Attaque à partir de mes postes

strongh · le 9 février 2006

Bonjour

J'ai un serveur connecté à internet via routeur, je partage internet pour mes postes au nombre de 10

via le logiciel wooweb pour une meilleur administration, ces deux derniers jours, j'ai eu des

messages donnés par le logiciel kaspersky anti hacker installé sur mon serveur me disant:

votre ordinateur a été attaqué depuis 192.168.0.4 . Attaque SYN flood attaque refoulée

votre ordinateur a été attaqué depuis 192.168.0.5 . Attaque Lovscan attaque refoulée

votre ordinateur a été attaqué depuis 192.168.0.4 . Attaque Analyse de ports attaque refoulée

192.168.0.x c'est mes postes

Je vous informe que j'ai sur mon serveur Pestpatrol, kasperky anti hacker, antivir comme antivirus

Comment je fais pour me protéger et nettoyer tout ça?

Je remarque aussi que lors de l'affichage de ces messages je remarque un blocage internet sur mon serveur

Voilà mon rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 14:54:17, on 09/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\ismserv.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\System32\sfmsvc.exe

C:\WINNT\System32\sfmprint.exe

C:\Program Files\NetPatrol\NetPatrol.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\RsFsa.exe

C:\WINNT\system32\RsSub.exe

C:\WINNT\System32\locator.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\termsrv.exe

C:\WINNT\System32\lserver.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\wins.exe

C:\WINNT\System32\dns.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\system32\RsEng.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINNT\System32\internat.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\PROSUM\WOOWEB-PRO V3\WooWebp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINNT\System32\mdm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: WgBHO Class - {67E9834D-B226-49E6-B6F6-85AA64E14BA3} - C:\Program Files\Free Download Manager\iefdm.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows Security Update] C:\windows\system32\WSecUpdate.exe

O4 - HKLM\..\Run: [WpsRePsw] C:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - Startup: BrowseGate Proxy Server.lnk = C:\Program Files\BrowseGate\brwgate.exe

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Startup: PPControl.lnk = C:\Program Files\PestPatrol\PPControl.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Qbik NetPatrol Engine (NetPatrol) - QBIK NZ Ltd - C:\Program Files\NetPatrol\NetPatrol.exe

O23 - Service: NMap - Unknown owner - C:\Program Files\NMapWin\bin\nmapserv.exe

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Program Files\rnamfler\naofsvc.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Merci

Modifié le 9 février 2006 par strongh

tornado · le 9 février 2006

Salut,

Applique la procédure suivante ---> http://forum.zebulon.fr/index.php?showtopic=83986

Et poste un nouveau rapport hijack.

Concernant ton problème de firewall, c'est un peu bizarre car le routeur est censé bloqué ces attaques. Des ports ont sûrement été ouverts; fais le test de sécurité de zeb ---> http://www.zebulon.fr/outils/scanports/test-securite.php puis indique nous le résultat.

Je te conseille, après avoir fait tout cela, de désinstaller Kaspersky antihacker via "ajouter/supprimer des programmes" et d'installer un vrai firewall comme Kerio ou Zone alarm, gratuits, simples et effficaces

---> pour les télécharger c'est ici

---> quelques tutoriaux:

- http://www.zebulon.fr/articles/configurationZA_1.php (Pour Zonelarm)

- http://www.vulgarisation-informatique.com/kerio.php (kerio)

Connexion

Pas encore inscrit ?

Attaque à partir de mes postes

Messages recommandés

strongh

tornado

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer