Problème protocole SSDP [Tentative de hack?]
Résolu/Fermé
A voir également:
- Ssdp wireshark
- Wireshark - Télécharger - Divers Réseau & Wi-Fi
- Wireshark forum - Forum Réseau
- Host announcement wireshark - Forum Réseau
- Wireshark ✓ - Forum Ubuntu
- Wireshark smb - Forum Réseau
24 réponses
Utilisateur anonyme
23 mai 2010 à 12:23
23 mai 2010 à 12:23
bonjour,
on peut regarder sur ton pc pour vérifier s'il y a une infection ou non, par contre pour le floux utilisés par les sites de jeux en ligne, il faut voir avec le forum jeux ;-)
quelle vérsion de windows utilises tu ?
on peut regarder sur ton pc pour vérifier s'il y a une infection ou non, par contre pour le floux utilisés par les sites de jeux en ligne, il faut voir avec le forum jeux ;-)
quelle vérsion de windows utilises tu ?
Je suis encore sur Windows XP.
J'ai fait allusion à mes lag sur le jeu en ligne car je soupçonne un liens entre ça et ce "spam" de trames SSDP.
J'ai fait allusion à mes lag sur le jeu en ligne car je soupçonne un liens entre ça et ce "spam" de trames SSDP.
Utilisateur anonyme
23 mai 2010 à 12:30
23 mai 2010 à 12:30
ok,
on va voir s'il y a une infection :
Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php
on va voir s'il y a une infection :
Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila c'est fait.
http://www.cijoint.fr/cjlink.php?file=cj201005/cijsOj1bgY.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijcJTVlX5.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijsOj1bgY.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijcJTVlX5.txt
Utilisateur anonyme
23 mai 2010 à 14:26
23 mai 2010 à 14:26
j'ai un souci technique, le bloc alimentation de mon pc vient de lacher. la, je suis sur ma wii, je continue la suite mardi, je suis désolé du contre temps :-)
Utilisateur anonyme
Modifié par Electricien 69 le 24/05/2010 à 18:15
Modifié par Electricien 69 le 24/05/2010 à 18:15
bonjour,
tu disposes d'une version modifiée de windows,
je ne vois pas d'infections sur tes rapports, juste ce que avira et adobe rider ne sont pas à jour !
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
tu disposes d'une version modifiée de windows,
je ne vois pas d'infections sur tes rapports, juste ce que avira et adobe rider ne sont pas à jour !
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
Bonsoir, navré d'avoir mit autant de temps, j'étais persuadé qu'on allais reprendre mardi. ><
Je vais suivre les instruction que tu a posté.
Un nouvel évènement étrange viens d'arrivé sur mon pc. (J'ignore si ça à un lien avec ce que j'ai cité au début du topic).
Depuis 20H00 environs mon pare feu (Zone Alarm) à bloqué trois "attaque" ayant pour DNS source :
-dp2.mail.live.com
-expbl2ro.msn.com
-sn1msg1010826.phx.gbl
En regardant l'adresse IP de destination, j'ai constaté qu'il s'agissait du pc de ma soeur.
Ça m'inquiète un peu car j'ai constaté qu'elle n'avais pas de pare feu sur son PC.(Ce qui n'est plus le cas désormais)
J'ai vu par la même occasions trois attaques vers mon pc dont l'une vient d'un site du nom de "terraincongnita.co.uk".Pas de DSN source pour les deux autre.
Je vais suivre les instruction que tu a posté.
Un nouvel évènement étrange viens d'arrivé sur mon pc. (J'ignore si ça à un lien avec ce que j'ai cité au début du topic).
Depuis 20H00 environs mon pare feu (Zone Alarm) à bloqué trois "attaque" ayant pour DNS source :
-dp2.mail.live.com
-expbl2ro.msn.com
-sn1msg1010826.phx.gbl
En regardant l'adresse IP de destination, j'ai constaté qu'il s'agissait du pc de ma soeur.
Ça m'inquiète un peu car j'ai constaté qu'elle n'avais pas de pare feu sur son PC.(Ce qui n'est plus le cas désormais)
J'ai vu par la même occasions trois attaques vers mon pc dont l'une vient d'un site du nom de "terraincongnita.co.uk".Pas de DSN source pour les deux autre.
Voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201005/cijVf29tUa.txt
"tu disposes d'une version modifiée de windows"
C'est mauvais signe? <<
P.S : Je vais passé pour un parano, mais n'était pas une lumière en informatique, je me demande si c'est pas dangereux qu'on puisse voir mon adresse de passerelle?
http://www.cijoint.fr/cjlink.php?file=cj201005/cijVf29tUa.txt
"tu disposes d'une version modifiée de windows"
C'est mauvais signe? <<
P.S : Je vais passé pour un parano, mais n'était pas une lumière en informatique, je me demande si c'est pas dangereux qu'on puisse voir mon adresse de passerelle?
Utilisateur anonyme
Modifié par Electricien 69 le 24/05/2010 à 23:06
Modifié par Electricien 69 le 24/05/2010 à 23:06
tu n'as pas une version officielle de windows, ceci dit ou c'est une copie, ou c'est une version modifiée, ce qui augmente l'instabilité et la sécurité du pc !
est ce qu'il s'agit d'un de boulot ?
si non, tu es probablement victime d'un détournement de DNS !!!
on va voir :
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
* Avoir accès aux fichiers cachés :Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide le motif ( "appliquer" puis "ok" ).
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... )
Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
est ce qu'il s'agit d'un de boulot ?
si non, tu es probablement victime d'un détournement de DNS !!!
on va voir :
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
* Avoir accès aux fichiers cachés :Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide le motif ( "appliquer" puis "ok" ).
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... )
Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
Nope c'est pas un pc de travail.
Voici de le rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4140
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
25/05/2010 01:21:06
mbam-log-2010-05-25 (01-21-06).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271488
Temps écoulé: 1 heure(s), 48 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Pas de ligne de rouge dans l'auto scan de GMER
Il y avait très peu de ligne (Environ 5) es ce normal?
Voici de le rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4140
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
25/05/2010 01:21:06
mbam-log-2010-05-25 (01-21-06).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271488
Temps écoulé: 1 heure(s), 48 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Pas de ligne de rouge dans l'auto scan de GMER
Il y avait très peu de ligne (Environ 5) es ce normal?
Utilisateur anonyme
Modifié par Electricien 69 le 25/05/2010 à 07:46
Modifié par Electricien 69 le 25/05/2010 à 07:46
bonjour,
s'il ne s'agit pas d'un pc de travail, tu es victime d'un détournement de DNS :
suis cette manipulation :
vas dans le menu demarrer, executer,
tappe cmd, puis entrée,
à l'invite de commande tappe ceci :
netsh int ip reset all (réinitialisation de la pile TCP/IP)
puis entrée
puis cette commande:
netsh winsock reset (réinitialistion Winsock)
puis entrée
il faut redémarre le PC
repasse un autre rsit, héberge son rapport sur cijoint, colle le lien fourni sur ton prochain message :-)
s'il ne s'agit pas d'un pc de travail, tu es victime d'un détournement de DNS :
suis cette manipulation :
vas dans le menu demarrer, executer,
tappe cmd, puis entrée,
à l'invite de commande tappe ceci :
netsh int ip reset all (réinitialisation de la pile TCP/IP)
puis entrée
puis cette commande:
netsh winsock reset (réinitialistion Winsock)
puis entrée
il faut redémarre le PC
repasse un autre rsit, héberge son rapport sur cijoint, colle le lien fourni sur ton prochain message :-)
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijMnkctSs.txt
Pour cette histoire de "détournement DSN", dois je faire attention au niveau de mes mots de passes ou le mal es déjà fait?
http://www.cijoint.fr/cjlink.php?file=cj201005/cijMnkctSs.txt
Pour cette histoire de "détournement DSN", dois je faire attention au niveau de mes mots de passes ou le mal es déjà fait?
Utilisateur anonyme
Modifié par Electricien 69 le 25/05/2010 à 08:39
Modifié par Electricien 69 le 25/05/2010 à 08:39
le détournement de DNS n'a rien avoir avec les infections du type Keylogger :-)
je cite :
... comment les pirates informatiques ont trouvé une technique imparable pour nous amener dans leur tannière.
Des pirates ont détournés les serveurs DNS de plusieurs sociétés américaines. Ils pouvaient ainsi diriger les demandes pour n'importe quel site web en .com vers un site publicitaire qui installait des spywares à la volée. Baptisée "DNS pharming", l'attaque illustre une tendance à la hausse : au lieu de piéger les utilisateurs sur leur poste de travail, l'arnaque est menée en amont, contre l'infrastructure même du net. Là où ils n'ont aucune chance d'y échapper. [ ... ]
le détournement t'empèche de te conncter directement sur le site que tu as choisi sur ton moteur de recherches, déviation de ta connexion vers un autre site .....
alors, la suite, tu as norton et avira sur ton pc, je te conseille de conserve avira et virer norton :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
Un complément
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html
fais une mise à jour d'adobe ride, il n'est pas à jour.
attention à l'installation des toolbars, il ne sont pas tous inofensifs !
désinstalle RSIT et Smitfraidfix,
fais une mise à jour d'avira, lance un scan complet de ton pc, tiens moi au courant du résultat,
vérifie si tu as encore de trafic de réseau sur ton pc :-)
je cite :
... comment les pirates informatiques ont trouvé une technique imparable pour nous amener dans leur tannière.
Des pirates ont détournés les serveurs DNS de plusieurs sociétés américaines. Ils pouvaient ainsi diriger les demandes pour n'importe quel site web en .com vers un site publicitaire qui installait des spywares à la volée. Baptisée "DNS pharming", l'attaque illustre une tendance à la hausse : au lieu de piéger les utilisateurs sur leur poste de travail, l'arnaque est menée en amont, contre l'infrastructure même du net. Là où ils n'ont aucune chance d'y échapper. [ ... ]
le détournement t'empèche de te conncter directement sur le site que tu as choisi sur ton moteur de recherches, déviation de ta connexion vers un autre site .....
alors, la suite, tu as norton et avira sur ton pc, je te conseille de conserve avira et virer norton :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
Un complément
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html
fais une mise à jour d'adobe ride, il n'est pas à jour.
attention à l'installation des toolbars, il ne sont pas tous inofensifs !
désinstalle RSIT et Smitfraidfix,
fais une mise à jour d'avira, lance un scan complet de ton pc, tiens moi au courant du résultat,
vérifie si tu as encore de trafic de réseau sur ton pc :-)
