Symantec : trafic bloqué svchost

Fermé
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 - 30 juil. 2013 à 16:16
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 - 31 juil. 2013 à 14:53
Bonjour,

depuis quelque temps j'ai un message qui apparaît à peu près toutes les 2 minutes (avec en plus un djingle) :
====
symantec endpoint protection
le trafic est bloqué à partir de cette application: (svchost.exe)
====
Que signifie ce message?
Comment s'en débarrasser?


A voir également:

9 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
30 juil. 2013 à 16:26
Salut,

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
30 juil. 2013 à 17:13
Salut,
désolé mais "Prendre Lien de téléchargement" est un png et rien ne se charge.
me suis je trompé?
merci
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
30 juil. 2013 à 17:16
pan sur les doigts! je me suis trompé...
Désolé, je fais ce que tu me dis, merci
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
30 juil. 2013 à 17:22
Voici le rapport:
========================
RogueKiller V8.6.4 [Jul 29 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Papou [Droits d'admin]
Mode : Suppression -- Date : 07/30/2013 17:21:30
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 2 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[13] : NtAlertResumeThread @ 0x830F6DA1 -> HOOKED (Unknown @ 0x86371710)
[Address] SSDT[14] : NtAlertThread @ 0x83049CC7 -> HOOKED (Unknown @ 0x863717F0)
[Address] SSDT[19] : NtAllocateVirtualMemory @ 0x83042CBC -> HOOKED (Unknown @ 0x8636F708)
[Address] SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x83091070 -> HOOKED (Unknown @ 0x862207E0)
[Address] SSDT[74] : NtCreateMutant @ 0x8302934C -> HOOKED (Unknown @ 0x86371460)
[Address] SSDT[87] : NtCreateThread @ 0x830F4FDA -> HOOKED (Unknown @ 0x8636F898)
[Address] SSDT[131] : NtFreeVirtualMemory @ 0x82ED182C -> HOOKED (Unknown @ 0x8636F528)
[Address] SSDT[145] : NtImpersonateAnonymousToken @ 0x8300E962 -> HOOKED (Unknown @ 0x86371550)
[Address] SSDT[147] : NtImpersonateThread @ 0x83092962 -> HOOKED (Unknown @ 0x86371630)
[Address] SSDT[168] : NtMapViewOfSection @ 0x8305F5F1 -> HOOKED (Unknown @ 0x8636F428)
[Address] SSDT[177] : NtOpenEvent @ 0x83028D48 -> HOOKED (Unknown @ 0x86371380)
[Address] SSDT[191] : NtOpenProcessToken @ 0x8307D36F -> HOOKED (Unknown @ 0x8636F7D8)
[Address] SSDT[199] : NtOpenThreadToken @ 0x8309164B -> HOOKED (Unknown @ 0x86371CC8)
[Address] SSDT[304] : NtResumeThread @ 0x830896C2 -> HOOKED (Unknown @ 0x86248C30)
[Address] SSDT[316] : NtSetContextThread @ 0x830F684D -> HOOKED (Unknown @ 0x86371BE8)
[Address] SSDT[333] : NtSetInformationProcess @ 0x83051875 -> HOOKED (Unknown @ 0x86371008)
[Address] SSDT[335] : NtSetInformationThread @ 0x83082E26 -> HOOKED (Unknown @ 0x86371AF8)
[Address] SSDT[366] : NtSuspendProcess @ 0x830F6CDB -> HOOKED (Unknown @ 0x863712A0)
[Address] SSDT[367] : NtSuspendThread @ 0x830AE19B -> HOOKED (Unknown @ 0x86371938)
[Address] SSDT[370] : NtTerminateProcess @ 0x83073D86 -> HOOKED (Unknown @ 0x8624B0A0)
[Address] SSDT[371] : NtTerminateThread @ 0x8309169B -> HOOKED (Unknown @ 0x86371A18)
[Address] SSDT[385] : NtUnmapViewOfSection @ 0x8307D9AA -> HOOKED (Unknown @ 0x8636F348)
[Address] SSDT[399] : NtWriteVirtualMemory @ 0x83078A83 -> HOOKED (Unknown @ 0x8636F618)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 3227c778e6f3108c337fe088c9bfd8f3
[BSP] b2e0c34d6b902affe0823d8b6cef2b34 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14 | Size: 72225 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 147918848 | Size: 404704 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 8f5e18eba29d9006c0421a0d003413d7
[BSP] 1e83ae301476b135ba002fa9d1ba13da : Empty MBR Code
Partition table:
0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 1907718 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 55984cc1d37e8daba9eb8c2ce4d9c6a4
[BSP] 1a15f85839a376947e624d2042a4b303 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 44 | Size: 15275 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_07302013_172130.txt >>
RKreport[0]_S_07302013_172120.txt
==================================================
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
30 juil. 2013 à 17:39
tu n'as pas plus d'informations sur les blocages ?
Si y a une url malicieuses données par Symantec ou quelques choses ?
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
30 juil. 2013 à 17:57
effectivement dans Symantec , menaces réseaux j trouve ceci:
===========================================
30/07/2013 17:54:18 Bloqués 3 Sortant UDP teredo.ipv6.microsoft.com [94.245.121.253] 00-24-D4-51-E8-F0 3544 192.168.0.1 00-23-54-EF-57-31 59613 C:\Windows\System32\svchost.exe Papou Papou-PC Default 2 30/07/2013 17:53:17 30/07/2013 17:53:32 GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_103
============================================
cela me rappelle que j'avais déjà eu ce pb et que j'avais viré ipv6 (il est toujours viré)
je ne sais si c'est cela le pb et ce qu'il signifie
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
30 juil. 2013 à 18:00
donc pas un prb de malware.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770710(v=ws.10)?redirectedfrom=MSDN

le client peut envoyer une requête DNS (Domain Name System) afin de résoudre le nom teredo.ipv6.microsoft.com. Vous pouvez empêcher l'envoi de cette requête DNS en désactivant ou en contrôlant Teredo sous Windows Server 2008, à l'aide des méthodes suivantes :

on a pas le port sur l'alerte mais j'imagine que c'est une requete UDP sur le port 53 de teredo

Faut l'autoriser.
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
30 juil. 2013 à 18:11
non c'est port distant=3544.

que faut-il faire?
0
Port 3544? les serveurs teredo écoutent sur ce port, ton système envoie des requêtes, Norton les bloque, pas grave, à part peut être pour IPv6.
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
31 juil. 2013 à 10:17
bonjour
que dois-je faire maintenant?
merci
0
Pour moi rien.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
31 juil. 2013 à 12:04
pareil, autoriser sur Symantec, si tu ne veux plsu d'alerte.
0
papoudu34 Messages postés 150 Date d'inscription vendredi 26 novembre 2010 Statut Membre Dernière intervention 10 mars 2023 8
31 juil. 2013 à 14:53
bonjour,
quelqu'un peut-il me dire comment autoriser sur Symantec?
Merci
0