Trojan, help
kawasaki
-
al360ex Messages postés 188 Statut Membre -
al360ex Messages postés 188 Statut Membre -
Bonjour,
Bonjour,
en observant les connections réseaux avec TCP view, j'observe quelque chose d'assez étrange:
mon IP locale est 192.168.0.13
un pc distant 192.168.0.xxx essaye d'établir une connection avec mon svchost.exe.
l'adrese distante change toute les 5 secondes: 192.168.0.90,192.168.0.91,192.168.0.92,192.168.0.93 jusqu'à 200. Je ne comprends pas à quoi ces adresses "locales" correspondent et pourquoi elles changent si vite.
autre chose, ce pc distant essaye de se connecter à svchost sur les ports 1850, ensuite 1851, 1852, 1853.
Ensuite il passe à 1300,1301,1302...
TCP view détecte également le trafic des autres pcs connectés au réseau. Est-ce qu'il pourrait s'agir d'un pc infecté sur le réseau ?
Ce qui me fait penser à un trojan est que mon firewall a detecté de nombreuses tentatives d'injection de codes dans svchost.exe à des jours et heures différents.
Voici une ligne de la liste du journal...y'en a une centaine comme celle ci:
[24/Dec/2009 12:09:45] CChckDrv.cpp: "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\System32\svchost.exe injected dangerous code into C:\WINDOWS\system32\svchost.exe (code address: 0x7C801D77)
Merci d'avance pour votre aide
Bonjour,
en observant les connections réseaux avec TCP view, j'observe quelque chose d'assez étrange:
mon IP locale est 192.168.0.13
un pc distant 192.168.0.xxx essaye d'établir une connection avec mon svchost.exe.
l'adrese distante change toute les 5 secondes: 192.168.0.90,192.168.0.91,192.168.0.92,192.168.0.93 jusqu'à 200. Je ne comprends pas à quoi ces adresses "locales" correspondent et pourquoi elles changent si vite.
autre chose, ce pc distant essaye de se connecter à svchost sur les ports 1850, ensuite 1851, 1852, 1853.
Ensuite il passe à 1300,1301,1302...
TCP view détecte également le trafic des autres pcs connectés au réseau. Est-ce qu'il pourrait s'agir d'un pc infecté sur le réseau ?
Ce qui me fait penser à un trojan est que mon firewall a detecté de nombreuses tentatives d'injection de codes dans svchost.exe à des jours et heures différents.
Voici une ligne de la liste du journal...y'en a une centaine comme celle ci:
[24/Dec/2009 12:09:45] CChckDrv.cpp: "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\System32\svchost.exe injected dangerous code into C:\WINDOWS\system32\svchost.exe (code address: 0x7C801D77)
Merci d'avance pour votre aide
A voir également:
- Trojan, help
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
1 réponse
Bonjour,
En fait, ce qui est le plus probable, c'est que quelqu'un qui possède un "Port Scanner" scanne tes ports pour voir si tu en a qui sont ouverts. Cela permet à des hackers de vérifier si un PC peut être infecté facilement. Si tu veux, cela détecte les "failles" de ton ordinateur. Si tu as un firewall et que tu n'as pas de ports ouverts qui sont non-protégés, tu n'as rien à craindre.
Il faut dire, tu dois être assez malchanceux d'avoir vérifié tes connections réseaux en même temps que quelqu'un te scannait. Les probabilités que cela arrive sont vraiment très minces...
Ce "scan" devrait être terminé d'ici au maximum quelques heures. Il n'y a rien que tu puisses faire, à moins de débrancher ta connexion Internet. Cela va faire en sorte que le scanneur va tout de suite passer l'adresse IP suivante (qui est celle de quelqu'un d'autre).
Reviens-moi là-dessus,
al360ex
En fait, ce qui est le plus probable, c'est que quelqu'un qui possède un "Port Scanner" scanne tes ports pour voir si tu en a qui sont ouverts. Cela permet à des hackers de vérifier si un PC peut être infecté facilement. Si tu veux, cela détecte les "failles" de ton ordinateur. Si tu as un firewall et que tu n'as pas de ports ouverts qui sont non-protégés, tu n'as rien à craindre.
Il faut dire, tu dois être assez malchanceux d'avoir vérifié tes connections réseaux en même temps que quelqu'un te scannait. Les probabilités que cela arrive sont vraiment très minces...
Ce "scan" devrait être terminé d'ici au maximum quelques heures. Il n'y a rien que tu puisses faire, à moins de débrancher ta connexion Internet. Cela va faire en sorte que le scanneur va tout de suite passer l'adresse IP suivante (qui est celle de quelqu'un d'autre).
Reviens-moi là-dessus,
al360ex
