Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

odSen

Mon Rapport Hijackthis

Messages recommandés

Bonjour,

J'ai remarqué plusieurs fois que mon port 1026 (sensible) était sur écoute.

J'ai l'impression que c'est un cheval de troie.

Pas mal d'attaques, bloquées par Look'n'stop, sont rescencées chaque jour sur ce ports (env. 100).

Mes scans Avast! Spybot Ad-aware et a² ne donnent rien.

J'ai appliqué la procédure pléliminaire et je poste mon log hijackthis pour savoir si la mise en écoute du 1026 à quelque chose à voir avec.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:13:49, on 06/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Startup: Disk Cleaner.lnk = C:\Program Files\Disk Cleaner\DClean.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3726678-5604-4379-8A1E-DAA74CB4C2AB}: NameServer = 80.10.246.130 80.10.246.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour odSen,

 

Mise a part des lignes inutiles sur ton rapport, je ne vois rien d infectueux!

 

As tu un log dans Look'n'stop qui répertorie les attaques? Si oui peux tu le poster!

 

Voila ce que j ai trouvé sur le port 1026 :

 

Port 1026 (Win NT)

 

Service: MSTASK (mstask.exe)

 

What is MSTASK?

MSTask (Microsoft Task Scheduler) is an application that provides services for task scheduling.

 

Vulnerability: Denial-of-Service

 

Windows NT/2000 is vulnerable to a denial of service attack, due to a vulnerability in the Microsoft Task Scheduler (MSTask.exe). An attacker can send random characters to port 1026, where MSTask.exe listens and as a result slow down a vulnerable machine and possibly freeze it completely.

 

MSTask.exe only permits connections through the local host, limiting this to a local attack. However, if any local proxy (i.e. Winproxy or Proximitron) is installed on the system, a remote attacker can connect to port 1026 via local proxy and perform this attack remotely. The system must be rebooted to regain normal functionality.

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour tes infos.

Je n'ai pas de log, je ne l'avais pas demandé à LnS.

Si tu veux je commence à logguer maintenant et je poste le résultat plus tard :P

 

Je peux tout de même te donner les attaques récentes (depuis le dernier boot il y a 30 minutes) :

1026.jpg

Modifié par odSen

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour odsen, jack :P

 

Assez étrange :

 

La première ip renvoie à un ISp belge. La seconde au MIT, et toutes les autres à une entrepise de telecomunication basé à Beijing (Chine). Bref, je ne vois pas trop ce que cela vient faire là. De plus, si l'on partait de l'hypothese que tu était infecté, pourquoi la bestiole contacterait ces differents groupes qui n'ont rien de méchant, elle tenterait plutot des contacts avec des sites malicieux...

J'attends l'avis de jack la dessus :P

Bonne journée

S.B

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous :P . Si l'on ferme les ports avec Zebprotect, ces demandes de connexion

bloquées sont normales car, elles utilisent les deux premiers ports hors services Win, le

1025 et le 1026 (le 1024 étant fermé par zebprotect).

 

Comme je l'ai déjà souligné, la plupart des tentatives de pénétration se font en scan

ICMP code 10 ou 8 et les règles Phantom's sont tout à fait aptes à bloquer ces scans.

 

Tests à faire chez Sygate par exemple :

 

Sygate tests

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×