Gros problème avec SVCHOST

[Invité tesgaz]

c'est les noms internes des services => services => clic droit =<propriété

en haut de la fenetre le nom est marqué

[Matheo]

ok merci, je fais ça.

[megataupe]

Bonjour. Un petit passage pour te conseiller aussi de fermer d'urgence les ports 135 et 5000 (mouchards de Win qui tournent sur ton PC).

 

Megataupe

[megataupe]

ps: pour les principaux ports tu dois trouver le résultat suivant et tous les ports indiqués doivent être stealth.

 

FTP 21 File Transfer Protocol (FTP) allows users to transfer files to other computers over the Internet. A poorly configured FTP server allows hackers to copy your files, install trojan applications on your computer or obtain unauthorized remote command prompt access to your computer.

 

SSH 22 Secure Shell (SSH) uses encryption to secure information sent over a network. While it typically improves security there are numerous problems with older versions of SSH which may allow brute force attacks.

 

Telnet 23 Telnet allows a remote user to access your computer and perform commands. It is suspectible to brute force attacks and clear text password sniffing. A computer is misconfigured if this port is open. Use SSH instead.

 

SMTP 25 SMTP is used to send email. There are numerous vulnerabilities with SMTP such as unauthorized hard disk file access, username verification or SPAM email redirection.

 

DNS 53 Domain Name Services are used to tell other computers what your IP address is. There are several exploits associated with this service.

 

Finger 79 Finger provides information such as usernames and usage information. Turn this service off or block this port to stop others from gaining valuable system information.

 

HTTP 80 World Wide Web services allow you to publish web pages to the Internet. There are hundreds of severe security vulnerabilities associated with this service. Keep your WWW server software updated.

 

POP3 110 Post Office Protocol(POP) software downloads email. Hackers may use weaknesses in POP to intercept your email, create fictitious mail accounts or gain remote access to your computer.

 

NetBIOS 139 NetBIOS is used by Microsoft Windows and some UNIX/Linux programs to share files. If your hard disk is shared improperly (write access to everyone without authentication) you may be giving the world access to your hard disk. (Trojan files can be copied to your computer.) Make sure this port is closed and your hard drive shares are configured properly.

 

SNMP 161 Simple Network Management Protocol (SNMP) port may allow a hacker to obtain information about your computer. There are also security vulnerabilities associated with this port. You should turn off this service if you don't need it.

 

SSL 443 HTTP servers use Secure Sockets Layer (SSL) to encrypt data from web browsers. There are hundreds of severe security vulnerabilities associated with this service. Keep your WWW server software updated.

 

MS DS 445 Microsoft Directory Services is used by Microsoft Networks for security authentication. Typically this port should not be exposed to the Internet.

 

Socks Proxy 1080 An unsecured SOCKS Proxy may disqualify you from IRC server access. Make sure this port is closed.

 

KaZaA 1214 KaZaA is a popular peer-to-peer file-sharing program with many known vulnerabilities and at least one known worm (Benjamin) targeting it.

 

UPnP 5000 Universal Plug and Play allows your computer to automatically integrate with other network devices. There are known security vulnerabilities associated with this service.

 

HTTP Proxy 8080 HTTP Proxy provides a way for a hacker to pretend to be your computer. Others who may have been hacked may see your computer address and want you to justify why you hacked them.

 

 

 

Trojan Port Scan Results for: 80.11.134.49

Program Port Status Trojans Common to Port

 

Trojan 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer

 

Trojan 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold

 

Trojan 12345 Ashley, Cron/Crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill

 

Trojan 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job

 

Trojan 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader

 

Trojan 31337 Back Fire, Back Orifice 1.20 patches, Back Orifice (Lm), Back Orifice Russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, Cron/Crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini

 

 

Le scan est à faire ici :

 

http://192.41.65.171/portscanlogic.fadp

 

Megataupe

[Matheo]

Bonjour. Un petit passage pour te conseiller aussi de fermer d'urgence les ports 135 et 5000 (mouchards de Win qui tournent sur ton PC).

 

Megataupe

Je viens de terminate process des ports concernés depuis "active port", et j'ai eu la même fenêtre d'exctinction de windows qu'avec le gestionnaire de tâches lorsque j'ai viré le port 135...

 

Sinon, comment est-ce que je peux fermer définitivement ces ports??

 

Merci de tes conseils en tout cas je vais faire le scan dont tu me parles!

Modifié le 24 juin 2004 par Matheo

[Matheo]

Je viens de faire le scan et tout mes ports sont bien stealth maintenant.

 

Par contre comme j'ai arrêté svchost mes liens, et copier/ coller marche plus... ça faits parti des symptômes...

[Matheo]

Le scan est à faire ici :

 

http://192.41.65.171/portscanlogic.fadp

 

Megataupe

J'ai aussi testé la page qui est censé avoir un virus, et mon AVG ne m'a rien dis... dois-je m'en inquiéter? C'est AVG free edition, mis à jour.

[megataupe]

Explications ci-dessous pour le port 135 (c'est une traduction). Tu devrais rebooter pour voir si ta nouvelle config tourne mieux.

 

Megataupe

 

Port 135

 

Nom:

dcom-scm

 

But:

Directeur De Commande De Service de DCOM

 

Description:

Le directeur de commande de service du DCOM de Microsoft (distribué, c.-à-d. géré en réseau, COM) (également connu sous le nom de cartographe de point final de RPC) emploie ce port en quelque sorte semblable à l'utilisation d'cUnix du soleil du port 111 . Le serveur de SCM fonctionnant sur l'ordinateur de l'utilisateur ouvre le port 135 et écoute des demandes entrantes des clients souhaitant localiser les ports où des services de DCOM peuvent être trouvés sur cette machine.

 

Ports Relatifs:

111

 

 

 

 

Fond et information additionnelle:

 

 

Le port 135 n'est certainement pas un port qui doit être, ou devrait être, exposé à l'Internet. Les outils d'intrus tels que l'"epdump" (décharge de point final) peuvent identifier immédiatement chaque DCOM-related server/service fonctionnant sur l'ordinateur principal de l'utilisateur et les assortir vers le haut avec des exploits connues contre ces services.

Toutes les machines placées derrière un couteau NATIONAL (couteau departage à bande large typique d'entreprise résidentielle ou petite) seront d'une sécurité inhérente. Et n'importe quel bon mur à l'épreuve du feu personnel de logiciel devrait également pouvoir bloquer facilement le port 135 de l'exposition externe. Est ce ce que vous voulez.

 

En outre, beaucoup de la sécurité ISPs conscient bloquent maintenant le port 135 avec le "trio de NetBIOS" notoire des ports ( 137-139 ). Tellement même sans rien de votre propre sécurité proactive, vous pouvez constater que le port 135 a été bloqué et stealthed en votre nom par votre ISP.

 

Aller Plus loin: Port se fermant 135

 

L'exposition et l'insécurité répandues de ce port a produit de beaucoup de souci parmi des gourous de PC. Ceci a eu comme conséquence plusieurs approches à arrêter le serveur de Windows DCOM et à fermer fermement le port 135 une fois pour toutes. Bien que les applications puissent être "DCOM permis" ou "DCOM avertis", très peu ou pas de dépendez réellement de la présence de ses services. En conséquence, il est habituellement possible (et généralement souhaitable si vous êtes confortable faisant de telles choses) d'arrêter DCOM et ferme le port 135 sans aucun mauvais effet. (quelques choses fonctionnant dans un système de Windows, quelques choses pour sucer vers le haut de la RAM et pour ralentir tout autrement avalent.)

 

Si vous êtes curieux au sujet de prendre la commande de et de terminer un autre Windows inutile "service", les liens suivants vous fourniront l'information et les instructions que vous aurez besoin:

 

 

Pour Les Experts Intrépides SEULEMENT

 

Voyez la première question à cette page de Microsoft Knowledgebase sous "les titres généraux de COM: Comment est-ce que je permets ou neutralise DCOM?

 

Pour Windows 2000 utilisateurs, cette page par sécurité BRITANNIQUE en ligne fournit une approche étape-par-étape gentille en utilisant l'utilité fournie de configuration du DCOM de Microsoft.

 

Une page d'information assortie de DCOM: http://accs-net.com/smallfish/dcom.htm

[Laubean]

ZebProtect permet aussi de fermer le 135....

[Matheo]

Alors, j'ai utilisé zebprotect et fermé tout les ports (pas le choix pour ferme le 135 il faut fermer les autres). J'ai vérifier mon réseaux ca roule. Il n'y a plus ces ports d'ouvert avec "active port".

 

Et dans le gestionnaire des tâches svchost n'est plus qu'en 3 exemplaires... et il y en a toujours un critique, avec toujours les mêmes symptômes de pc planté...