| [Résolu] Suis-je infecté ? | |
|
|
Auteur | Message |
---|
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 1:23 | |
| Bonjour Je viens de me rendre compte ce soir que j'ai plein de messages d'erreurs dans l'observateur d'évènements (dans l'onglet Sécurité), en voici la preuve : Je me demande d'où cela provient : est-ce que je suis infecté ou est-ce qu'on essaye de hacker mon PC ?? Voilà quelques uns de ces messages d'erreur en entier : Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 18/01/2010 Heure : 14:35:35 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Administrador' Domaine : DELL Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : DELL
Pour plus d'informations, consultez le centre
Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
-----------------------------------------------
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Changement de stratégie ID de l'événement : 848 Date : 18/01/2010 Heure : 21:41:18 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : La stratégie suivante était active lorsque le Pare-feu Windows a démarré. Stratégie de groupe appliquée : Non Profil utilisé : Standard Interface : Toutes les interfaces Mode d'opération : Désactivé Services: Partage de fichiers et d'imprimantes : Désactivé Bureau à distance : Désactivé Infrastructure UPnP : Désactivé Autoriser l'administration à distance : Désactivé Autoriser les réponses monodiffusion vers le trafic multidiffusion/diffusion :
Désactivé Enregistrement dans le journal de sécurité : Enregistrer les paquets ignorés dans le journal : Désactivé Enregistrer les connexions réussies dans le journal ésactivé ICMP: Autoriser les requêtes d'écho entrantes : Désactivé Autorisez les requêtes de datage entrantes : Désactivé Autoriser les requêtes de masque entrantes : Désactivé Autoriser les requêtes de routeur entrantes : Désactivé Autoriser la destination inaccessible sortante : Désactivé Autoriser l'extinction de source sortante : Désactivé Autoriser le problème de paramètre sortant : Désactivé Autoriser le temps dépassé sortant : Désactivé Autoriser la redirection : Désactivé Autoriser les paquets sortants trop grands : Désactivé
Pour plus
d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp. ------------------------------------ Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 18/01/2010 Heure : 21:42:19 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Domaine : WORKGROUP Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : lQPxf2ISQgEV1bGK
Pour plus d'informations,
consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.
----------------------------
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 19/01/2010 Heure : 22:35:47 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Domaine : WORKGROUP Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : lQPxf2ISQgEV1bGK
Pour plus d'informations,
consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp. ----------------------------------------- Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 538 Date : 20/01/2010 Heure : 08:22:08 Utilisateur : AUTORITE NT\ANONYMOUS LOGON Ordinateur : XXX Description : Fermeture de la session utilisateur : Utilisateur : ANONYMOUS LOGON Domaine : AUTORITE NT Id. de la session : (0x0,0xEC288) Type de session : 3
Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp. --------------------------------------- Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 20/01/2010 Heure : 08:22:09 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : administrator Domaine : LASIMYYN-9677FD Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : LASIMYYN-9677FD
Pour plus d'informations, consultez
le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
---------------------
Type de l'événement : Audit des succès Source de l'événement : Security Catégorie de l'événement : Changement de stratégie ID de l'événement : 851 Date : 21/01/2010 Heure : 00:25:56 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Une modification a été effectuée dans la liste d'exception des applications du
Pare-feu Windows. Origine de la stratégie : Stratégie locale Profil modifié : Standard Type de modification : Supprimer Nouveaux paramètres : Nom : - Chemin d'accès : - État : - Étendue : - Anciens paramètres : Nom : Chrome Chemin d'accès : E:\Downloads\Outils\Google Chrome
portable\ChromePortable\App\Chrome\chrome.exe État : Activé Étendue : Tous les sous-réseaux
Pour plus d'informations, consultez le centre
Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Ce qui m'inquiète c'est quand je vois des noms comme anonymous ou autre comme utilisateur, et je ne pige pas non plus ce que vient faire le pare-feu de Windows que je n'utilise pas (désactivé) car j'utilise Online Armor Free Pouvez-vous m'aider SVP à comprendre l'origine de ces messages et surtout si mon PC est infecté et en danger. Merci d'avance | |
|
| |
Laddy Admin
Nombre de messages : 7927 Age : 46 Localisation : suisse Date d'inscription : 14/03/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 9:21 | |
| Bonjour voir message privé
et pour voir le reste peux tu faire ceci : http://www.bibou0007.com/aide-a-la-desinfection-f8/procedure-a-suivre-avant-de-poster-t2887.htm
notamment RSIT, et GMER (qui peut etre long)
Un helper regardera tes rapports | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 9:31 | |
| OK, je télécharge tout ça et je vais voir ce que ça me dit, merci | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 15:26 | |
| Bon voilà les news, j'ai pas avancé beaucoup 1) TFC a fait son boulot : il m'a viré les fichiers temporaires (829 Mo quand même ) 2) Malwarebytes a bien scanné mes 2 DD internes mais s'est planté 3 fois sur le DD externe (figeant le PC et m'obligeant à faire un reset). Du coup, j'ai laissé tomber le DD externe et MB n'a rien trouvé sur C et E. 3) Windows Upate est à jour 4) RSIT a fourni ces 2 rapports : les voici rapports RSIT 5) Gmer n'est jamais allé au bout de son scan (j'ai recommencé 3 fois !) alors que j'avais pourtant désactivé les softs de sécurité et débranché la Box. Après l'avoir lancé, l'onglet Rootkit/Malwares est apparu, il a affiché rapidement ce que j'ai mis ci-dessous, puis quand j'ai cliqué sur Scan (toutes cases cochées sauf Show All) il a scanné pendant 2-3 minutes puis il m'a rebooté l'ordi sans prévenir Donc j'ai rien à proposer à part ceci que j'ai récupéré quand il s'est lancé mais je doute que ce soit ce que vous attendiez GMER 1.0.15.15281 - http://www.gmer.net Rootkit quick scan 2010-01-21 14:46:45 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\user\LOCALS~1\Temp\pxtdrpow.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu Pty Ltd) ZwEnumerateKey [0xB202DE20] SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu Pty Ltd) ZwEnumerateValueKey [0xB202DE50]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \Driver\Tcpip \Device\Ip OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd) Device \Driver\Tcpip \Device\Tcp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd) Device \Driver\Tcpip \Device\Udp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd) Device \Driver\Tcpip \Device\RawIp OAmon.sys (TDI Helper Driver/Tall Emu Pty Ltd)
---- EOF - GMER 1.0.15 ---- Voilà donc où j'en suis, j'ai l'impression de ne pas avoir avncé, j'ai toujours les mêmes messages cités plus haut (par dizaines !) dans l'onglet Sécurité de l'observateur d'évènements. je n'ai pas encore eu le temps d'essayer Zeb Protect conseillé par Laddy. Alors qu'est-ce qu'on peut faire please | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 16:19 | |
| Voilà une avancée, grâce aux conseils de Laddy, j'ai pu fermer le port 139 en désactivant netbios dans les propriétés du protocole tcp/ip Pour en faire profiter les autres membres, voilà la manip à faire : Pour avoir accès aux propriétés du protocole tcp/ip de la carte réseau sur XP : Démarrer > Panneau de configuration > Basculer vers l'affichage classique en haut à gauche > Connexion réseau > Clic droit sur Connexion au réseau local > Propriétés > Double clic sur protocole internet tcp/ip ==> onglet général ==> bouton avancé (en bas) => sélectionner désactiver Netbios Par contre, sur Shields Up! les 2 autres ports restent ouverts. Question subsidiaire : comment faire pour que les messages de tentative d' Ouverture/Fermeture de session suspects (dans l'onglet Securité de l'observateur d'évènement) disparaissent, car j'en ai toute une floppée comme ceux-là : Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 21/01/2010 Heure : 12:04:52 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Administrada Domaine : DELL Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : DELL
Pour plus d'informations, consultez le centre
Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp. ----------------------------------------------------------
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 21/01/2010 Heure : 12:45:03 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Administratoro Domaine : DELL Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : DELL
Pour plus d'informations, consultez le centre
Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
-----------------------------
Type de l'événement : Audit des échecs Source de l'événement : Security Catégorie de l'événement : Ouverture/Fermeture de session ID de l'événement : 529 Date : 21/01/2010 Heure : 14:10:09 Utilisateur : AUTORITE NT\SYSTEM Ordinateur : XXX Description : Échec de l'ouverture de session : Raison : Nom d'utilisateur inconnu ou mot de passe incorrect Nom de l'utilisateur : Administratore Domaine : DELL Type de session : 3 Processus d'ouv. de session : NtLmSsp Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Nom de station de travail : DELL
Pour plus d'informations, consultez le centre
Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.Merci à vous | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Jeu 21 Jan 2010 - 22:54 | |
| Il y a quelque chose de suspect dans mes rapports RSIT ? le log HijackThis n'a rien d'anormal d'après vous ? Merci d'avance | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Ven 22 Jan 2010 - 15:36 | |
| J'ai fermé le port 445 avec Zeb Protect et ça va toute de suite beaucoup mieux | |
|
| |
thebloom Intervenants
Nombre de messages : 1111 Age : 61 Localisation : France Date d'inscription : 22/02/2008
| Sujet: Re: [Résolu] Suis-je infecté ? Sam 23 Jan 2010 - 22:56 | |
| Voilà c'est résolu, merci à vous | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Suis-je infecté ? Dim 24 Jan 2010 - 12:28 | |
| Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à thebloom. Pour les autres, créez votre propre sujet svp. | |
|
| |
Contenu sponsorisé
| Sujet: Re: [Résolu] Suis-je infecté ? | |
| |
|
| |
| [Résolu] Suis-je infecté ? | |
|