[Résolu] Suis-je infecté ?

Sujet: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 1:23

Bonjour

Je viens de me rendre compte ce soir que j'ai plein de messages d'erreurs dans l'observateur d'évènements (dans l'onglet Sécurité), en voici la preuve :

[Résolu] Suis-je infecté ? Img-0117027dihe

[Résolu] Suis-je infecté ? Img-0117027dihe

Je me demande d'où cela provient : est-ce que je suis infecté ou est-ce qu'on essaye de hacker mon PC ??

Voilà quelques uns de ces messages d'erreur en entier :

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 18/01/2010
Heure : 14:35:35
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur : Administrador'
Domaine : DELL
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : DELL

Pour plus d'informations, consultez le centre

Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

-----------------------------------------------

Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Changement de stratégie
ID de l'événement : 848
Date : 18/01/2010
Heure : 21:41:18
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
La stratégie suivante était active lorsque le Pare-feu Windows a démarré.

Stratégie de groupe appliquée : Non
Profil utilisé : Standard
Interface : Toutes les interfaces
Mode d'opération : Désactivé
Services:
Partage de fichiers et d'imprimantes : Désactivé
Bureau à distance : Désactivé
Infrastructure UPnP : Désactivé
Autoriser l'administration à distance : Désactivé
Autoriser les réponses monodiffusion vers le trafic multidiffusion/diffusion :

Désactivé
Enregistrement dans le journal de sécurité :
Enregistrer les paquets ignorés dans le journal : Désactivé
Enregistrer les connexions réussies dans le journal ésactivé
ICMP:
Autoriser les requêtes d'écho entrantes : Désactivé
Autorisez les requêtes de datage entrantes : Désactivé
Autoriser les requêtes de masque entrantes : Désactivé
Autoriser les requêtes de routeur entrantes : Désactivé
Autoriser la destination inaccessible sortante : Désactivé
Autoriser l'extinction de source sortante : Désactivé
Autoriser le problème de paramètre sortant : Désactivé
Autoriser le temps dépassé sortant : Désactivé
Autoriser la redirection : Désactivé
Autoriser les paquets sortants trop grands : Désactivé

Pour plus

d'informations, consultez le centre Aide et support à l'adresse

http://go.microsoft.com/fwlink/events.asp.
------------------------------------
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 18/01/2010
Heure : 21:42:19
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur :
Domaine : WORKGROUP
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : lQPxf2ISQgEV1bGK

Pour plus d'informations,

consultez le centre Aide et support à l'adresse

http://go.microsoft.com/fwlink/events.asp.

----------------------------

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 19/01/2010
Heure : 22:35:47
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur :
Domaine : WORKGROUP
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : lQPxf2ISQgEV1bGK

Pour plus d'informations,

consultez le centre Aide et support à l'adresse

http://go.microsoft.com/fwlink/events.asp.
-----------------------------------------
Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 538
Date : 20/01/2010
Heure : 08:22:08
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : XXX
Description :
Fermeture de la session utilisateur :
Utilisateur : ANONYMOUS LOGON
Domaine : AUTORITE NT
Id. de la session : (0x0,0xEC288)
Type de session : 3

Pour plus d'informations, consultez le centre Aide et support à l'adresse

http://go.microsoft.com/fwlink/events.asp.
---------------------------------------
Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 20/01/2010
Heure : 08:22:09
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur : administrator
Domaine : LASIMYYN-9677FD
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : LASIMYYN-9677FD

Pour plus d'informations, consultez

le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

---------------------

Type de l'événement : Audit des succès
Source de l'événement : Security
Catégorie de l'événement : Changement de stratégie
ID de l'événement : 851
Date : 21/01/2010
Heure : 00:25:56
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Une modification a été effectuée dans la liste d'exception des applications du

Pare-feu Windows.

Origine de la stratégie : Stratégie locale
Profil modifié : Standard
Type de modification : Supprimer
Nouveaux paramètres :
Nom : -
Chemin d'accès : -
État : -
Étendue : -
Anciens paramètres :
Nom : Chrome
Chemin d'accès : E:\Downloads\Outils\Google Chrome

portable\ChromePortable\App\Chrome\chrome.exe
État : Activé
Étendue : Tous les sous-réseaux

Pour plus d'informations, consultez le centre

Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Ce qui m'inquiète c'est quand je vois des noms comme anonymous ou autre comme utilisateur, et je ne pige pas non plus ce que vient faire le pare-feu de Windows que je n'utilise pas (désactivé) car j'utilise Online Armor Free Shocked

Pouvez-vous m'aider SVP à comprendre l'origine de ces messages et surtout si mon PC est infecté et en danger.

Merci d'avance Wink

Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 9:21

Bonjour
voir message privé

et pour voir le reste peux tu faire ceci :
http://www.bibou0007.com/aide-a-la-desinfection-f8/procedure-a-suivre-avant-de-poster-t2887.htm

notamment RSIT, et GMER (qui peut etre long)

Un helper regardera tes rapports

Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 9:31

OK, je télécharge tout ça et je vais voir ce que ça me dit, merci Wink

Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 15:26

Bon voilà les news, j'ai pas avancé beaucoup Mad

1) TFC a fait son boulot : il m'a viré les fichiers temporaires (829 Mo quand même Exclamation

)

2) Malwarebytes a bien scanné mes 2 DD internes mais s'est planté 3 fois sur le DD externe (figeant le PC et m'obligeant à faire un reset). Du coup, j'ai laissé tomber le DD externe et MB n'a rien trouvé sur C et E.

3) Windows Upate est à jour

4) RSIT a fourni ces 2 rapports :
les voici rapports RSIT

5) Gmer n'est jamais allé au bout de son scan (j'ai recommencé 3 fois !) alors que j'avais pourtant désactivé les softs de sécurité et débranché la Box. Après l'avoir lancé, l'onglet Rootkit/Malwares est apparu, il a affiché rapidement ce que j'ai mis ci-dessous, puis quand j'ai cliqué sur Scan (toutes cases cochées sauf Show All) il a scanné pendant 2-3 minutes puis il m'a rebooté l'ordi sans prévenir Twisted Evil

Donc j'ai rien à proposer à part ceci que j'ai récupéré quand il s'est lancé mais je doute que ce soit ce que vous attendiez Smile

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-21 14:46:45
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\user\LOCALS~1\Temp\pxtdrpow.sys

---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu Pty Ltd) ZwEnumerateKey [0xB202DE20]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu Pty Ltd) ZwEnumerateValueKey [0xB202DE50]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \Driver\Tcpip \Device\Ip OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd)
Device \Driver\Tcpip \Device\Tcp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd)
Device \Driver\Tcpip \Device\Udp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd)
Device \Driver\Tcpip \Device\RawIp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd)

---- EOF - GMER 1.0.15 ----

Voilà donc où j'en suis, j'ai l'impression de ne pas avoir avncé, j'ai toujours les mêmes messages cités plus haut (par dizaines !) dans l'onglet Sécurité de l'observateur d'évènements.

je n'ai pas encore eu le temps d'essayer Zeb Protect conseillé par Laddy.

Alors qu'est-ce qu'on peut faire please scratch

Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 16:19

Voilà une avancée, grâce aux conseils de Laddy, j'ai pu fermer le port 139 en désactivant netbios dans les propriétés du protocole tcp/ip

Pour en faire profiter les autres membres, voilà la manip à faire :
Pour avoir accès aux propriétés du protocole tcp/ip de la carte réseau sur XP :
Démarrer > Panneau de configuration > Basculer vers l'affichage classique en haut à gauche > Connexion réseau > Clic droit sur Connexion au réseau local > Propriétés > Double clic sur protocole internet tcp/ip ==> onglet général ==> bouton avancé (en bas) => sélectionner désactiver Netbios

Par contre, sur Shields Up! les 2 autres ports restent ouverts.

Question subsidiaire Laughing

: comment faire pour que les messages de tentative d' Ouverture/Fermeture de session suspects (dans l'onglet Securité de l'observateur d'évènement) disparaissent, car j'en ai toute une floppée scratch

comme ceux-là :

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 21/01/2010
Heure : 12:04:52
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur : Administrada
Domaine : DELL
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : DELL

Pour plus d'informations, consultez le centre

Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
----------------------------------------------------------

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 21/01/2010
Heure : 12:45:03
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur : Administratoro
Domaine : DELL
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : DELL

Pour plus d'informations, consultez le centre

Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

-----------------------------

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Ouverture/Fermeture de session
ID de l'événement : 529
Date : 21/01/2010
Heure : 14:10:09
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : XXX
Description :
Échec de l'ouverture de session :
Raison : Nom d'utilisateur inconnu ou mot de passe incorrect
Nom de l'utilisateur : Administratore
Domaine : DELL
Type de session : 3
Processus d'ouv. de session : NtLmSsp
Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nom de station de travail : DELL

Pour plus d'informations, consultez le centre

Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Merci à vous Wink

Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 22:54

Il y a quelque chose de suspect dans mes rapports RSIT ? le log HijackThis n'a rien d'anormal d'après vous ?
Merci d'avance

Sujet: Re: [Résolu] Suis-je infecté ? Ven 22 Jan 2010 - 15:36

J'ai fermé le port 445 avec Zeb Protect et ça va toute de suite beaucoup mieux Smile

Sujet: Re: [Résolu] Suis-je infecté ? Sam 23 Jan 2010 - 22:56

Voilà c'est résolu, merci à vous Laughing

Sujet: Re: [Résolu] Suis-je infecté ? Dim 24 Jan 2010 - 12:28

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à thebloom. Pour les autres, créez votre propre sujet svp.