Tentatives de sortie, impossible de trouver le responsable
Tentatives de sortie, impossible de trouver le responsable - Sécurité - Windows & Software
Marsh Posté le 05-03-2007 à 23:12:49
Ca essaie un peu tous les ports j'ai l'impression. Je ne peux pas te dire exactement pour le moment, je suis passé en mode sans echec et j'ai relancé un scan d'AVG (sans la prise en charge réseau)...
Dès qu'il se termine je poste les ports, mais j'ai l'impression qu'il y en a un paquet d'essayé (en tous cas je n'ai pas remarqué à première vue qu'ils revenaient, contrairement aux IP)
Marsh Posté le 05-03-2007 à 23:28:02
Toutes les requêtes pointent vers le même port : le port 80.
Et "Filter device" c'est quoi ?
Marsh Posté le 05-03-2007 à 23:31:57
Reply
Marsh Posté le 05-03-2007 à 23:50:36
J'ai l'impression que c'est quelque chose qui part de 127.0.0.1:10110 et qui lance un scan vers tous les ports (127.0.0.1:1841 par ex.) et de là ça essaie de repartir vers l'extérieur (192.168.0.5:1841 --> bloqué)
Mais le processus system lançant ces requêtes est [System Process]:0 
edit: sauf que 10110 ça a l'air d'être le scanner d'email. Et ça continue à scanner les ports avec uniquement les adresses ip mentionnées précédemment en cible...
Message édité par livevil le 06-03-2007 à 00:07:01
Marsh Posté le 06-03-2007 à 07:49:59
Quelqu'un aurait une idée ?
Je viens de refaire un scan AVG, AVG antispywares et Spybot en mode sans echec et je ne trouve rien.
D'autres IP sont apparues dans les tentatives de sorties:
72.30.186.52
74.6.146.119
edit: Je viens également de remarquer qu'un répertoire se crée sous c:\Program Files\microsoft frontpage (en minuscules) et qu'il contient un répertoire version3.0 qui lui contient un repertoire bin. Il n'y a rien dedans mais je ne peux pas les supprimer en mode normal (et ils reviennent au démarrage).
Message édité par livevil le 06-03-2007 à 08:06:31
Marsh Posté le 06-03-2007 à 11:57:39
| livevil a écrit : Filter device ça veut dire qu'AVG a bloqué la tentative de connexion ("bloc" ) |
Alors pourquoi il y a une ligne qui indique clairement un process qui a été bloqué ? Vérifie dans l'aide en ligne de AVG qu'il s'agit bien de ça.
| livevil a écrit : J'ai l'impression que c'est quelque chose qui part de 127.0.0.1:10110 et qui lance un scan vers tous les ports (127.0.0.1:1841 par ex.) |
Ah bon ? Tu vois ça où toi ? Il n'y a rien de tout ça sur ton log
| livevil a écrit : et de là ça essaie de repartir vers l'extérieur (192.168.0.5:1841 --> bloqué) |
192.168.0.5, c'est pas l'extérieur. Et c'est pas non plus la destination, c'est la source. La destination, ce sont les IP que tu as indiquées, toutes sur le port 80 (HTTP).
| livevil a écrit : edit: sauf que 10110 ça a l'air d'être le scanner d'email. Et ça continue à scanner les ports avec uniquement les adresses ip mentionnées précédemment en cible... |
D'où tu le débarques ton 10110 ? 
| livevil a écrit : |
Tu as quelle version de Windows ? Quel niveau de Service Pack ? Tu as MS Office d'installé ? Quelle version ?
Marsh Posté le 06-03-2007 à 12:13:44
| Wolfman a écrit :
|
Windows XP pro, SP2. Office XP installé. En ce qui concerne le répertoire qui se crée automatiquement, je l'ai effacé en mode sans echec et j'ai créé un fichier du même nom en lecture seule. Le répertoire ne peut plus se créer du coup, mais ça ne solutionne pas le problème.
J'ai essayé plusieurs trucs du genre tuer tous les services: le truc s'arrête mais j'ai le message de reboot de l'ordianteur (procedure rpc je crois). J'ai essayé de tuer un à un les services à partir de TCPview. Il ne me reste plus que les svchost.exe, donc le problème doit venir de l'un d'entre eux.
Message édité par livevil le 06-03-2007 à 12:16:45
Marsh Posté le 06-03-2007 à 13:40:38
Télécharge et installe Netlimiter Monitor. Laisse ton antivirus passer ces flux quelques minutes, et surveille avec Netlimiter quel process provoque du traffic.
Marsh Posté le 06-03-2007 à 13:50:06
Ok, je vais tenter ça tout à l'heure et je reviens donner le résultat...
Marsh Posté le 06-03-2007 à 15:09:25
Bon, je ne trouve rien. Il n'y a rien de spécial qui apparaît sur netlimiter, les ports scannés n'apparaissent même pas... Je ne sais pas trop comment faire.
Je pense qu'il s'agit d'un service mais je n'arrive pas à trouver lequel.
Si je coupe le service "client dhcp", ça s'arrête (forcément 
). Il y a un moyen de trouver les services qui dépendent de celui-ci ?
Voici ce qui me reste si je tue le maximum de tâches et de services possible. Je peux encore tuer le pid 188à (client dns). Le pid 1568 contient toutes la liste des services activés, si je le tue l'ordinateur m'affiche le message de reboot sous 45s (le même que du temps de Blaster).
Message édité par livevil le 06-03-2007 à 15:35:46
Marsh Posté le 06-03-2007 à 18:46:38
J'ai trouvé ça sur une page de la FAQ AVG (dans le cache Google) :
| Citation : 269: I have full log of Filter device records. What does it mean? |
Il s'agirait donc bien d'un service...à savoir lequel maintenant.
Marsh Posté le 06-03-2007 à 18:50:21
A noter que tes deux dernières IP sont des adresses de Yahoo. Tu n'aurais pas un Yahoo messenger ? Ou une toolbar quelconque ? Ou un truc dans le genre ?
Marsh Posté le 06-03-2007 à 20:02:16
Non, je n'ai rien comme ça.
Ca devient de plus en plus bizarre. Je pensais avoir réussi à virer le truc (je n'ai pas trop compris pourquoi d'ailleurs): AVG ne me donnait plus d'alertes. Mais en faisant un netstat -na, je me suis rendu compte que mes ports étaient encore ouverts successivement.
J'ai mis une règle pour bloquer les communications à partie de svchost.exe et j'ai l'impression que plus rien ne passe mais je commence à douter. Je ne sais pas par quoi commencer pour trouver le responsable...
edit: si je réouvre les permissions pour svchost.exe, le scan reprend depuis le port 2869 vers mon routeur:
[System Process]:0 TCP 192.168.0.5:2869 192.168.0.1:2254 TIME_WAIT
(2254 est le port scanné sur le routeur)
Message édité par livevil le 06-03-2007 à 21:32:36
Marsh Posté le 08-03-2007 à 14:22:39
TcpView, de Sysinternals (racheté par M$ car il faisaient des utilitaire windows mieux que chez microsoft), te donnera probablement plus de renseignements sur les applis et services qui utilisent des connections TCP
http://www.microsoft.com/technet/s [...] pView.mspx
Parce que:
64.62.171.200 et 64.62.243.30 -> des serveurs dédiés chez mccolo.com où il y a eu des cas de machines infectées servant à spammer
81.29.241.240 -> Russie
ça ne sent pas bon...
Marsh Posté le 14-03-2007 à 14:36:48
Désolé pour la réponse en retard. J'ai l'impression que le problème a disparu, mais je ne saurais en être sûr. Pour info, j'ai tenté d'utiliser Rootkit Revealer, censé aider à identifier les malwares bien incrustés dans le système. J'ai eu le droit à un BSOD . Au redémarrage, plus de problème au lancement de Rootkit Revealer et apparemment les ports n'étaient plus scannés.
Enfin si mais depuis le port 2869 qui est apparemment celui utilisé pour l'UPnP. J'utilisais effectivement TCPview pour essayer d'identifier le problème, les IPs précédentes ne sont plus réapparues depuis.
Voici le log HJT. Il y un ou deux trucs à virer mais rien de méchant...
| Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 14-03-2007 à 16:52:39
rien de mechant c'est vrai , par contre un nombre ahurissant de programmes lançes inutilement au demarrage avec un tas d'updater qui se connectent
ça doit salement te ralentir tout ce fardeau .
Marsh Posté le 14-03-2007 à 17:22:28
Les 3/4 des trucs sont des programmes IBM (Thinkpad). Faudrait que je regarde plus en détail, mais il y a pas mal de programmes installés de base auxquels je me suis habitué. Et ça ne rame pas trop en fait...
Marsh Posté le 14-03-2007 à 23:38:49
s'agit pas de les supprimer , simplement d'empecher leur mise en route systematique au demarrage...
Sujets relatifs:
- Acronis Back up impossible
- Réduction de partition impossible à cause d'un fichier non déplaçable
- Trouver le type de RAM via Windows
- impossible de saisir le mot de passe
- Où trouver PowerDVD sans la période d'essai qui expire ??
- Telechargement illégal impossible avec Vista ?
- Impossible de se loguer (winxp, win2003, win2K)
Marsh Posté le 05-03-2007 à 20:57:15
Bonsoir,
(pas le processus "idle", le processus appelé system, tout court). Donc impossible d'intervenir dessus. J'ai fait un scan AVG, lancé Hijack-this et Spybot et ils ne me trouvent plus rien (quelques spywares ont été virés cependant).
Je viens de consulter (plus par hasard qu'autre chose) le journal d'AVG installé sur mon ordinateur. A ma surprise, il y a des tentatives de sortie toutes les 10 secondes environ. Mes ports sont scannés au fur et à mesure, mais AVG bloque les tentatives (sans message).
Je me suis dit : "très bien, une appli s'est installée, je vais la virer et tout sera OK". Forcément, ça ne marche pas comme ça, sinon je ne posterais pas ici ! Donc l'appli en question est "System"
Les tentatives de sortie sont dirigées vers les IP suivantes:
64.62.171.200
64.62.243.30
81.29.241.240
204.13.160.129
Est-ce que quelqu'un sait comment faire pour arrêter ça ?
---------------
Beauty is in the eye of the beer holder ...