Problème protocole SSDP [Tentative de hack?]Résolu/Fermé

Question

Bonjour à tous.

Depuis hier soir, j'ai remarqué que je lagais sévèrement quand je joue en ligne.

Après avoir analysé le trafic réseau via WireShark, j'ai constaté qu'une multitude de trames issue du protocole "SSDP" circulait vers mon PC. Je scan régulièrement mon réseau pour observé ce qui circule entre mon PC et un serveur virtuel et je n'avais jamais vu ce protocole.

J'ai fait une restauration, plus de trames de ce type. Malheureusement ce matin en scannant mon réseau, j'ai vu que de protocole était de retour. (Bien qu'il y avait moins de trame)

Je suis aller dans le menu "Service" de Windows le service SSDP est censé être désactivé.

J'ignore totalement quel est de protocole et mes recherche de mon pas plus aidé. Je me demande si ce n'est pas une tentative de hack. Sans compter que je me suis engrainé avec un type sur mon jeu en ligne et que tout cela est arrivé quelque heure après.

Quelqu'un pourrait il éclairé ma lanterne s.v.p?


Merci d'avance.

Sheep · Answer

Personne? ><

Utilisateur anonyme · Answer

bonjour,
on peut regarder sur ton pc pour vérifier s'il y a une infection ou non, par contre pour le floux utilisés par les sites de jeux en ligne, il faut voir avec le forum jeux  ;-)

quelle vérsion de windows utilises tu ?

Sheep · Answer

Je suis encore sur Windows XP.

J'ai fait allusion à mes lag sur le jeu en ligne car je soupçonne un liens entre ça et ce "spam" de trames SSDP.

Utilisateur anonyme · Answer

ok, 
on va voir s'il y a une infection : 

Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau. 
http://images.malwareremoval.com/random/RSIT.exe
	
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil. 
Clique sur ' continue ' à l'écran Disclaimer. 
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. 
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt) 
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note: 
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php

Sheep · Answer

Ok je vais faire tout ça.

Sheep · Answer

Voila c'est fait.

http://www.cijoint.fr/cjlink.php?file=cj201005/cijsOj1bgY.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijcJTVlX5.txt

Utilisateur anonyme · Answer

j'ai un souci technique, le bloc alimentation de mon pc vient de lacher. la, je suis sur ma wii, je continue la suite mardi, je suis désolé du contre temps :-)

Sheep · Answer

Ok pas de problème. ;)

Utilisateur anonyme · Answer

merci :-)
@+

Utilisateur anonyme · Answer

bonjour, 
tu disposes d'une version modifiée de windows, 

je ne vois pas d'infections sur tes rapports, juste ce que avira et adobe rider ne sont  pas à jour ! 


Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).  
http://siri.urz.free.fr/Fix/SmitfraudFix.exe  

Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,  
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php  
il va générer un rapport : copie/colle le sur le poste stp.  

Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm 

Note : 
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Sheep · Answer

Bonsoir, navré d'avoir mit autant de temps, j'étais persuadé qu'on allais reprendre mardi. ><

Je vais suivre les instruction que tu a posté.

Un nouvel évènement étrange viens d'arrivé sur mon pc. (J'ignore si ça à un lien avec ce que j'ai cité au début du topic).

Depuis 20H00 environs mon pare feu (Zone Alarm) à bloqué trois "attaque" ayant pour DNS source :

-dp2.mail.live.com
-expbl2ro.msn.com
-sn1msg1010826.phx.gbl

En regardant l'adresse IP de destination, j'ai constaté qu'il s'agissait du pc de ma soeur.

Ça m'inquiète un peu car j'ai constaté qu'elle n'avais pas de pare feu sur son PC.(Ce qui n'est plus le cas désormais)

J'ai vu par la même occasions trois attaques vers mon pc dont l'une vient d'un site du nom de "terraincongnita.co.uk".Pas de DSN source pour les deux autre.

Sheep · Answer

Voici le rapport

 http://www.cijoint.fr/cjlink.php?file=cj201005/cijVf29tUa.txt

"tu disposes d'une version modifiée de windows"
C'est mauvais signe? <<

P.S : Je vais passé pour un parano, mais n'était pas une lumière en informatique, je me demande si c'est pas dangereux qu'on puisse voir mon adresse de passerelle?

Sheep · Answer

*n'étant

Utilisateur anonyme · Answer

tu n'as pas une version officielle de windows, ceci dit ou c'est une copie, ou c'est une version modifiée, ce qui augmente l'instabilité et la sécurité du pc ! 

est ce qu'il s'agit d'un de boulot ? 

si non, tu es probablement victime d'un détournement de DNS !!! 

on va voir : 


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau: 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

  
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes  
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, cliques sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. rends toi dans l'onglet rapport/log  
. tu cliques dessus pour l'afficher une fois affiché  
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous  
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. Tu cliques droit dans le cadre de la réponse et coller  
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



*	Avoir accès aux fichiers cachés :Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
-> valide le motif ( "appliquer" puis "ok" ). 
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... )



Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip

* Dézipper le programme. 
* Double cliquer sur Gmer.exe 
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan 
(il s'agit de l'onglet : Rootkit/Malware). 


=> Des lignes rouges doivent apparaître en cas d'infection : 

* sur ces lignes rouges: 
o Services: Clique droit puis delete service 
o Process: Clique droit puis kill process 
o Adl, file: Clique droit puis delete files

Tuto : https://www.malekal.com/tutorial-gmer/

Sheep · Answer

Nope c'est pas un pc de travail.

Voici de le rapport 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4140

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

25/05/2010 01:21:06
mbam-log-2010-05-25 (01-21-06).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271488
Temps écoulé: 1 heure(s), 48 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Pas de ligne de rouge dans l'auto scan de GMER

Il y avait très peu de ligne (Environ 5) es ce normal?

Utilisateur anonyme · Answer

bonjour, 
s'il ne s'agit pas d'un pc de travail, tu es victime d'un détournement de DNS : 

suis cette manipulation :  

vas dans le menu demarrer, executer,  
tappe cmd, puis entrée, 

à l'invite de commande tappe ceci : 

netsh int ip reset all (réinitialisation de la pile TCP/IP) 

 puis entrée 

puis cette commande:  

netsh winsock reset (réinitialistion Winsock)  

puis entrée 

il faut redémarre le PC  


repasse un autre rsit, héberge son rapport sur cijoint, colle le lien fourni sur ton prochain message :-)

Sheep · Answer

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijMnkctSs.txt

Pour cette histoire de "détournement DSN", dois je faire attention au niveau de mes mots de passes ou le mal es déjà fait?

Utilisateur anonyme · Answer

le détournement de DNS n'a rien avoir avec les infections du type Keylogger  :-) 

je cite :

... comment les pirates informatiques ont trouvé une technique imparable pour nous amener dans leur tannière. 

Des pirates ont détournés les serveurs DNS de plusieurs sociétés américaines. Ils pouvaient ainsi diriger les demandes pour n'importe quel site web en .com vers un site publicitaire qui installait des spywares à la volée. Baptisée "DNS pharming", l'attaque illustre une tendance à la hausse : au lieu de piéger les utilisateurs sur leur poste de travail, l'arnaque est menée en amont, contre l'infrastructure même du net. Là où ils n'ont aucune chance d'y échapper. [ ... ] 



le détournement t'empèche de te conncter directement sur le site que tu as choisi sur ton moteur de recherches, déviation de ta connexion vers un autre site ..... 

alors, la suite, tu as norton et avira sur ton pc, je te conseille de conserve avira et virer norton : 



http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924 

Un complément  
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html 



fais une mise à jour d'adobe ride, il n'est pas à jour. 

attention à l'installation des toolbars, il ne sont pas tous inofensifs ! 



désinstalle RSIT et Smitfraidfix, 

fais une mise à jour d'avira, lance un scan complet de ton pc, tiens moi au courant du résultat, 

vérifie si tu as encore de trafic de réseau sur ton pc  :-)

Sheep · Answer

Ok, j'essayerai de te dire tout ça entre midi et deux si j'ai le temps mais ca sera surement ce soir (Je suis au "taf").

Utilisateur anonyme · Answer

ok, pas de soucis  ;-)

@++

Sheep · Answer

Bonsoir,

dsl d'avoir tardé, j'ai du recommencé le scan de mon pc suite à une fausse manip :x


J'ai mit mon anti virus à jour ainsi que adobe à jour (Au passage : Quel est le rapport entre Adobe et la sécurité du pc?) . Norton à été dégagé de mon pc.

Le scan n'a rien détecté niveau virus. J'ai juste eu trois "avertissement".


Mon pare feu (Zone Alarm) à bloqué quartes trames qui allait de mon pc vers celui de ma soeur. Il s'agissait du protocole netBios qui à sans doute été réactivé après avoir fait les commande que tu m'a demandé de faire. (J'ai redésactivée le netBios)

J'ai scané de nouveau ce qui passait par ma carte réseau, plus de trace du protocole SSDP.


J'ai aussi aperçu des trames qui circules depuis toujours sur mon pc. (Ou plutôt, depuis que j'utilise WireShark)


-Des requêtes DNS que mon pare feu envoie régulièrement au site de Zone Lab
-Ma box qui envoie de temps à autre des requêtes ARP pour connaitre l'ip de mon pc.

J'ignore si c'est normal.

Utilisateur anonyme · Answer

bonjour,

les avertissements de ton antivirus ne consernent que les fichiers que ton av n'a pas pu ouvrire, donc rien de bien grave  :-)


les trames qui se balade entre ton pc et celui de ta soeur, si les deux pc sont connéctés ensemble sur le même réseau, puis il y a une connexion réseau, c'est peut être normal  :-)

pareil pour l'envoi des signeux entre ta box et ton pc surtout si tu es connecté en wifi  ;-)

ton parfeu demande de roquette à son serveur pour les mises à jour égelemnt  :-)

pour tous ce qui conserne les mise à jour, ton mets à jour le xp, passe à sp3, pareil pour adobe rider, JAVA  ....

les mises à jour permettent de combler les failles de sécurité, exploitées par les logiciels malveillants !!!

il y a déjà eu le cas avec la version java 6 uploade 18 et 19.  là on est à la version 20.


on va términer la désinfection :



*	pour supprimer les outils de désinfection : 

Télécharge OTC de Old Timer . 
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur. 
Clique sur le bouton "CleanUp!" . 
Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche. 
Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui. 
L'outil va se supprimer lui-même une fois la fin de l'opération.
Sinon, supprime les manuellement

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information



conserve MBAM, il est beaucoup plus effocace que Spybot ou adaward, n'oublie pas de faire une mise à jour avant d'utilisation  ;-)

crée un nouveau point de restauration système, ça peut servire  :-)

si tu as d'autres soucis, tu me les notes sur ton prochain message  ;-)

@++

Sheep · Answer

Voilà j'ai fini les dernière instructions.
Aucun problème à signaler.

Un grand merci pour ton aide. ;)

Utilisateur anonyme · Answer

bon surf et bonne soirée  ;-)

Problème protocole SSDP [Tentative de hack?]

24 réponses

Discussions similaires

Newsletters