît; le pc ne répond pas.

 

Dangereux, pas forcément mais si le test montre des ports fermés, ça veut dire que l'ordi n'est pas invisible sur le net. http://www.zebulon.fr/outils/scanports/test-securite.php

 

ZHPFix :

 

• Ferme toutes les applications ouvertes

   

   

• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

   

   

• Copie les lignes ci-dessous dans la fenêtre

sauf citation.

 

 

Script ZHPFix

 

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowSetProgramAccessAndDefaults: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified
firewallraz
emptytemp
emptyflash

 

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

 

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

 

 

• Valide par Oui la désinstallation des programmes si demandé.

   

   

• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

   

   

• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

[Dweron]

Oui je l'avais fais sur zebulon et je viens de le re-faire : tous mes ports sont masqués

 

voici le rapport de ZHPFix :

 

 

Rapport de ZHPFix 2013.10.21.17 par Nicolas Coolman, Update du 21/10/2013

Fichier d'export Registre :

Run by laurent at 03/11/2013 19:32:19

High Elevated Privileges : OK

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 04s)

========== Valeurs du Registre ==========

Aucune Valeur Standard Profile: FirewallRaz :

Aucune Valeur Domain Profile: FirewallRaz :

========== Eléments de donnée du Registre ==========

REMPLACÉ Value Start_ShowHelp : Good (1) - Bad (0)

REMPLACÉ Value Start_ShowSetProgramAccessAndDefaults : Good (1) - Bad (0)

========== Dossiers ==========

SUPPRIMÉS Temporaires Windows (23) (0 octets)

SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Fichiers ==========

SUPPRIMÉS Temporaires Windows (0) (0 octets)

SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Récapitulatif ==========

2 : Valeurs du Registre

2 : Eléments de donnée du Registre

2 : Dossiers

2 : Fichiers

End of clean in 00mn 05s

========== Chemin de fichier rapport ==========

C:\Users\laurent\AppData\Roaming\ZHP\ZHPFix[R1].txt - 03/11/2013 19:32:24 [1051]

[Apollo]

 

tous mes ports sont masqués

 

Parfait. Tu as réactivé le firewall de Seven?

 

Le rapport MBAM est dans son interface sous l'onglet "rapports/logs".

 

Comment va la machine maintenant?

 

Fais ces vérifications de sécurité stp:

http://theknitter-apollo.xooit.com/p17644.htm

Ou ici: http://www.vista-xp.fr/forum/topic13109.html#p108827

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

En français depuis la version 3.0. Très simple d'utilisation.

 

****************************

Refais un scan ZHPDiag après ça stp.

 

@++

[Dweron]

Le pare-feu de seven est géré par Eset je ne peux pas le réactiver sans désactiver celui de Eset !

 

Ben écoute il n'y a que le rapport de la dernière analyse "éclair" que j'ai fait ! pas celle ou il m'a détecté le virus, en tout cas, le fichier infecté est effacé

 

Mon pc va mieux depuis hier depuis que j'ai désinstallé Kaspersky 2014 (version crackée , surement vérolée) mais je n'ai pas eu d'alerte de mbam à ce sujet.

 

Je n'ai pas eu besoin de mettre à jour mes logiciels.

 

Tu avais trouvé des trucs génant dans ces rapports ?

 

Voici le rapport : http://cjoint.com/?3Kducpiox3R

[Apollo]

 

version crackée

 

Tsssk! 99 chances sur 100 que ce soit infecté et de toutes façons un logiciel de sécurité cracké ne vaut rien.

 

Ok pour le firewall.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes

   

   

• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

   

   

• Copie les lignes ci-dessous dans la fenêtre

sauf citation.

 

 

Script ZHPFix

 

Kaspersky Security Scan v12.0.1.340 => Kaspersky Lab

[MD5.6EFBC82722D0F7B35283993189ECE9D0] - (.Kaspersky Lab ZAO - Kaspersky Security Scan.) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe [202328] [PID.9848] => Kaspersky Lab

O4 - GS\Desktop [laurent]: Kaspersky Security Scan.lnk . (.Kaspersky Lab ZAO - Kaspersky Security Scan.) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe => Kaspersky Lab

O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O4 - HKCU\..\Run: [KSS] . (.Kaspersky Lab ZAO - Kaspersky Security Scan.) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe => Kaspersky Lab

O4 - HKUS\S-1-5-21-3697435289-980891062-1027663182-1001\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O4 - HKUS\S-1-5-21-3697435289-980891062-1027663182-1001\..\Run: [KSS] . (.Kaspersky Lab ZAO - Kaspersky Security Scan.) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe => Kaspersky Lab

[MD5.00000000000000000000000000000000] [APT] [{6C081A16-55A5-48CD-A8F2-4CB7AB375D95}] (...) -- D:\Jeux\Company of Heroes 2\RelicCoH2.exe (.not file.) [0] => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{70BAC723-C9B3-4B64-A702-B063FA848DDF}] (...) -- D:\Jeux\Company of Heroes 2\RelicCoH2.exe (.not file.) [0] => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{7C8C1D87-AF72-47D6-8C47-D7D9A9A15967}] (...) -- C:\Users\laurent\Downloads\Windows_Movie_Maker_2.0.exe (.not file.) [0] => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{EDC29B52-B2F3-4483-86DE-8258ED2F745E}] (...) -- D:\Jeux\Company of Heroes 2\RelicCoH2.exe (.not file.) [0] => Fichier absent

O43 - CFD: 07/09/2013 - 08:55:06 - [0] ----D C:\ProgramData\xml_param => Empty Folder not necessary

O51 - MPSK:{a8f76b2d-2823-11e3-9556-00248c7583f8}\AutoRun\command. (...) -- J:\Startme.exe (.not file.) => Fichier absent

O51 - MPSK:{dd82df56-0648-11e3-b0c6-00248c7583f8}\AutoRun\command. (...) -- K:\Unlock.exe (.not file.) => Fichier absent

[MD5.AE1D2F262B51EDD1BAAC0BD4E8069B89] [sPRF][02/11/2013] (...) -- C:\Users\laurent\AppData\Local\Temp\chart_data.dat [20550] => Temporary file not necessary

SR - | Auto 07/12/2012 202328 | (KSS) . (.Kaspersky Lab ZAO.) - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe => Kaspersky Lab

 

 

 

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

 

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

 

 

• Valide par Oui la désinstallation des programmes si demandé.

   

   

• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

   

   

• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

++

 

 

[Dweron]

 

Tsssk! 99 chances sur 100 que ce soit infecté et de toutes façons un logiciel de sécurité cracké ne vaut rien.

Oui je sais :/ j’achèterai un antivirus prochainement (un antivirus à me conseiller ?)

 

Voici le rapport : Rapport de ZHPFix 2013.10.21.17 par Nicolas Coolman, Update du 21/10/2013

Fichier d'export Registre :

Run by laurent at 03/11/2013 20:15:41

High Elevated Privileges : OK

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 02s)

========== Processus mémoire ==========

SUPPRIMÉ Redémarrage: Memory Process: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe

========== Clés du Registre ==========

SUPPRIMÉ CLSID MPSK: {a8f76b2d-2823-11e3-9556-00248c7583f8}

SUPPRIMÉ CLSID MPSK: {dd82df56-0648-11e3-b0c6-00248c7583f8}

SUPPRIMÉ: Service: KSS

========== Valeurs du Registre ==========

SUPPRIMÉ RunValue: AdobeBridge

SUPPRIMÉ RunValue: KSS

========== Dossiers ==========

SUPPRIMÉ: C:\ProgramData\xml_param

========== Fichiers ==========

SUPPRIMÉ: c:\users\laurent\desktop\kaspersky security scan.lnk

SUPPRIMÉ Redémarrage: c:\program files (x86)\kaspersky lab\kaspersky security scan 2.0\kss.exe

SUPPRIMÉ: C:\Users\laurent\AppData\Local\Temp\chart_data.dat

========== Tache planifiée ==========

SUPPRIMÉ: {6C081A16-55A5-48CD-A8F2-4CB7AB375D95}

SUPPRIMÉ: {70BAC723-C9B3-4B64-A702-B063FA848DDF}

SUPPRIMÉ: {7C8C1D87-AF72-47D6-8C47-D7D9A9A15967}

SUPPRIMÉ: {EDC29B52-B2F3-4483-86DE-8258ED2F745E}

========== Autre ==========

NON TRAITÉ Kaspersky Security Scan v12.0.1.340

========== Récapitulatif ==========

1 : Processus mémoire

3 : Clés du Registre

2 : Valeurs du Registre

1 : Dossiers

3 : Fichiers

4 : Tache planifiée

1 : Autre

End of clean in 00mn 04s

========== Chemin de fichier rapport ==========

C:\Users\laurent\AppData\Roaming\ZHP\ZHPFix[R1].txt - 03/11/2013 19:32:24 [1133]

C:\Users\laurent\AppData\Roaming\ZHP\ZHPFix[R2].txt - 03/11/2013 20:15:43 [1697]

[Apollo]

Eset n'est pas mal mais moi c'est Kaspersky depuis au moins 9 ans et rien à dire, sauf un faux-positif de temps en temps mais c'est vite corrigé quand on les contacte.

 

Il y a des versions d'essai d'un mois pour toutes les marques.

 

A essayer afin de se faire une idée et décider lequel on prend.

 

 

http://theknitter-apollo.xooit.com/p20092.htm