Mon Rapport Hijackthis

[odSen]

Bonjour,

J'ai remarqué plusieurs fois que mon port 1026 (sensible) était sur écoute.

J'ai l'impression que c'est un cheval de troie.

Pas mal d'attaques, bloquées par Look'n'stop, sont rescencées chaque jour sur ce ports (env. 100).

Mes scans Avast! Spybot Ad-aware et a² ne donnent rien.

J'ai appliqué la procédure pléliminaire et je poste mon log hijackthis pour savoir si la mise en écoute du 1026 à quelque chose à voir avec.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:13:49, on 06/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Startup: Disk Cleaner.lnk = C:\Program Files\Disk Cleaner\DClean.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3726678-5604-4379-8A1E-DAA74CB4C2AB}: NameServer = 80.10.246.130 80.10.246.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[Jack_Burton]

Bonjour odSen,

 

Mise a part des lignes inutiles sur ton rapport, je ne vois rien d infectueux!

 

As tu un log dans Look'n'stop qui répertorie les attaques? Si oui peux tu le poster!

 

Voila ce que j ai trouvé sur le port 1026 :

 

Port 1026 (Win NT)

 

Service: MSTASK (mstask.exe)

 

What is MSTASK?

MSTask (Microsoft Task Scheduler) is an application that provides services for task scheduling.

 

Vulnerability: Denial-of-Service

 

Windows NT/2000 is vulnerable to a denial of service attack, due to a vulnerability in the Microsoft Task Scheduler (MSTask.exe). An attacker can send random characters to port 1026, where MSTask.exe listens and as a result slow down a vulnerable machine and possibly freeze it completely.

 

MSTask.exe only permits connections through the local host, limiting this to a local attack. However, if any local proxy (i.e. Winproxy or Proximitron) is installed on the system, a remote attacker can connect to port 1026 via local proxy and perform this attack remotely. The system must be rebooted to regain normal functionality.

Modifié le 6 novembre 2005 par Jack_Burton

[odSen]

Merci pour tes infos.

Je n'ai pas de log, je ne l'avais pas demandé à LnS.

Si tu veux je commence à logguer maintenant et je poste le résultat plus tard

 

Je peux tout de même te donner les attaques récentes (depuis le dernier boot il y a 30 minutes) :

Modifié le 6 novembre 2005 par odSen

[S.Birkoff]

Bonjour odsen, jack

 

Assez étrange :

 

La première ip renvoie à un ISp belge. La seconde au MIT, et toutes les autres à une entrepise de telecomunication basé à Beijing (Chine). Bref, je ne vois pas trop ce que cela vient faire là. De plus, si l'on partait de l'hypothese que tu était infecté, pourquoi la bestiole contacterait ces differents groupes qui n'ont rien de méchant, elle tenterait plutot des contacts avec des sites malicieux...

J'attends l'avis de jack la dessus

Bonne journée

S.B

[megataupe]

Bonjour à tous . Si l'on ferme les ports avec Zebprotect, ces demandes de connexion

bloquées sont normales car, elles utilisent les deux premiers ports hors services Win, le

1025 et le 1026 (le 1024 étant fermé par zebprotect).

 

Comme je l'ai déjà souligné, la plupart des tentatives de pénétration se font en scan

ICMP code 10 ou 8 et les règles Phantom's sont tout à fait aptes à bloquer ces scans.

 

Tests à faire chez Sygate par exemple :

 

Sygate tests

[odSen]

Bonjour mégataupe,

Si j'ai bien compris tout cela est normal alors ?

Bon apres-midi