49 replies to this topic

[herve91]

Bonjour,

Comme le titre l'indique, Je voudrais savoir si mon PC n'est pas piraté à distance?

Je m'explique cela arrive par intermittence de voir dans un recoin de mon PC des fichiers txt avec les adresses de sites porno... et aussi deux ou trois repertoires avec des images du même style.

Du dur pour la vie de couple... Je deviens un peu fou surtout que j'ai mis des protections.

Sur mon PC j'ai trois systemes, deux Windows XP pro SP2 en français et le troisième un Windows XP pro SP1.
Pour les francais ils sont officiels et je les ai téléchargés pendant mon année d'etudes à l'ENSAM sur ce site : http://msdn20.e-acad...m/msdnaa_si7426
Pour le chinois il a été acheté en chine ( mon épouse est chinoise et cela aide).
Comme protection j'ai comme parefeu Online Armor 2.1.0.131 free, Antivir payant et SpywareTerminator sur les trois XP. Avec les mises à jour régulieres aussi bien pour Windows et les logiciels importants.

J'ai fait tout les scans possibles avec Antivir, SpywareTerminator, Malwarebytes' Anti-Malware, SUPERAntiSpyware Free Edition...

J'ai regardé avec aussi ProcessExplorer, HijackThis... je ne vois rien d'anormal.

J'ai aussi installé un disque virtuel pour les fichiers temporaires de Windows, les cookies de IE et de Firefox (FireFox est notre navigateur par défaut), IE est utilsé quand on ne peut pas faire autrement.

Si vous avez des pistes je suis preneur merci par avance....

Hervé

[CaseyN]

Et cela te le fait sur tes 3 Windows?

Qui a part toi et ta femme utilise l'ordi?

[herve91]

Et cela te le fait sur tes 3 Windows?

Qui a part toi et ta femme utilise l'ordi?

Bonsoir CaseyN

Oui je le fais sur les trois Windows
On n'est que deux....

Bonne nuit...

Hervé

[CaseyN]

Cela est assez bizarre que les 3 windows soient touchés...

Et si il s'agissait d'un rootkit je ne pense pas qu'il fasse quelque chose d'aussi bénin que de te mettre des cookies et des images de pron

Enfin, si tu as un pare feu bien configuré, et un antivirus a jour sur toutes tes instal, je ne pense pas que ce soit un vilain pirate qui utilise ton ordi...

Après pour l'explication, je ne saurai trop te dire... C'est peut être humain (je ne vise personne )

[Txon]

Cela est assez bizarre que les 3 windows soient touchés...

Et si il s'agissait d'un rootkit je ne pense pas qu'il fasse quelque chose d'aussi bénin que de te mettre des cookies et des images de pron

C'est même très bizare, quoi que ... L'apparition de messages avec des liens pornos n'est peut-être que la partie visible d'un iceberg.

Je m'explique cela arrive par intermittence de voir dans un recoin de mon PC des fichiers txt avec les adresses de sites porno... et aussi deux ou trois repertoires avec des images du même style.

Je suppose que les "scans" effectués par les antivirus sont "croisés" (le scan lancé à partir du système en C balaie le D et le E etc.). Est-ce bien le cas ?
As-tu effectué des sauvegardes système+applications à une date antérieure à l'apparition des messages ?

Je conseille de vérifier quels sont les programmes qui se lancent au démarrage avec, par exemple, Startup Explorer ou AutoRuns ou Startup Control Panel et Seem ou IceSword et de virer toutes les éventuelles bizarreries.
Ensuite il y a le contrôle des ports ouverts avec IceSword à nouveau et des communications du PC avec Seem à nouveau, TCPView, Active Ports, Free Serial Port Monitor ou autre du même genre, éventuellement suivi de EMSA port blocker pour refermer des ports qui sont ouverts alors qu'ils ne devraient pas l'être.
Enfin, il y a les inévitables anti-rootkits IceSword et RkUnhooker.

Question bête ... Aurais-tu téléchargé et activé un logiciel de contrôle parental ou utiliserais-tu un système quelconque de "filtrage" des sites dangereux ?

Agur!

[vins83]

Sur mon PC j'ai trois systemes, deux Windows XP pro SP2 en français et le troisième un Windows XP pro SP1................ Avec les mises à jour régulieres aussi bien pour Windows et les logiciels importants.

Tu es un peu dans la contradiction là, on en est a la SP3,peu etre que celà résoudra pas mal de tes problemes.


Ensuite comme il l'est dis plus haut,regarde les programmes lancé au démarrage avec msconfig (dans démarrer --> Exécuter...)

Ensuite tu peux pofiner les réglages des services Windows (dans démarrer --> Exécuter... taper services.msc)

CODE

</P><P>Accès à distance au Registre</P><P>Assistance TCP/IP NetBIOS</P><P>Gestionnaire de session d'aide sur le Bureau à distance</P><P>Partage de Bureau à distance NetMeeting</P><P>Routage et accès distant</P><P>Telnet</P><P>WebClient</P><P>

Voilà un apperçu rapide des services à désactiver pour des raisons de sécurité.



++

[noisette]

Salut

Je m'explique cela arrive par intermittence de voir dans un recoin de mon PC des fichiers txt avec les adresses de sites porno

s'agit-il du fichier hosts ?*

Et si oui, peux-tu nous en copier un morceau ? (qu'on voit dans quel "sens" il fonctionne)

et aussi deux ou trois repertoires avec des images du même style.

Est-ce que ce sont toujours aux mêmes emplacements ? avec les mêmes noms ? Et lesquels ?

Tiens au courant.

[VB 6]

Salut Herve,
A tu déjà tester t'a vulnérabilité ?
Dans le cas contraire je t'invite à tester t'a securiter via ce lien

Pour en savoir plus, je te conseil de jétait un oeil sur ce post
http://infomars.fr/f...?showtopic=1860
ainsi que sont téléchargement ici

Il as spécialement était réutiliser pour les utilisateurs dans ton cas (3 licences depuis achat du sofware) ,
de cette manière tu pour verifier tes fichiers host, ainsi que ton réseau (sécuriser etc)

De cette manière tu aura une idée quand à tes vulnérabilité face aux failles possible.

Bonne chance !!

[Txon]

Ensuite comme il l'est dis plus haut,regarde les programmes lancé au démarrage avec msconfig (dans démarrer --> Exécuter...)

Ensuite tu peux pofiner les réglages des services Windows (dans démarrer --> Exécuter... taper services.msc)

Je ne pense pas qu'il soit judicieux d'utiliser les "services" de Windows si un maliciel un peu sérieux est possible. Ce sont les premiers outils que tout rootkit s'efforce de tromper.

A Hervé91 ... Question bête ... Aurais-tu téléchargé et activé un logiciel de contrôle parental ou utiliserais-tu un système quelconque de "filtrage" des sites dangereux ?

Agur!

[herve91]

Bonsoir à tout le monde !!!

Désolé de repondre que maintenant mais pas evident avec le travail

En réalité on utilise qu'un seul XP ( disque c) les deux autres il y en a un pour ma femme quand elle doit écrire en chinois et l'autre en francais je l'utilse parfois quand je veux tester un logiciel...
Mais c'est sur le C que l'on a vu ce problème.

Maintenant quand je scanne mon système c'est à chaque fois le PC entier aussi bien avec Antivir, Spywareterminator et les autres PC
Pour les services de Windows j'ai mis le minimum en prenant conseil dans un livre traitant Windows XP
"Windows XP Reloded" de Micro Application.
J'ai aussi comparé cela sur le site de libellules.ch
http://www.libellule...ons-t16542.html

Je suis aussi allé sur le site de zebulon pour savoir si mes ports sont visibles ou non ( que je fais régulièrement).
J'ai activé le firewall de ma box comme par défaut elle ne l'est pas et que CI me le déactive régulièrement ( merci a mon fournisseur au passage).

Avec IceSword et RkU j'avais vu il y a quelque temps des fichiers inconnus toujours présents, mais suite à un sujet traité par Noisette, c'est cela proviendrait d'Antivir. Maintenant je ne suis pas assez calé pour vraiment approfondir.

Mes Windows sont peut être en Sp2 mais comme ils sont officiels les mises à jour sont automatiques donc c'est une équivalence du Sp3 non!

Hier soir mon épouse est allée se ballader sur des sites officiels traitant des jeux olympiques pour recolter des images comme elle fait aussi du journalisme, Antivir a émis plusieures alertes qui sait que quelque chose soit passé.....

Pour FireFox j'ai installé comme modules Adblock, CustomizeGoogle, PhishTank sitechecker, RefControl et Wot et je n'ai pas mis de controle parentale, tout les logiciels sont téléchargés sur le site des auteurs et c est tres souvent des freewares.

Je vais essayer Hypersight_RD_0_5_beta qui sait en dernier recours.

Je pense que je vais faire un formatage du C, de céer en même temps un CD Windows XP Sp3 ( comme j'ai vu un lien pour faire cela sur Infomars) et profité de faire ensuite un disque Image.

La SandBoxie va devenir aussi utile que FireFox

CaseyN
Tu dis cela: C'est peut être humain (je ne vise personne ) c'est ce que je pense mais bon je n'ai pas envie de détruire ma vie de couple.


Merci à tous

Hervé

[noisette]

La seule fois que j'ai été infecté, c'était sur un site hacké, et piégé, dont le contenu n'avait rien de risqué.


La présence de documents génants sur le C (sans jeu de mot ) peut donc très bien s'expliquer sans qu'il soit question de surf en rapport .

[Txon]

Tout scanner est bien mais il faut penser à "croiser" les scans : le système en C que tu utilises le plus souvent et celui de ta douce et tendre depuis celui que tu utilises de temps en temps pour tester un programme etc.

Pour FireFox j'ai installé comme modules Adblock, CustomizeGoogle, PhishTank sitechecker, RefControl et Wot et je n'ai pas mis de controle parentale, tout les logiciels sont téléchargés sur le site des auteurs et c est tres souvent des freewares.

PhishTank et encore plus Wot correspondent aux logiciels auxquels je faisais allusion : "un système quelconque de "filtrage" des sites dangereux ".
Les messages que tu reçois ne viennent-ils pas tout simplement de l'un d'eux (surtout Wot) ?

Agur !

[herve91]

La seule fois que j'ai été infecté, c'était sur un site hacké, et piégé, dont le contenu n'avait rien de risqué.


La présence de documents génants sur le C (sans jeu de mot ) peut donc très bien s'expliquer sans qu'il soit question de surf en rapport .

Rebonsoir
Ce n'est pas sur le C spécialement où se trouve les fichiers mais c'est accessible à partir du C, maintenant mon système ne pose pas de problème particulier à part MSN qui me demande à l'ouverture de faire un debbugage suite à un problème ( comme c'est pour ma femme je lui ai demandé de refuser).

J'ai regardé la date et l'heure d'un fichierc'était indiqué le 5/08/08 à 23h06 avec dedans une vingtaine de liens de sites.
Difficle de faire cela discrètement du surf à cette heure alors que sa femme est juste à coté...
Je pense que je vais refaire une installe propre et peut être installer un linux .

Je n'ai pas de message de Wot quand j' en ai je ne continue pas de visualer le site, les messages que j'ai eu dernièrement c'est avec Antivir ( acces denied de mémoire) pour les sites Chinois et aussi refusés

Bone nuit à tous

Hervé

[CaseyN]

CaseyN
Tu dis cela: C'est peut être humain (je ne vise personne ) c'est ce que je pense mais bon je n'ai pas envie de détruire ma vie de couple.

Selon comment tu lui en parle, tu ne vas peut-être pas détruire ta vie de couple... (ca peut peut-être être l'inverse )


M'enfin, les autres sont partis sur la vérification de ta securité, alors garde mon conseil en dernier lieu

[VB 6]

Un bon conseil, c'est vite choisir ton solutionnent.
Par ce que si il s'agit de pc zombie (des ordinateurs qui servent de stockage à des gens t-elle que les pédophiles)
le tous à distance t'a tous intérêt faire en sorte de nettoyer ton ordinateur.

De ce fait si j'amais tu te fait coincer avec des documents à caractère pornographique,
évite de les gardés trop longtemps,si tu veux un bon conseil

[Txon]

J'ai regardé la date et l'heure d'un fichierc'était indiqué le 5/08/08 à 23h06 avec dedans une vingtaine de liens de sites.
Difficle de faire cela discrètement du surf à cette heure alors que sa femme est juste à coté...
Je pense que je vais refaire une installe propre et peut être installer un linux .

Avant de prendre des positions radicales, pourquoi n'essaies-tu pas de répondre à ma question ?

Pour FireFox j'ai installé comme modules Adblock, CustomizeGoogle, PhishTank sitechecker, RefControl et Wot et je n'ai pas mis de controle parentale, tout les logiciels sont téléchargés sur le site des auteurs et c est tres souvent des freewares.

PhishTank et encore plus Wot correspondent aux logiciels auxquels je faisais allusion : "un système quelconque de "filtrage" des sites dangereux ".
Les messages que tu reçois ne viennent-ils pas tout simplement de l'un d'eux (surtout Wot) ?

Agur !

[noisette]

HS

Désolé de me répéter, mais si il fallait nécessairement aller sur un site P pour être infecté d'images de P, ce serait si simple ...

la plupart des gens Windowsiens ne seraient jamais infectés. Ce qui est tout à fait irréaliste voire surréaliste ^^.

Hervé, tranquillise-toi .

/HS

[herve91]

J'ai regardé la date et l'heure d'un fichierc'était indiqué le 5/08/08 à 23h06 avec dedans une vingtaine de liens de sites.
Difficle de faire cela discrètement du surf à cette heure alors que sa femme est juste à coté...
Je pense que je vais refaire une installe propre et peut être installer un linux .

Avant de prendre des positions radicales, pourquoi n'essaies-tu pas de répondre à ma question ?

Pour FireFox j'ai installé comme modules Adblock, CustomizeGoogle, PhishTank sitechecker, RefControl et Wot et je n'ai pas mis de controle parentale, tout les logiciels sont téléchargés sur le site des auteurs et c est tres souvent des freewares.

PhishTank et encore plus Wot correspondent aux logiciels auxquels je faisais allusion : "un système quelconque de "filtrage" des sites dangereux ".
Les messages que tu reçois ne viennent-ils pas tout simplement de l'un d'eux (surtout Wot) ?

Agur !

Bonjour à tout le monde

Txon, je n'ai jamais eu de message provenant "PhishTank et encore plus Wot" quand je recois un message surtout de WOT je me sauve aussi vite du site que je visite sans cherche à me poser une question. Sinon je n'ai pas compris ta question peux tu me la reformuler, merci.


Les alertes que je peux avoir proviennent aussi de SpywareTerminator et de OnlineArmor et dans les 99% des cas c'est simplement pour signaler qu'Antivir a changé après une mise à jour.

Je n'ai jamais eu aucun disfonctionnement particulier à part celui j'ai évoqué avec MSN ( qui fonctionne malgré tout, c'est ma femme qui l'utilise pour correspondre avec des personnes en Chine comme elle journaliste et envoie des photos).

Noisette si cela tenait qu'à moi, je m'enficherai royalement mais bon je suis marié et je tiens à mon couple.

En réalité ce qui m'énerve le plus c'est d'installer des logiciels de sécurité et que ce type de document passe quand même et que malgré tout j'essaye de m'informer sur les dangers d'internet grace a ce site voila.

Bon je vais aller me replonger dans mon programme d'automatisme pour faire fonctionner des vannes et autres.....
Bonne journée

Hervé

[VB 6]

Technicien ?

[Txon]

Txon, je n'ai jamais eu de message provenant "PhishTank et encore plus Wot" quand je recois un message surtout de WOT je me sauve aussi vite du site que je visite sans cherche à me poser une question. Sinon je n'ai pas compris ta question peux tu me la reformuler, merci.

Je ne confondrai pas les messages forts d'alerte de tel logiciel ou tel autre plug-in avec des messages de mise à jour de leur base de connaissances qui contiendraient les liens des sites dangereux qu'ils y ajoutent (PhishTank ou Wot en particulier).

Peux-tu faire des "screenshot" des messages qui t'inquiètent (pas ceux d'Antivir) et les publier ici ?

Agur !

[herve91]

Technicien ?

Bonjour,

non simplement ingenieur en automatisme.

Txon peux tu me donner le lien pour mettre les images.
J'ai eu des messages de mises à jour pour les pluggings Firefox, maintenant si ces logiciels ne sont pas valables je les deactive.

Bonne soiree en attendant

Hervé

[noisette]

Pour héberger des images, pour l'instant, il y a le plus connu: http://www.imageshack.us/

Il y en a d'autres également: http://www.google.fr...lient=firefox-a


Nous aurons un de ces jours un partenariat avec picturup, quand ils seront de nouveau d'attaque, ce qui permettra d'insérer une fonction d'upload directement dans l'éditeur de texte .

[herve91]

Pour héberger des images, pour l'instant, il y a le plus connu: http://www.imageshack.us/

Il y en a d'autres également: http://www.google.fr...lient=firefox-a


Nous aurons un de ces jours un partenariat avec picturup, quand ils seront de nouveau d'attaque, ce qui permettra d'insérer une fonction d'upload directement dans l'éditeur de texte .

Merci
je le ferais des que possible
Je viens de faire une recherche de fichiers .Txt comme cest sous ce format que j'ai des adresses de sites.. pour l'instant rien.

Je vais réinstallé Rku car j'ai une fenetre qui marque 02 Error loading data file et refaire une verife
si possible complete et si Txon peut me déchiffrer le rapport cela serait super ...

merci à bientot

Hervé

[VB 6]

Ce que tu peux faire aussi, c'est prendre toutes les adresses en considération
et de le mettre dans les fichiers host afin d'y interdire accès.
Mais cela reste pas une solution global à ton problème..

[herve91]

Merci

Sinon je n'arrive à faire fonctionner RkUnhooker, même après une deinstallation et une nouvelle installation.
J'ai pensé à mon parefeur Online Armor mais cela ne vient pas de lui
Bon je vais aller dormir il parait que la nuit porte conseil.

Et je pense que je vais tout remettre à plat trier ce que j'ai déja fait et ce que je dois encore faire sinon je vais finir par utiliser la méthode radicale mais je ne sais pas si c'est la bonne solution.

Bonne nuit

Petite info je viens de vérifier avec IceSword mes ports et je viens de voir un fichier du nom Bjc3000 qui pouvait accéder a Internet je viens de le virer je ne sais pas ce que cela va donner.
Avant j'avais une Bjc3000 comme imprimante et je ne suis jamais arrivé a déinstaller , j'ai bloqué le lancement du programme avec Online Armor et je n'avais pas vu cela.
Ce qui m'étonne c'est que dans Hijackthis il n'a pas de trace....
Bon cet intermède
Re bonne nuit.

Hervé

[Txon]

Je vais réinstallé Rku car j'ai une fenetre qui marque 02 Error loading data file et refaire une verife
si possible complete et si Txon peut me déchiffrer le rapport cela serait super ...

OK pour le coup de main, mais pour ce qui est de l'erreur 02 de RkU, il me semble que c'est lié à son driver qui ne peut être lancé. Il se pourrait qu'il soit bloqué par un de tes outils de défense (firewall, anti-truc-machin). Ne m'en veux pas si ma mémoire me fait faux bond. Vérifie si tu peux.

Agur !

P.S. Autrement, tu peux essayer -> Radix (très complet).

Ce message a été modifié par Txon - 13 août 2008 - 09:46 .

[herve91]

Je vais réinstallé Rku car j'ai une fenetre qui marque 02 Error loading data file et refaire une verife
si possible complete et si Txon peut me déchiffrer le rapport cela serait super ...

OK pour le coup de main, mais pour ce qui est de l'erreur 02 de RkU, il me semble que c'est lié à son driver qui ne peut être lancé. Il se pourrait qu'il soit bloqué par un de tes outils de défense (firewall, anti-truc-machin). Ne m'en veux pas si ma mémoire me fait faux bond. Vérifie si tu peux.

Agur !

P.S. Autrement, tu peux essayer -> Radix (très complet).

Bonsoir

Je n'ai pas beaucoup de temps ce soir,

J'ai vérifié les drivers lancés dans Online Armor et ils ne sont pas bloqués...
J'ai mis OA en mode apprentissage et cela fait pareil, je sais que j'avais déja eu des problèmes, sinon j'ai téléchargé Radix et installé.

J'ai vérifié les ports à nouveau et pour l'instant je n'ai plus vu ce fichier qui est en réalité une Dll et elle n'est plus sur mon disque ... je vais surveillé cela de près

Hervé

Ps Bonne nuit

[Txon]

... sinon j'ai téléchargé Radix et installé.
J'ai vérifié les ports à nouveau et pour l'instant je n'ai plus vu ce fichier qui est en réalité une Dll et elle n'est plus sur mon disque ... je vais surveillé cela de près

Puisque tu as téléchargé Radix, fais une analyse "1-click check" complète, et publie le "log" ici. Je vais essayer de décrypter tout ça.

Agur !

[herve91]

... sinon j'ai téléchargé Radix et installé.
J'ai vérifié les ports à nouveau et pour l'instant je n'ai plus vu ce fichier qui est en réalité une Dll et elle n'est plus sur mon disque ... je vais surveillé cela de près

Puisque tu as téléchargé Radix, fais une analyse "1-click check" complète, et publie le "log" ici. Je vais essayer de décrypter tout ça.

Agur !

Bonjour

Daccord je vais le faire et je te mets le fichier en MP

Herve

[Thelwin Argon]

Tu pourrais le mettre ici et ensuite un des membres peut le mettre en invisible comme ça seul les membres "de confiance" pourront le voir et comme ça on peut tous essayer de t'aider

PS: enfin, moi mon truc ici, c'est plutôt le hardware ^^'