BitDefender connect/Serv Roumain +Bilan Secu
R_iDe_R888
-
R_iDe_R888 Messages postés 9 Statut Membre -
R_iDe_R888 Messages postés 9 Statut Membre -
Bonjour, a tous,
merci par avance de votre aide et conseil,
je voudrai faire avec vous un bilan sur la securité de mon poste car
malgré le fait que mon poste est barde de protection (Sygate Pro + 2antivirus,2 antispy, firefox avec bloqueurs script etc) , tout est a jour, dhcp est desactivé, netbios sur TCP/IP est desactivé, wifi est desactivé,
mon point d'acces n'est activé que si necessaire , debranché a chaque connection(Changement IP quasi a chaque connection), le pass a evidemment ete changé,
l'OS est parametrée pour un max de securité (utilisateurs, secpol, services,tous les acces distants desactivés), je navique en general en masquant OS Navigateur etc
Le controle des DLL est avtivé dans Sygate
J'utilise frequement CCleaner
J'utilise Open DNS
aucune analyse AVAST (au demarrage) /BITDEFENDER/ A Squared/ AD Aware/Spybot ne detecte quoi que ce soit...
Malgré tout cela il ya 2 3 choses qui me chiffonent;
(si certains pensent que je suis parano , je leur repondrai que j'ai malheureusement de tres bonnes raisons de l'etre..... )
1
cela fait plusieurs fois que je vois des connections d'un service Bit Defender vsserv.exe sur un serveur roumain 80.86.106.16 Romania Bucharest Ines-datacenter-net
Cette fois c'est durant la MAJ Programme de AVAST, que J'ai recus des DLL de ce serveur, et je les ai acceptée pour pouvoir finaliser la MAJ d'avast...
Voici les logs du journal de securité de SYGATE concernant le changement de DLL
23/11/2008 14:20:54 Executable File Change Accepted Information Outgoing TCP
80.86.106.16 (IP/MAC de mo PC/Point d'acces) C:\Program Files\Softwin\BitDefender10\vsserv.exe (username/ domain ) Normal 1 23/11/2008 14:20:06
23/11/2008 14:20:06
Application has changed since the last time you opened it, process id: 2436
Filename: C:\Program Files\Softwin\BitDefender10\vsserv.exe
The change was allowed by user
---- Modules changed: 2 ----
C:\WINDOWS\system32\ieframe.dll
C:\WINDOWS\system32\url.dll
---- New modules: 0 ----
apres verification de l'ip voici ce qui ressort
80.86.106.16 Romania Bucharest Ines-datacenter-net
A priori aucun lien avec BitDefender, pas de reponses tres claires via google voici le plus clair que j'ai trouvé
https://www.wilderssecurity.com/threads/how-to-set-optimum-settings-in-za-pro.172579/page-9
A noter :
J'utilise Avast en resident, Bit defender n'est pas resident
les maj auto de avast sont activées celles de BitDefender non
PAs de conflits particuliers entre les 2 antivirus jusqu'a maintenant
En surveillant mes connections via Sygate/TCPView / Netstat
il n'y a jamais de connections qui apparaissent vers ce serveur a part celle de temps a autre de BitDefender que je refuse via sygate....
Le pb c'est que la j'ai accepté les DLL pour pouvoir finaliser la MAJ Avast
2
Autre truc que je voudrai verifier ;
dans le tableau des connections de la console de Sygate,
j'ai un processus svchost.exe PID 1248
qui apparait constament CONNECT sur un protocle UDP
en loopback sur ports 1042 dans la console cela donne
UDP CONNECT 1042 1042 127.0.0.1 --> 127.0.0.1 1248 C:\WINDOWS\System32\svchost.exe
bon a priori rien de terrible
or par l'outil Netstat abnov voici les infos qui apparaissent sur ce sur ce processus des que je me connecte au reseau local sans rien lancer;
UDP 127.0.0.1:1042 *:* 1248
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\System32\winrnr.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
[svchost.exe]
UDP 127.0.0.1:1900 *:* 752
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:123 *:* 1248
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
-- composants inconnus --
[svchost.exe]
UDP (mon adresse ip sur le LAN) :123 *:* 1248
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
A priori il n'apparait pas connecté, mais il apparait (Hors connection rien n'apparait) et sur un autre por;t le 123
et quand je lis ca En cherchant sur google des infos sur le le port 123 voici ce que je touve et j'aime pas trop car
PORT 123 - Information
Port Number: 123
TCP / UDP: UDP
Delivery: No
Protocol / Name: ntp
Port Description: Network Time Protocol. Provides time synch between computers and network systems. Assists in database mgmt, auth schemes, and audit/logging accuracy. Security Concerns: It provides both info and an avenue of attack for intruders. Info gathered can include: system uptime, time since reset, time server pkt, I/O, & memory statistics, and ntp peer list. Further, if a host is susceptible to time altering via ntp, an attacker can: 1) Run replay attacks, using captured OTP and Kerberos tickets before they expire. 2) Stop security-related cron jobs from running or cause them to run at incorrect times. 3) Make system and audit logs unreliable, since time is alterable.
Virus / Trojan: No
Bon je reprecise qu'aucune analyse AVAST (au demarrage) /BITDEFENDER/ A Squared/ AD Aware/Spybot
ne detecte quoi que ce soit...
Voici un rapport Hijackthis durant ma connection sur ce forum (avec uniquement firefox , des notepads , et les sevices residents lancés)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:34, on 23/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
c:\program files\mozilla firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ID OK
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS4\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
merci par avance de votre aide et conseil,
je voudrai faire avec vous un bilan sur la securité de mon poste car
malgré le fait que mon poste est barde de protection (Sygate Pro + 2antivirus,2 antispy, firefox avec bloqueurs script etc) , tout est a jour, dhcp est desactivé, netbios sur TCP/IP est desactivé, wifi est desactivé,
mon point d'acces n'est activé que si necessaire , debranché a chaque connection(Changement IP quasi a chaque connection), le pass a evidemment ete changé,
l'OS est parametrée pour un max de securité (utilisateurs, secpol, services,tous les acces distants desactivés), je navique en general en masquant OS Navigateur etc
Le controle des DLL est avtivé dans Sygate
J'utilise frequement CCleaner
J'utilise Open DNS
aucune analyse AVAST (au demarrage) /BITDEFENDER/ A Squared/ AD Aware/Spybot ne detecte quoi que ce soit...
Malgré tout cela il ya 2 3 choses qui me chiffonent;
(si certains pensent que je suis parano , je leur repondrai que j'ai malheureusement de tres bonnes raisons de l'etre..... )
1
cela fait plusieurs fois que je vois des connections d'un service Bit Defender vsserv.exe sur un serveur roumain 80.86.106.16 Romania Bucharest Ines-datacenter-net
Cette fois c'est durant la MAJ Programme de AVAST, que J'ai recus des DLL de ce serveur, et je les ai acceptée pour pouvoir finaliser la MAJ d'avast...
Voici les logs du journal de securité de SYGATE concernant le changement de DLL
23/11/2008 14:20:54 Executable File Change Accepted Information Outgoing TCP
80.86.106.16 (IP/MAC de mo PC/Point d'acces) C:\Program Files\Softwin\BitDefender10\vsserv.exe (username/ domain ) Normal 1 23/11/2008 14:20:06
23/11/2008 14:20:06
Application has changed since the last time you opened it, process id: 2436
Filename: C:\Program Files\Softwin\BitDefender10\vsserv.exe
The change was allowed by user
---- Modules changed: 2 ----
C:\WINDOWS\system32\ieframe.dll
C:\WINDOWS\system32\url.dll
---- New modules: 0 ----
apres verification de l'ip voici ce qui ressort
80.86.106.16 Romania Bucharest Ines-datacenter-net
A priori aucun lien avec BitDefender, pas de reponses tres claires via google voici le plus clair que j'ai trouvé
https://www.wilderssecurity.com/threads/how-to-set-optimum-settings-in-za-pro.172579/page-9
A noter :
J'utilise Avast en resident, Bit defender n'est pas resident
les maj auto de avast sont activées celles de BitDefender non
PAs de conflits particuliers entre les 2 antivirus jusqu'a maintenant
En surveillant mes connections via Sygate/TCPView / Netstat
il n'y a jamais de connections qui apparaissent vers ce serveur a part celle de temps a autre de BitDefender que je refuse via sygate....
Le pb c'est que la j'ai accepté les DLL pour pouvoir finaliser la MAJ Avast
2
Autre truc que je voudrai verifier ;
dans le tableau des connections de la console de Sygate,
j'ai un processus svchost.exe PID 1248
qui apparait constament CONNECT sur un protocle UDP
en loopback sur ports 1042 dans la console cela donne
UDP CONNECT 1042 1042 127.0.0.1 --> 127.0.0.1 1248 C:\WINDOWS\System32\svchost.exe
bon a priori rien de terrible
or par l'outil Netstat abnov voici les infos qui apparaissent sur ce sur ce processus des que je me connecte au reseau local sans rien lancer;
UDP 127.0.0.1:1042 *:* 1248
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\System32\winrnr.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
[svchost.exe]
UDP 127.0.0.1:1900 *:* 752
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:123 *:* 1248
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
-- composants inconnus --
[svchost.exe]
UDP (mon adresse ip sur le LAN) :123 *:* 1248
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
A priori il n'apparait pas connecté, mais il apparait (Hors connection rien n'apparait) et sur un autre por;t le 123
et quand je lis ca En cherchant sur google des infos sur le le port 123 voici ce que je touve et j'aime pas trop car
PORT 123 - Information
Port Number: 123
TCP / UDP: UDP
Delivery: No
Protocol / Name: ntp
Port Description: Network Time Protocol. Provides time synch between computers and network systems. Assists in database mgmt, auth schemes, and audit/logging accuracy. Security Concerns: It provides both info and an avenue of attack for intruders. Info gathered can include: system uptime, time since reset, time server pkt, I/O, & memory statistics, and ntp peer list. Further, if a host is susceptible to time altering via ntp, an attacker can: 1) Run replay attacks, using captured OTP and Kerberos tickets before they expire. 2) Stop security-related cron jobs from running or cause them to run at incorrect times. 3) Make system and audit logs unreliable, since time is alterable.
Virus / Trojan: No
Bon je reprecise qu'aucune analyse AVAST (au demarrage) /BITDEFENDER/ A Squared/ AD Aware/Spybot
ne detecte quoi que ce soit...
Voici un rapport Hijackthis durant ma connection sur ce forum (avec uniquement firefox , des notepads , et les sevices residents lancés)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:34, on 23/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
c:\program files\mozilla firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ID OK
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS4\Services\Tcpip\..\{2A02CEDE-35A3-4049-8723-108185ACBA4D}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
A voir également:
- BitDefender connect/Serv Roumain +Bilan Secu
- Bitdefender free - Télécharger - Antivirus & Antimalwares
- France connect - Guide
- Gmail connect - Guide
- Mode secu - Guide
- Bitdefender - Accueil - Sécurité
2 réponses
Bonjour
(Sygate Pro + 2antivirus >> CONFLITS,2 antispy, firefox avec bloqueurs script etc) ,
1 anti virus
1 pare feu
1 anti spyware
LARGEMENT suffisant
Ad-Aware >> poubelle il ne sert a rien
(Sygate Pro + 2antivirus >> CONFLITS,2 antispy, firefox avec bloqueurs script etc) ,
1 anti virus
1 pare feu
1 anti spyware
LARGEMENT suffisant
Ad-Aware >> poubelle il ne sert a rien
Merci pour ta reponse rapide Marie
AD Aware, --> poubelle c'est bien ce qu'il me semblait
je vais le virer
Pour les 2 antivirus Ils sont installés tout les 2 mais seul avast est resident, et seul Avast propose
gratuitement un bouclier Web
BitDefender est par contre beaucoup plus rapide dans l'analyse de fichier image et video...a priori plus performant mais pas de scanner web / mail en version gratuite,
Le seul probleme que j'ai pour le moment concernant BD c'est cette connection sur ce serveur roumain que je voudrai
identifier....
Merci a tous
AD Aware, --> poubelle c'est bien ce qu'il me semblait
je vais le virer
Pour les 2 antivirus Ils sont installés tout les 2 mais seul avast est resident, et seul Avast propose
gratuitement un bouclier Web
BitDefender est par contre beaucoup plus rapide dans l'analyse de fichier image et video...a priori plus performant mais pas de scanner web / mail en version gratuite,
Le seul probleme que j'ai pour le moment concernant BD c'est cette connection sur ce serveur roumain que je voudrai
identifier....
Merci a tous
Re bonjour
Bon je viens juste d'apprendre, que BiTDefender est en fait une boite Roumaine....
Donc la connection sur 80.86.106.16 Romania Bucharest Ines-datacenter-net
est certainement normale (Ils auraient tout de meme pu appeller leur serveur trucmuchBitDefender
ou kke chose comme ca )
surtout que losque je lance une MAJ manuelle les connections se font sur un serveur Akamai et pas en roumanie....
Il me parait tout de meme completement abberant qu'on ne puisse pas mieux verifier l'identité des serveurs de maj de nos logiciels de securité...
Bref sinon a priori RAS a ce niveau (De toute facon je viens juste de le desinstaller)
J'ai aussi viré ADaWare qui depuis quelque temps font a priori plus Du fric que reellement de l'antispyware
A noter pour ASquared en cochant la case mise a jour beta,
il installe un nouveau moteur de detection nommé Ikarus a priori tres performant (attention en contrepartie A 2 devient beaucoup plus lourd)
Si quelqu'un a des infos precises sur le fonctionnement de svchost NTP sur le port123 je suis preneur...
Merci a tous....
Bon je viens juste d'apprendre, que BiTDefender est en fait une boite Roumaine....
Donc la connection sur 80.86.106.16 Romania Bucharest Ines-datacenter-net
est certainement normale (Ils auraient tout de meme pu appeller leur serveur trucmuchBitDefender
ou kke chose comme ca )
surtout que losque je lance une MAJ manuelle les connections se font sur un serveur Akamai et pas en roumanie....
Il me parait tout de meme completement abberant qu'on ne puisse pas mieux verifier l'identité des serveurs de maj de nos logiciels de securité...
Bref sinon a priori RAS a ce niveau (De toute facon je viens juste de le desinstaller)
J'ai aussi viré ADaWare qui depuis quelque temps font a priori plus Du fric que reellement de l'antispyware
A noter pour ASquared en cochant la case mise a jour beta,
il installe un nouveau moteur de detection nommé Ikarus a priori tres performant (attention en contrepartie A 2 devient beaucoup plus lourd)
Si quelqu'un a des infos precises sur le fonctionnement de svchost NTP sur le port123 je suis preneur...
Merci a tous....
