Problème protocole SSDP [Tentative de hack?]

Résolu/Fermé
Sheep - 23 mai 2010 à 10:00
 Utilisateur anonyme - 26 mai 2010 à 21:52
Bonjour à tous.

Depuis hier soir, j'ai remarqué que je lagais sévèrement quand je joue en ligne.

Après avoir analysé le trafic réseau via WireShark, j'ai constaté qu'une multitude de trames issue du protocole "SSDP" circulait vers mon PC. Je scan régulièrement mon réseau pour observé ce qui circule entre mon PC et un serveur virtuel et je n'avais jamais vu ce protocole.

J'ai fait une restauration, plus de trames de ce type. Malheureusement ce matin en scannant mon réseau, j'ai vu que de protocole était de retour. (Bien qu'il y avait moins de trame)

Je suis aller dans le menu "Service" de Windows le service SSDP est censé être désactivé.

J'ignore totalement quel est de protocole et mes recherche de mon pas plus aidé. Je me demande si ce n'est pas une tentative de hack. Sans compter que je me suis engrainé avec un type sur mon jeu en ligne et que tout cela est arrivé quelque heure après.

Quelqu'un pourrait il éclairé ma lanterne s.v.p?


Merci d'avance.

24 réponses

Personne? ><
0
Utilisateur anonyme
23 mai 2010 à 12:23
bonjour,
on peut regarder sur ton pc pour vérifier s'il y a une infection ou non, par contre pour le floux utilisés par les sites de jeux en ligne, il faut voir avec le forum jeux ;-)

quelle vérsion de windows utilises tu ?
0
Je suis encore sur Windows XP.

J'ai fait allusion à mes lag sur le jeu en ligne car je soupçonne un liens entre ça et ce "spam" de trames SSDP.
0
Utilisateur anonyme
23 mai 2010 à 12:30
ok,
on va voir s'il y a une infection :

Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe

Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Ok je vais faire tout ça.
0
Voila c'est fait.

http://www.cijoint.fr/cjlink.php?file=cj201005/cijsOj1bgY.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijcJTVlX5.txt
0
Utilisateur anonyme
23 mai 2010 à 14:26
j'ai un souci technique, le bloc alimentation de mon pc vient de lacher. la, je suis sur ma wii, je continue la suite mardi, je suis désolé du contre temps :-)
0
Ok pas de problème. ;)
0
Utilisateur anonyme
23 mai 2010 à 14:53
merci :-)
@+
0
bonjour,
tu disposes d'une version modifiée de windows,

je ne vois pas d'infections sur tes rapports, juste ce que avira et adobe rider ne sont pas à jour !


Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
0
Bonsoir, navré d'avoir mit autant de temps, j'étais persuadé qu'on allais reprendre mardi. ><

Je vais suivre les instruction que tu a posté.

Un nouvel évènement étrange viens d'arrivé sur mon pc. (J'ignore si ça à un lien avec ce que j'ai cité au début du topic).

Depuis 20H00 environs mon pare feu (Zone Alarm) à bloqué trois "attaque" ayant pour DNS source :

-dp2.mail.live.com
-expbl2ro.msn.com
-sn1msg1010826.phx.gbl

En regardant l'adresse IP de destination, j'ai constaté qu'il s'agissait du pc de ma soeur.

Ça m'inquiète un peu car j'ai constaté qu'elle n'avais pas de pare feu sur son PC.(Ce qui n'est plus le cas désormais)

J'ai vu par la même occasions trois attaques vers mon pc dont l'une vient d'un site du nom de "terraincongnita.co.uk".Pas de DSN source pour les deux autre.
0
Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201005/cijVf29tUa.txt

"tu disposes d'une version modifiée de windows"
C'est mauvais signe? <<

P.S : Je vais passé pour un parano, mais n'était pas une lumière en informatique, je me demande si c'est pas dangereux qu'on puisse voir mon adresse de passerelle?
0
*n'étant
0
tu n'as pas une version officielle de windows, ceci dit ou c'est une copie, ou c'est une version modifiée, ce qui augmente l'instabilité et la sécurité du pc !

est ce qu'il s'agit d'un de boulot ?

si non, tu es probablement victime d'un détournement de DNS !!!

on va voir :


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



* Avoir accès aux fichiers cachés :Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide le motif ( "appliquer" puis "ok" ).
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... )



Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

Tuto : https://www.malekal.com/tutorial-gmer/
0
Nope c'est pas un pc de travail.

Voici de le rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4140

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

25/05/2010 01:21:06
mbam-log-2010-05-25 (01-21-06).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271488
Temps écoulé: 1 heure(s), 48 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Pas de ligne de rouge dans l'auto scan de GMER

Il y avait très peu de ligne (Environ 5) es ce normal?
0
bonjour,
s'il ne s'agit pas d'un pc de travail, tu es victime d'un détournement de DNS :

suis cette manipulation :

vas dans le menu demarrer, executer,
tappe cmd, puis entrée,

à l'invite de commande tappe ceci :

netsh int ip reset all (réinitialisation de la pile TCP/IP)

puis entrée

puis cette commande:

netsh winsock reset (réinitialistion Winsock)

puis entrée

il faut redémarre le PC


repasse un autre rsit, héberge son rapport sur cijoint, colle le lien fourni sur ton prochain message :-)
0
Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijMnkctSs.txt

Pour cette histoire de "détournement DSN", dois je faire attention au niveau de mes mots de passes ou le mal es déjà fait?
0
le détournement de DNS n'a rien avoir avec les infections du type Keylogger :-)

je cite :

... comment les pirates informatiques ont trouvé une technique imparable pour nous amener dans leur tannière.

Des pirates ont détournés les serveurs DNS de plusieurs sociétés américaines. Ils pouvaient ainsi diriger les demandes pour n'importe quel site web en .com vers un site publicitaire qui installait des spywares à la volée. Baptisée "DNS pharming", l'attaque illustre une tendance à la hausse : au lieu de piéger les utilisateurs sur leur poste de travail, l'arnaque est menée en amont, contre l'infrastructure même du net. Là où ils n'ont aucune chance d'y échapper. [ ... ]




le détournement t'empèche de te conncter directement sur le site que tu as choisi sur ton moteur de recherches, déviation de ta connexion vers un autre site .....

alors, la suite, tu as norton et avira sur ton pc, je te conseille de conserve avira et virer norton :



http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Un complément
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html



fais une mise à jour d'adobe ride, il n'est pas à jour.

attention à l'installation des toolbars, il ne sont pas tous inofensifs !



désinstalle RSIT et Smitfraidfix,

fais une mise à jour d'avira, lance un scan complet de ton pc, tiens moi au courant du résultat,

vérifie si tu as encore de trafic de réseau sur ton pc :-)
0
Ok, j'essayerai de te dire tout ça entre midi et deux si j'ai le temps mais ca sera surement ce soir (Je suis au "taf").
0
Utilisateur anonyme
25 mai 2010 à 12:57
ok, pas de soucis ;-)

@++
0