Symantec : trafic bloqué svchost
papoudu34
Messages postés
154
Date d'inscription
Statut
Membre
Dernière intervention
-
papoudu34 Messages postés 154 Date d'inscription Statut Membre Dernière intervention -
papoudu34 Messages postés 154 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
depuis quelque temps j'ai un message qui apparaît à peu près toutes les 2 minutes (avec en plus un djingle) :
====
symantec endpoint protection
le trafic est bloqué à partir de cette application: (svchost.exe)
====
Que signifie ce message?
Comment s'en débarrasser?
depuis quelque temps j'ai un message qui apparaît à peu près toutes les 2 minutes (avec en plus un djingle) :
====
symantec endpoint protection
le trafic est bloqué à partir de cette application: (svchost.exe)
====
Que signifie ce message?
Comment s'en débarrasser?
A voir également:
- Symantec class 3 secure server ca v20.0.0.6
- Ai suite 3 - Télécharger - Optimisation
- Ps3 media server - Télécharger - Divers Réseau & Wi-Fi
- Freewifi secure code ✓ - Forum Réseau
- Freewifi secure sans sim ✓ - Forum Réseau
- Picasa 3 - Télécharger - Albums photo
9 réponses
Salut,
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
Salut,
désolé mais "Prendre Lien de téléchargement" est un png et rien ne se charge.
me suis je trompé?
merci
désolé mais "Prendre Lien de téléchargement" est un png et rien ne se charge.
me suis je trompé?
merci
Voici le rapport:
========================
RogueKiller V8.6.4 [Jul 29 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Papou [Droits d'admin]
Mode : Suppression -- Date : 07/30/2013 17:21:30
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 2 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[13] : NtAlertResumeThread @ 0x830F6DA1 -> HOOKED (Unknown @ 0x86371710)
[Address] SSDT[14] : NtAlertThread @ 0x83049CC7 -> HOOKED (Unknown @ 0x863717F0)
[Address] SSDT[19] : NtAllocateVirtualMemory @ 0x83042CBC -> HOOKED (Unknown @ 0x8636F708)
[Address] SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x83091070 -> HOOKED (Unknown @ 0x862207E0)
[Address] SSDT[74] : NtCreateMutant @ 0x8302934C -> HOOKED (Unknown @ 0x86371460)
[Address] SSDT[87] : NtCreateThread @ 0x830F4FDA -> HOOKED (Unknown @ 0x8636F898)
[Address] SSDT[131] : NtFreeVirtualMemory @ 0x82ED182C -> HOOKED (Unknown @ 0x8636F528)
[Address] SSDT[145] : NtImpersonateAnonymousToken @ 0x8300E962 -> HOOKED (Unknown @ 0x86371550)
[Address] SSDT[147] : NtImpersonateThread @ 0x83092962 -> HOOKED (Unknown @ 0x86371630)
[Address] SSDT[168] : NtMapViewOfSection @ 0x8305F5F1 -> HOOKED (Unknown @ 0x8636F428)
[Address] SSDT[177] : NtOpenEvent @ 0x83028D48 -> HOOKED (Unknown @ 0x86371380)
[Address] SSDT[191] : NtOpenProcessToken @ 0x8307D36F -> HOOKED (Unknown @ 0x8636F7D8)
[Address] SSDT[199] : NtOpenThreadToken @ 0x8309164B -> HOOKED (Unknown @ 0x86371CC8)
[Address] SSDT[304] : NtResumeThread @ 0x830896C2 -> HOOKED (Unknown @ 0x86248C30)
[Address] SSDT[316] : NtSetContextThread @ 0x830F684D -> HOOKED (Unknown @ 0x86371BE8)
[Address] SSDT[333] : NtSetInformationProcess @ 0x83051875 -> HOOKED (Unknown @ 0x86371008)
[Address] SSDT[335] : NtSetInformationThread @ 0x83082E26 -> HOOKED (Unknown @ 0x86371AF8)
[Address] SSDT[366] : NtSuspendProcess @ 0x830F6CDB -> HOOKED (Unknown @ 0x863712A0)
[Address] SSDT[367] : NtSuspendThread @ 0x830AE19B -> HOOKED (Unknown @ 0x86371938)
[Address] SSDT[370] : NtTerminateProcess @ 0x83073D86 -> HOOKED (Unknown @ 0x8624B0A0)
[Address] SSDT[371] : NtTerminateThread @ 0x8309169B -> HOOKED (Unknown @ 0x86371A18)
[Address] SSDT[385] : NtUnmapViewOfSection @ 0x8307D9AA -> HOOKED (Unknown @ 0x8636F348)
[Address] SSDT[399] : NtWriteVirtualMemory @ 0x83078A83 -> HOOKED (Unknown @ 0x8636F618)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 3227c778e6f3108c337fe088c9bfd8f3
[BSP] b2e0c34d6b902affe0823d8b6cef2b34 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14 | Size: 72225 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 147918848 | Size: 404704 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 8f5e18eba29d9006c0421a0d003413d7
[BSP] 1e83ae301476b135ba002fa9d1ba13da : Empty MBR Code
Partition table:
0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 1907718 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 55984cc1d37e8daba9eb8c2ce4d9c6a4
[BSP] 1a15f85839a376947e624d2042a4b303 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 44 | Size: 15275 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_07302013_172130.txt >>
RKreport[0]_S_07302013_172120.txt
==================================================
========================
RogueKiller V8.6.4 [Jul 29 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Papou [Droits d'admin]
Mode : Suppression -- Date : 07/30/2013 17:21:30
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 2 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[13] : NtAlertResumeThread @ 0x830F6DA1 -> HOOKED (Unknown @ 0x86371710)
[Address] SSDT[14] : NtAlertThread @ 0x83049CC7 -> HOOKED (Unknown @ 0x863717F0)
[Address] SSDT[19] : NtAllocateVirtualMemory @ 0x83042CBC -> HOOKED (Unknown @ 0x8636F708)
[Address] SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x83091070 -> HOOKED (Unknown @ 0x862207E0)
[Address] SSDT[74] : NtCreateMutant @ 0x8302934C -> HOOKED (Unknown @ 0x86371460)
[Address] SSDT[87] : NtCreateThread @ 0x830F4FDA -> HOOKED (Unknown @ 0x8636F898)
[Address] SSDT[131] : NtFreeVirtualMemory @ 0x82ED182C -> HOOKED (Unknown @ 0x8636F528)
[Address] SSDT[145] : NtImpersonateAnonymousToken @ 0x8300E962 -> HOOKED (Unknown @ 0x86371550)
[Address] SSDT[147] : NtImpersonateThread @ 0x83092962 -> HOOKED (Unknown @ 0x86371630)
[Address] SSDT[168] : NtMapViewOfSection @ 0x8305F5F1 -> HOOKED (Unknown @ 0x8636F428)
[Address] SSDT[177] : NtOpenEvent @ 0x83028D48 -> HOOKED (Unknown @ 0x86371380)
[Address] SSDT[191] : NtOpenProcessToken @ 0x8307D36F -> HOOKED (Unknown @ 0x8636F7D8)
[Address] SSDT[199] : NtOpenThreadToken @ 0x8309164B -> HOOKED (Unknown @ 0x86371CC8)
[Address] SSDT[304] : NtResumeThread @ 0x830896C2 -> HOOKED (Unknown @ 0x86248C30)
[Address] SSDT[316] : NtSetContextThread @ 0x830F684D -> HOOKED (Unknown @ 0x86371BE8)
[Address] SSDT[333] : NtSetInformationProcess @ 0x83051875 -> HOOKED (Unknown @ 0x86371008)
[Address] SSDT[335] : NtSetInformationThread @ 0x83082E26 -> HOOKED (Unknown @ 0x86371AF8)
[Address] SSDT[366] : NtSuspendProcess @ 0x830F6CDB -> HOOKED (Unknown @ 0x863712A0)
[Address] SSDT[367] : NtSuspendThread @ 0x830AE19B -> HOOKED (Unknown @ 0x86371938)
[Address] SSDT[370] : NtTerminateProcess @ 0x83073D86 -> HOOKED (Unknown @ 0x8624B0A0)
[Address] SSDT[371] : NtTerminateThread @ 0x8309169B -> HOOKED (Unknown @ 0x86371A18)
[Address] SSDT[385] : NtUnmapViewOfSection @ 0x8307D9AA -> HOOKED (Unknown @ 0x8636F348)
[Address] SSDT[399] : NtWriteVirtualMemory @ 0x83078A83 -> HOOKED (Unknown @ 0x8636F618)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 3227c778e6f3108c337fe088c9bfd8f3
[BSP] b2e0c34d6b902affe0823d8b6cef2b34 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14 | Size: 72225 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 147918848 | Size: 404704 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 8f5e18eba29d9006c0421a0d003413d7
[BSP] 1e83ae301476b135ba002fa9d1ba13da : Empty MBR Code
Partition table:
0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 1907718 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WDC WD5000AAKS-00A7B2 ATA Device +++++
--- User ---
[MBR] 55984cc1d37e8daba9eb8c2ce4d9c6a4
[BSP] 1a15f85839a376947e624d2042a4b303 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 44 | Size: 15275 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_07302013_172130.txt >>
RKreport[0]_S_07302013_172120.txt
==================================================
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tu n'as pas plus d'informations sur les blocages ?
Si y a une url malicieuses données par Symantec ou quelques choses ?
Si y a une url malicieuses données par Symantec ou quelques choses ?
effectivement dans Symantec , menaces réseaux j trouve ceci:
===========================================
30/07/2013 17:54:18 Bloqués 3 Sortant UDP teredo.ipv6.microsoft.com [94.245.121.253] 00-24-D4-51-E8-F0 3544 192.168.0.1 00-23-54-EF-57-31 59613 C:\Windows\System32\svchost.exe Papou Papou-PC Default 2 30/07/2013 17:53:17 30/07/2013 17:53:32 GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_103
============================================
cela me rappelle que j'avais déjà eu ce pb et que j'avais viré ipv6 (il est toujours viré)
je ne sais si c'est cela le pb et ce qu'il signifie
===========================================
30/07/2013 17:54:18 Bloqués 3 Sortant UDP teredo.ipv6.microsoft.com [94.245.121.253] 00-24-D4-51-E8-F0 3544 192.168.0.1 00-23-54-EF-57-31 59613 C:\Windows\System32\svchost.exe Papou Papou-PC Default 2 30/07/2013 17:53:17 30/07/2013 17:53:32 GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_103
============================================
cela me rappelle que j'avais déjà eu ce pb et que j'avais viré ipv6 (il est toujours viré)
je ne sais si c'est cela le pb et ce qu'il signifie
donc pas un prb de malware.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770710(v=ws.10)?redirectedfrom=MSDN
le client peut envoyer une requête DNS (Domain Name System) afin de résoudre le nom teredo.ipv6.microsoft.com. Vous pouvez empêcher l'envoi de cette requête DNS en désactivant ou en contrôlant Teredo sous Windows Server 2008, à l'aide des méthodes suivantes :
on a pas le port sur l'alerte mais j'imagine que c'est une requete UDP sur le port 53 de teredo
Faut l'autoriser.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770710(v=ws.10)?redirectedfrom=MSDN
le client peut envoyer une requête DNS (Domain Name System) afin de résoudre le nom teredo.ipv6.microsoft.com. Vous pouvez empêcher l'envoi de cette requête DNS en désactivant ou en contrôlant Teredo sous Windows Server 2008, à l'aide des méthodes suivantes :
on a pas le port sur l'alerte mais j'imagine que c'est une requete UDP sur le port 53 de teredo
Faut l'autoriser.
