Auteur Sujet: [Résolu] Infection suspectée ! Fuite de donnée !  (Lu 8923 fois)

0 Membres et 2 Invités sur ce sujet

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Bonjour à tous !  :AAC

Je suspecte être infecté par qqe chose qui fait des fuites importantes de données hors de mon pc  :( !

Mes DL (rouge) devraient être beaucoup plus importantes que mes UL (vert) dans une navigation normale et en regardant des vidéos sur YouTube, j'ai constaté que les sorties dépassaient les entrées exagérément ! :



C'est pas du Wikileak, mais du Netleak !!!!

Il y a qqe jours, j'avais remarqué cette fuite gigantesque  :oups: en regardant des séries télévisées sur un site de streaming :



On peut constater que quotidiennement, les fuites sont systématiques ! Je crois, en l'état, mes inquiétudes légitimes et fondées !

Quelqu’un peut-il m'aider dans cette situation ?

Merci d'avance de votre aide !

iBenny
« Modifié: juin 10, 2015, 08:49:11 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Security-X


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #1 le: mai 28, 2015, 20:11:13 »
Bonsoir,

On va regarder, mais à tous les coup, c'est plus un logiciel qu'une infection

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Coche l'option Addition.txt en bas de la fenêtre.
  • Clique sur le bouton  Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #2 le: mai 28, 2015, 20:18:53 »
Ah ! Mon Avatar favori  ;) !

Bonjour Hyunkel,

Voici :

FRST

Addition



iBenny
« Modifié: mai 28, 2015, 21:27:58 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #3 le: mai 28, 2015, 20:56:44 »
Au cas où ça peut aider :





TCPView

iBenny
« Modifié: mai 28, 2015, 21:01:54 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #4 le: mai 28, 2015, 21:35:30 »
Bonjour Hyunkel,

Quand tu as dit en #1 :

c'est plus un logiciel qu'une infection

j'ai fermé FDM (Free Download Manager) et j'ai eu un grande chute des fuites ! mais il en reste trop à mon goût encore !




iBenny
« Modifié: mai 28, 2015, 21:40:56 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #5 le: mai 28, 2015, 21:59:40 »
Re,

Bon déjà, XP, tu connais la chanson, = suicide informatique.

Après ... Tu fais une collection de nettoyeur de registre ou quoi ?

- Desk Registry 1.03
- PC Tools Registry Mechanic 11.1
- Registrar Registry Manager 7.51
- Registry First Aid 10
- Registry Reviver

Les nettoyeurs/optimiseurs de registre, ça ne sert strictement à rien, et au pire, ça peut foutre en l'air un système
http://assiste.com/Guerre_des_nettoyeurs_et_defragmenteurs_du_registre_Windows.html
http://windows.microsoft.com/fr-fr/windows/are-registry-cleaners-necessary#1TC=windows-7
http://forum.malekal.com/nettoyeur-defragmenteur-sert-rien-t26069.html



C'est toi qui a volontairement installé des proxy et autres logiciels d’anonymisation ?
C'est dangereux et tu devrais plus t'en inquiéter que "fuite" de donnée ...

à lire ...

http://forum.malekal.com/anonymisation-sur-internet-avec-proxy-web-t15059.html



Pas vraiment de grosse infection, et surement pas qui justifie de l'upload, donc pour moi, c'est bien un logiciel tiers, ou une extension qui est en jeu.
Tu as néanmoins plusieurs traces d'adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 25 (version obsolète et vulnérable, à désinstaller ou mettre à jour)
- Mozilla Firefox 20.0.1 (x86 fr) (version obsolète et vulnérable, tu possèdes une plus récente)

Par contre, je ne traiterais pas Firefox et ses extensions, tu en as bien trop, à toi de faire le ménage dedans ... Je ne pense pas que tu aies réellement besoin de tous cela, et probablement que les unes ou les autres entrent aussi en jeu dans ces upload.

~~~~~~~~~~~~~~~~~~~~~~~~~~


2)
  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => E:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
AlternateDataStreams: E:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
SearchScopes: HKLM -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319733&octid=EB_ORIGINAL_CTID&ISID=M80A15108-470E-48EA-85C7-730EC5C9B870&SearchSource=58&CUI=&UM=8&UP=SPF8BC14EF-9AC3-4992-A144-E53C32A17B23&D=052815&q={searchTerms}&SSPV=SP22340TB_sp_ie
FF DefaultSearchEngine,S: WebSearch
FF DefaultSearchUrl: hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=
FF SearchEngineOrder.1: WebSearch
FF SearchEngineOrder.1,S: WebSearch
FF SelectedSearchEngine: WebSearch
FF SelectedSearchEngine,S: WebSearch
S2 1ce38fbe; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\SustainerPlus\SustainerPlus.dll",serv
S2 afe76e80; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\CutterMaker\CutterMaker.dll",serv
e:\Program Files\SustainerPlus
e:\Program Files\CutterMaker
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Program Files\SearchProtect(2)
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2)
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
  • Ferme le programme, valide l'avertissement au besoin.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #6 le: mai 28, 2015, 23:16:44 »
Salut Hyunkel !

Citer
Bon déjà, XP, tu connais la chanson, = suicide informatique.

 :AAG

Citer
- Desk Registry 1.03
- PC Tools Registry Mechanic 11.1
- Registrar Registry Manager 7.51
- Registry First Aid 10
- Registry Reviver

Je ne les ai pas encore utilisé car mon objectif est de trouver un bon éditeur de registre où je peu éditer le registre courant en comparant avec un autre registre car j'ai des problèmes de périphérique réseau sur mon SE principal XPro1 et je veux le synchroniser du mieux que je peux avec ma BDR de XPro2 (installé sur une autre partition) qui fonctionne bien, celui sur lequel je travaille présentement en attendant de rétablir le SE principal. J'ai Resplendance Registar mais les fonctions que je recherchent nécessitent d'acheter une licence.

Je me méfie grandement comme toi de leur fonctionnalité "nettoyage" et ne veux pas y toucher, mais je veux voir s'ils ont pas autre chose que je peux utiliser de façon contrôlée.

Citer
C'est toi qui a volontairement installé des proxy et autres logiciels d’anonymisation ?
C'est dangereux et tu devrais plus t'en inquiéter que "fuite" de donnée ...

J'ai installé une extension anonymiser sur FF (que je n'utilise pas pcq ça fonctionne mal) car j'étais tanné de tomber sur des vidéos YouTube ou objet eBay bloqué pcq "pas pour votre pays"  :hun: !!! Quand même, on est juste au dessus d'eux merde et on partage la même frontière  :hun: ...

J'espère que t'as pas trouvé des choses qui se sont installées dans mon dos  :o ! Quoi par exemple ?

Citer
Tu as néanmoins plusieurs traces d'adwares, logiciels publicitaires installés "volontairement", car...

Oui, je connais parfaitement l'arnaque et fait tout en mon pouvoir pour éviter les pièges avec les installateurs ! Qu'as-tu trouvé qui m'a échappé ?

Citer
- Java(TM) 6 Update 25 (version obsolète et vulnérable, à désinstaller ou mettre à jour)
- Mozilla Firefox 20.0.1 (x86 fr) (version obsolète et vulnérable, tu possèdes une plus récente)

J'ai le dernier Java mais pas encore désinstallé le 6 ! Je m'y met...
Je travaille toujours avec la dernière version de FF (38.0.1) Je comprend pas qu'il reste des traces de 20.0.1 !? Comment la désinstaller sans toucher à la version à jour que j'utilise ? je vais étudier ça (à moins que tu ais la réponse toute prête sur le bout de la langue... heu... des doigts  :hi: ).

Citer
je ne traiterais pas Firefox et ses extensions, tu en as bien trop, à toi de faire le ménage dedans ... Je ne pense pas que tu aies réellement besoin de tous cela, et probablement que les unes ou les autres entrent aussi en jeu dans ces upload.

J'ai récemment eu un crash causé par Ghostery qui a fait en sorte que TOUTES mes extensions se sont désactivées et dans la section des Modules complémentaires, ils étaient toujours présent mais en grisé et avaient tous perdu leur bouton d'activation. J'ai dû les télécharger et les réinstaller de nouveau pour les réanimer. Je comprend pourquoi dans le rapport FRST la liste d'extension est dédoublée ! Va falloir régler ça ! Quand à la pertinence de chacun, chacun a sa raison d'être ! Tu peux me poser la question pour ceux qui te tracassent et je vais t'expliquer le pourquoi...

Je vais maintenant exécuter tes demandes...

Merci pour ton aide...

iBenny

Bizarre ! en écrivant la présente, la fuite netleak a disparue !?


« Modifié: mai 28, 2015, 23:23:06 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #7 le: mai 28, 2015, 23:38:39 »
Je viens d'examiner FRST.txt et la liste des extensions n'est pas dédoublée : la liste énumère les extensions FF de deux de mes profiles : le principal et le profile de sauvegarde que j'ai créé depuis le crash des extensions causé par Ghostery...

iBenny
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #8 le: mai 29, 2015, 01:01:07 »
Et c'est reparti ...




FRST fixlog.txt

Fix result of Farbar Recovery Scan Tool (x86) Version: 27-05-2015 01
Ran by RA at 2015-05-28 18:10:31 Run:1
Running from E:\Documents and Settings\RA\Bureau
Loaded Profiles: RA (Available Profiles: RA)
Boot Mode: Normal

==============================================

fixlist content:
*****************
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => E:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
AlternateDataStreams: E:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
SearchScopes: HKLM -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319733&octid=EB_ORIGINAL_CTID&ISID=M80A15108-470E-48EA-85C7-730EC5C9B870&SearchSource=58&CUI=&UM=8&UP=SPF8BC14EF-9AC3-4992-A144-E53C32A17B23&D=052815&q={searchTerms}&SSPV=SP22340TB_sp_ie
FF DefaultSearchEngine,S: WebSearch
FF DefaultSearchUrl: hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=
FF SearchEngineOrder.1: WebSearch
FF SearchEngineOrder.1,S: WebSearch
FF SelectedSearchEngine: WebSearch
FF SelectedSearchEngine,S: WebSearch
S2 1ce38fbe; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\SustainerPlus\SustainerPlus.dll",serv
S2 afe76e80; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\CutterMaker\CutterMaker.dll",serv
e:\Program Files\SustainerPlus
e:\Program Files\CutterMaker
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Program Files\SearchProtect(2)
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2)
end
*****************

Processes closed successfully.
Restore point was successfully created.
E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => Moved successfully.
E:\Documents and Settings\All Users\Application Data\TEMP => ":D1B5B4F1" ADS Removed successfully..
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKU\S-1-5-21-73586283-413027322-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully.
"HKU\S-1-5-21-73586283-413027322-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9}" => key Removed successfully.
HKCR\CLSID\{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => key not found.
Firefox DefaultSearchEngine,S Removed successfully.
Firefox DefaultSearchUrl Removed successfully.
Firefox SearchEngineOrder.1 Removed successfully.
Firefox SearchEngineOrder.1,S Removed successfully.
Firefox SelectedSearchEngine Removed successfully.
Firefox SelectedSearchEngine,S Removed successfully.
1ce38fbe => Service Removed successfully.
afe76e80 => Service Removed successfully.
"e:\Program Files\SustainerPlus" => File/Folder not found.
"e:\Program Files\CutterMaker" => File/Folder not found.
E:\Program Files\SearchProtect(2) => Moved successfully.
E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2) => Moved successfully.
EmptyTemp: => Removed 4.7 GB temporary data.


The system needed a reboot.

==== End of Fixlog 18:12:40 ====

AdwCleaner[R0]
# AdwCleaner v4.205 - Logfile created 28/05/2015 at 18:19:46
# Updated 21/05/2015 by Xplode
# Database : 2015-05-25.3 [Server]
# Operating system : Microsoft Windows XP Service Pack 3 (x86)
# Username : RA - THOR-8CF1C1F72E
# Running from : E:\Documents and Settings\RA\Bureau\AdwCleaner.exe
# Option : Scan

***** [ Services ] *****


***** [ Files / Folders ] *****

File Found : E:\END
Folder Found : E:\Program Files\Innovative Solutions
Folder Found : E:\Program Files\SearchProtect

***** [ Scheduled tasks ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKCU\Software\nuevos-programas.com

***** [ Web browsers ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v38.0.1 (x86 fr)

[33folp4c.default] - Line Found : user_pref("browser.search.defaultenginename,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.defaulturl", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");
[33folp4c.default] - Line Found : user_pref("browser.search.order.1", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.order.1,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.selectedEngine", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.selectedEngine,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("keyword.URL", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");
[ibxgvz8j.Sauvegarde] - Line Found : user_pref("browser.startup.homepage", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88");
[ibxgvz8j.Sauvegarde] - Line Found : user_pref("keyword.URL", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");

-\\ Pale Moon v


*************************

AdwCleaner[R0].txt - [1996 bytes] - [28/05/2015 18:19:46]

########## EOF - E:\AdwCleaner\AdwCleaner[R0].txt - [2055 bytes] ##########

J'ai téléchargé plusieurs outils réseau dont WireShark afin d'identifier le(s) coupable(s) des netleaks. Je ne connais pas ces outils et ça s'annonce long et compliqué à maîtriser...

iBenny
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #9 le: mai 29, 2015, 08:39:32 »
Re,

ça ne sert à rien de me mettre à chaque fois tes diagrammes réseau, tant qu'on a pas terminé les procédures ... ;)
Et j'aimerais que tu ne modifies pas les rapports pendant les procédures, et que tu les héberges comme demandé sur ce serveur :

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Concernant XP, je serais plus parano au niveau des probables failles déjà exploitée ... vouloir rester sous ce système est vraiment dangereux pour tes données ...



    Citer
    Je ne les ai pas encore utilisé car mon objectif est de trouver un bon éditeur de registre où je peu éditer le registre courant en comparant avec un autre registre car j'ai des problèmes de périphérique réseau sur mon SE principal XPro1 et je veux le synchroniser du mieux que je peux avec ma BDR de XPro2 (installé sur une autre partition) qui fonctionne bien, celui sur lequel je travaille présentement en attendant de rétablir le SE principal. J'ai Resplendance Registar mais les fonctions que je recherchent nécessitent d'acheter une licence.

    Pourquoi tu n'exportes pas les clés en question avec l'éditeur classique pour les comparer ensuite ?



    Citer
    J'espère que t'as pas trouvé des choses qui se sont installées dans mon dos  :o ! Quoi par exemple ?

    Des serveurs et un proxy sur les réseaux Thaïlandais du Ministère de l'éducation, ça te parle ?
    Citer
    FF NetworkProxy: "ftp", "203.172.220.78"
    FF NetworkProxy: "ftp_port", 8080

    De plus, tes "fuites de données", ce sont des upload vers une IP aux Philippines



    Citer
    Oui, je connais parfaitement l'arnaque et fait tout en mon pouvoir pour éviter les pièges avec les installateurs ! Qu'as-tu trouvé qui m'a échappé ?

    Pratiquement l'ensemble des corrections effectuées avec FRST, et ce que vient de trouver Adwcleaner
    Une partie étant venue à l'installation de tes "nettoyeurs" de registre ... et "analyseur" de réseau.



    Citer
    Je travaille toujours avec la dernière version de FF (38.0.1) Je comprend pas qu'il reste des traces de 20.0.1 !? Comment la désinstaller sans toucher à la version à jour que j'utilise ? je vais étudier ça (à moins que tu ais la réponse toute prête sur le bout de la langue... heu... des doigts  :hi: ).

    Dans ta liste des programmes, tu n'as pas deux lignes concernant Firefox ?



    Citer
    Je viens d'examiner FRST.txt et la liste des extensions n'est pas dédoublée : la liste énumère les extensions FF de deux de mes profiles : le principal et le profile de sauvegarde que j'ai créé depuis le crash des extensions causé par Ghostery...

    Si tu n'en as plus l'utilité, supprime ce profil de sauvegarde alors. (via le gestionnaire de profil de Firefox)




    Relance Adwcleaner :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


     :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #10 le: mai 29, 2015, 17:38:10 »
Bonjour Hyunkel !

Citer
ça ne sert à rien de me mettre à chaque fois tes diagrammes réseau, tant qu'on a pas terminé les procédures ... ;)
Et j'aimerais que tu ne modifies pas les rapports pendant les procédures, et que tu les héberges comme demandé sur ce serveur :

 :sup: : J'ai pensé qu'utiliser l'hébergement c'était pcq les rapports étaient généralement trop volumineux et que vous vouliez économiser de l'espace d'affichage sur le forum. Je voulais seulement aider :-( pardon...

Je n'ai pas modifié le contenu des rapports, seulement le formatage pour en faciliter la lecture; Je voulais seulement aider :-(

J'ai toujours les originaux non modifié si tu les veux ! : FRST et AdwCleaner

Citer
Pourquoi tu n'exportes pas les clés en question avec l'éditeur classique pour les comparer ensuite ?

Pcq c'est beaucoup plus facile avec la méthode de Registrar Registry Manager (anciennement Resplendent Registrar) ! Un bijou d'éditeur de registre  :sup: ! Exporter les clefs complique énormément la comparaison  :( ...

Citer
Des serveurs et un proxy sur les réseaux Thaïlandais du Ministère de l'éducation, ça te parle ?
Citer
FF NetworkProxy: "ftp", "203.172.220.78"
FF NetworkProxy: "ftp_port", 8080

De plus, tes "fuites de données", ce sont des upload vers une IP aux Philippines

Saloperie  :oups: ! Comment t'as trouvé ça ??? Champion !  :AAN C'est le proxy ? Faut que j'apprenne à débusquer ces Proxy malfaisant !!! Faut détruire ça ASAP !

Citer
Pratiquement l'ensemble des corrections effectuées avec FRST, et ce que vient de trouver Adwcleaner
Une partie étant venue à l'installation de tes "nettoyeurs" de registre ... et "analyseur" de réseau.

 :o Peut-on identifier lequel des nettoyeur de registre ou analyseur de réseau est en cause ?

Java 6 et FF 20, c'est supprimé !

Je conserverai quand même mon profil FF de sauvegarde au cas zou...

Je vais exécuter AdwCleaner maintenant...

Voici
 
« Modifié: mai 29, 2015, 17:59:58 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #11 le: mai 29, 2015, 22:12:49 »
Re,

Citer
:sup: : J'ai pensé qu'utiliser l'hébergement c'était pcq les rapports étaient généralement trop volumineux et que vous vouliez économiser de l'espace d'affichage sur le forum. Je voulais seulement aider :-( pardon...

Je n'ai pas modifié le contenu des rapports, seulement le formatage pour en faciliter la lecture; Je voulais seulement aider :-(

Ne t'inquiète pas de cela, nos procédures sont à suivre, et gère cela.



Citer
Saloperie  :oups: ! Comment t'as trouvé ça ??? Champion !  :AAN C'est le proxy ? Faut que j'apprenne à débusquer ces Proxy malfaisant !!! Faut détruire ça ASAP !

Bah, c'est un peu mon boulot ici non ? ;)

Tu veux virer tout ce qui a trait à ton VPN ? C'est sûr ?




Citer
:o Peut-on identifier lequel des nettoyeur de registre ou analyseur de réseau est en cause ?

J'opterais pour les outils PC tools pour les modificateurs de navigateur
Une autre partie a été installée le 23 mai, à priori avec le Fix It qui devait pas vraiment être du site Officiel Microsoft ...
Citer
2015-05-23 19:55 - 2015-04-16 11:27 - 00347440 _____ (Microsoft Corporation) E:\Documents and Settings\RA\Bureau\Microsoft Fix It portable.exe

 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #12 le: mai 30, 2015, 00:09:22 »
Salut !

Citer
Tu veux virer tout ce qui a trait à ton VPN ? C'est sûr ?

J'ai un VPN !? Quel VPN ???

Si tu parles de Proxomitron (pas un VPN),  :EEE pas touche...

Citer
J'opterais pour les outils PC tools pour les modificateurs de navigateur
Une autre partie a été installée le 23 mai, à priori avec le Fix It qui devait pas vraiment être du site Officiel Microsoft ...
Citer
2015-05-23 19:55 - 2015-04-16 11:27 - 00347440 _____ (Microsoft Corporation) E:\Documents and Settings\RA\Bureau\Microsoft Fix It portable.exe

 :AAN

OK ! à la poubelle...  ;D

D'autre choses ?

iBenny
« Modifié: juin 02, 2015, 03:15:22 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #13 le: mai 30, 2015, 08:41:53 »
Re,

Proxy, erreur d'écriture, pas VPN ;)

Pour avoir des rapports plus "frais" après le premier ménage afin de nettoyer le reste :

Relance FRST :

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Coche l'option Addition.txt en bas de la fenêtre.
  • Clique sur le bouton  Scan.
  • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.
Poste les deux rapports générés.


Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectéé ! Fuite de donnée !
« Réponse #14 le: mai 31, 2015, 02:54:49 »
Bonjour Hyunkel !

si je suis un peu plus lent à répondre c'est que mes fuites netleaks ont fait péter ma limite de téléchargement mensuel et je suis à 1-3G de dépasser mon extension de 150G !  :AAM J'économise pour la fin du mois ... :AAG

Voici pour les rap :

FRST

Addition


iBenny :AAN
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #15 le: mai 31, 2015, 13:01:30 »
Re,

à suivre :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Malwarebytes Anti-Malware version 1.75.0.1300 (version obsolète, et le service créé des erreurs sur ton système)


  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-73586283-413027322-1606980848-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> E:\DOCUME~1\RA\LOCALS~1\Temp\A460\temp\setup.exe No File
FF NetworkProxy: "ftp", "203.172.220.78"
FF NetworkProxy: "ftp_port", 8080
FF NetworkProxy: "gopher", "203.172.220.78"
FF NetworkProxy: "gopher_port", 8080
FF NetworkProxy: "http", "203.172.220.78"
FF NetworkProxy: "http_port", 8080
FF NetworkProxy: "socks", "203.172.220.78"
FF NetworkProxy: "socks_port", 8080
FF NetworkProxy: "ssl", "203.172.220.78"
FF NetworkProxy: "ssl_port", 8080
FF NetworkProxy: "type", 0
S2 MBAMScheduler; "F:\[XProgrammes]\Malwarebytes\mbamscheduler.exe" [X]
S2 MBAMService; "F:\[XProgrammes]\Malwarebytes\mbamservice.exe" [X]
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #16 le: juin 01, 2015, 18:19:30 »
Bon début de mois Hyunkel !

FRST Fixlog

Qqe observations:

J'ai ouvert ce matin mon pc avec la Connexion réseau (CNX) désactivée et pas de navigateur FF.

1- Aucun échanges TCP/UDP de perçu par Process Monitor (Sysinternals).
2- Networx montre du trafic !

J'ouvre la CNX et

1- idem
2- Networx actif

Je fais des analyses (amateurs) avecTCPView  et Wondering IPs pendant 1 heure* et j'ai déjà 1GO de trafic sans avoir encore ouvert FF  :oups: (Spark ouvert subrepticement pour un rapport Whois) Y'a vraiment un ... loup dans la bergerie !!!

* pas d'échanges TCP/UDP de perçu par Process Monitor  (o) !!!

PS: Je reviens dans 30 min pour confirmer le trafic enregisré par mon FSI...


iBenny
« Modifié: juin 01, 2015, 18:35:06 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #17 le: juin 01, 2015, 21:48:04 »
Re,

à faire, Firefox et autres navigateurs fermé :

Démarrer -> tous les programmes -> accessoires
Clic-droit sur "Invite de commande" -> exécuter en tant qu'administrateur

Dans la fenêtre de commande, tape :
Citer
netstat -a -b
Valide avec "entrée"

Laisse se faire l'analyse, lorsqu'elle est finie (cela peut-être long), fais un clic-droit dans la fenêtre -> sélectionner tout
Puis appuie sur la touche "entrée"

Ouvre un fichier "bloc-note" et fais clic-droit -> coller

Poste-moi ce rapport en l'hébergeant de préférence comme les précédents

 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #18 le: juin 02, 2015, 00:58:13 »
Salut Hyunkel,

Exécuter "cmd" avec la commande :

netstat -a -b>.\bureau\NetStat-a-b.txt
ou
netstat -a -b>%USERTPROFILE%\bureau\NetStat-a-b.txt

ça va automatiquement envoyer le résultat de la commande dans le fichier NetStat-a-b.txt sur le bureau !

Donc, tout navigateur fermé sans trafic significatif : Netstat

avec téléversement (UL) non sollicité constant (dents de scie) @ 2-5Mbps : Netstat et Netstat

Mon FSI indique 1.65GO et j'ai rien fait encore...

iBenny :AAN
« Modifié: juin 02, 2015, 21:49:24 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #19 le: juin 02, 2015, 15:28:40 »
Re,

Je t'ai bien demandé netstat en invite de commande ... faut suivre mes procédures ;)



à part Kaspersky, netTALK (à priori un logiciel lié à ton modem/routeur) et proximotron, rien ne communique avec l'extérieur.

Tu es en réseau avec d'autres pc sur ton réseau local ?

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #20 le: juin 02, 2015, 21:22:03 »
Bonjour Hyunkel !

Mais, Accessoires | ligne de commande... c'est pas pareil que Exécuter "cmd" ! Non ?  :o

Si c'est pas pareil alors voici NetStat -a -b, avec fuites de 8Mbps ! et expliquez-moi svp (j'ai toujours cru que c'était pareil !)  :AAG

Pardon,

Voici ce que Process Monitor enregistre, de même que WireShark !

Réseau local ? Non ! Je suis solo monoposte et mon pc n'est branché qu'avec mon FSI ! Pas de routeur encore mais j'en ai un usagé (DI-524) qui attend (et je tue le WIFI) ...

PS: NetTalk c'est le pilote de mon adaptateur USB VoIP TK6000

iBenny  :AAN
« Modifié: juin 10, 2015, 08:05:51 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #21 le: juin 02, 2015, 21:43:46 »
Re,

Tu lances effectivement l'invite de commande en faisant exécuter -> cmd, néanmoins, moi je précisais bien de lancer l'invite de commande en mode administrateur ;)
C'est pour cela que je te faisais passer par l'icône dans les accessoires ...

Bon, avec wireshark on avance,

à faire :


Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Change parameters".
  • Coche la case Loaded modules
  • Valide l'avertissement de Reboot avec Reboot Now

  • Le pc va redémarrer, au redémarrage, accepte le lancement automatique de l'outil

  • Clique de nouveau sur le bouton "Change parameters"
  • Coche les cases Verify file digital signatures et Detect TDLFS file system sous Additional options
  • Valide avec Ok


  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer. (cela peut être long)
  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire),  met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

    Note : si No threat found apparait, pas besoin de nous fournir le rapport ni chercher ces options

  • Il peut t'être demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.

Un aide à l'utilisation ici

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #22 le: juin 02, 2015, 22:27:35 »
Bonjour Hyunkel !


Rien d'intéressant dans TDSSK ! seulement 3 objet suspects : NetTalk, Proxomitron et SlipStream !



iBenny :AAN
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #23 le: juin 03, 2015, 15:17:40 »
Re,

J'aimerais le rapport néanmoins, même s'ils sont connus, je veux voir les détections,
Encore une fois, merci de bien faire les procédures comme demandées ;)

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #24 le: juin 03, 2015, 18:56:17 »
Voici :

TDSSK #1

TDSSK #2

iBenny :AAN
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #25 le: juin 03, 2015, 21:48:28 »
Re,

Je suis perplexe.

Déjà, on est sur une plateforme qui n'est plus suivie, et qui possède donc potentiellement des failles non colmatées, et invisible sur des rapports.
Néanmoins on verrait autre chose que seulement ces connexions

Sous Process monitor, peux-tu me faire un clic-droit sur une ligne UDP send avec tcpsvcs.exe -> Properties
Onglet "process"
Bouton en bas "Copy All"

Puis tu ouvres un bloc-note, tu colles le rapports, et tu me l'héberges pour me donner le lien dans ta prochaine réponse

 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #26 le: juin 04, 2015, 07:38:40 »
En voici deux :

UDP Send 1

UDP Send 2



Et ce qui est le plus bizarre dans tout ça c'est qu'avec WireShark, j'ai visualisé la nature des data envoyés dans les datagrammes et en voici six pris au hasard à des journées différentes :

1  2  3  4  5  6 :AAK


Merci de ton aide,

iBenny
:AAN
« Modifié: juin 04, 2015, 07:39:31 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #27 le: juin 04, 2015, 15:49:58 »
Re,

Y'a vraiment rien de concluant dans ces rapports, aucun module chargé anormal.
Donc soit y'a exploitation d'une faille et là on peut rien faire.
Soit c'est un souci système, un "bug" de Windows(ce qui coïnciderait avec le type d'infos envoyé), mais les IP de destination sont quand même étrange ...

Pour ma part, je ne vois rien, ou en tout cas, rien que je puisse "traiter"

Désolé
 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #28 le: juin 04, 2015, 22:28:33 »
D'accord !

Merci beaucoup Hyunkel de toutes ton aide précieuses et je sais où je vais poursuivre !

À la prochaine  :AAC ...

iBenny  :AAN
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Infection suspectée ! Fuite de donnée !
« Réponse #29 le: juin 10, 2015, 08:45:21 »
Bonjour Hyunkel !

Par respect pour le temps que vous avez investi à m'aider, je dois vous informer que j'ai résolu le problème  :BAN avec beaucoup de recherches personnelle suite à des indices relevés dans mon forum suivant chez Malekal !

C'était un DRDoSsur le port chargen 19:LLL


On en a vu des indices plus haut au message #3 :



et aussi dans les messages #20:
Citer
Voici ce que Process Monitor enregistre, de même que WireShark !

et #26 :
Citer
UDP Send 1

UDP Send 2



Et ce qui est le plus bizarre dans tout ça c'est qu'avec WireShark, j'ai visualisé la nature des data envoyés dans les datagrammes et en voici six pris au hasard à des journées différentes :

1  2  3  4  5  6 :AAK


Solution : FERMER LE PORT 19 !

Comment ? :

Sur Windows, changer les clés
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableTcpChargen" = 0
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableUdpChargen" = 0
 
Puis Exécuter (Win+R) "cmd" et tapez :
.
net stop simptcp
net start simptcp
 

Encore merci et à la prochaine !
iBenny  :AAA
« Modifié: juin 10, 2015, 08:47:58 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infection suspectée ! Fuite de donnée !
« Réponse #30 le: juin 10, 2015, 09:01:54 »
Re,

Merci pour ton retour ;)

Néanmoins je maintiens que le problème est lié à ton système, obsolète, laissant ce type de port ouvert et ces attaques possible ...
Le service simptcp n'existant pas par défaut normalement
http://www.iss.net/security_center/reference/vuln/Chargen_Denial_of_Service.htm
Citer
Windows: The chargen service is not native to Windows, but may be present.

Vraiment, je réitère mon conseil de passer à un autre système, et conserver au besoin XP pour ton travail hors-connexion (exemple avec un dual-boot GNU/Linux)

 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #31 le: juin 10, 2015, 10:33:40 »
Bonjour Hynkel !

Le service simptcp c'est le service TCP/IP qui permet d'aller sur Internet ! Il est... nous en convenons tous... indispensable ! OUPS ! En te relisant, je crois que tu as fais une coquille et que tu voulais dire "chargen" et non "simptcp"... et là... t'as 100% raison !

Et oui, Hyunkel, je pense de temps en temps à mettre à niveau mais ce sera vers 10 ! Ce qui me frustait (frustre) avec 7 et +, c'est le contrôle insolent qu'effectue ces SE concernant les téléchargements de médias (musique, et vidéos aussi je présume) ! C'est pas que je suis un grand téléchargeur de ces choses, au contraire c'est rare, exceptionnel, mais le simple contrôle qu'effectue ces SE sur l'usager sont à l'encontre de mes principes ! Pour moi, c'est du Orson Wells en germination !

GNU/Linux ? C'est tentant... mais réapprendre un autre SE ! j'ai plus le temps... Trop occupé !

À la revoyure !  :AAC

iBenny   :AAN
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #32 le: juin 10, 2015, 12:59:40 »
Re,

Citer
Le service simptcp c'est le service TCP/IP qui permet d'aller sur Internet ! Il est... nous en convenons tous... indispensable ! OUPS ! En te relisant, je crois que tu as fais une coquille et que tu voulais dire "chargen" et non "simptcp"... et là... t'as 100% raison !

Non, les deux ne sont pas activé ni indispensable par défaut ;)
simptcp n'existe même pas par défaut sur les Windows non "server/pro" ;)
https://technet.microsoft.com/en-us/library/cc783766%28v=ws.10%29.aspx

On en revient ... sans XP t'aurais pas eu le souci  ;D

TheSuperGeek

  • Invité
Re : Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #33 le: juin 10, 2015, 18:08:51 »

GNU/Linux ? C'est tentant... mais réapprendre un autre SE ! j'ai plus le temps... Trop occupé !

iBenny   :AAN
Bonjour Ibenny,
si tu veut réellement je peut t'aider à faire le pas... Linux est simple d'utilisation et intuitif. (je ne suis pas payé pour faire de la pub ;) )
En tout cas si tu veut je peut répondre à tes questions par MP ou poste ta demande dans la section "Linux" de SX.... Le forum  www.ubuntu-fr.org est aussi très actif pour tout les problèmes.
@+  :AAC

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #34 le: juin 10, 2015, 19:47:13 »
Bonjour Hyunkel !

Non, les deux ne sont pas activé ni indispensable par défaut ;)
simptcp n'existe même pas par défaut sur les Windows non "server/pro" ;)
https://technet.microsoft.com/en-us/library/cc783766%28v=ws.10%29.aspx

 (o) !!! Mais quand j'avais désactivé ce protocol de ma carte réseau la dernière fois, j'avais perdu accès à Internet !!!??? et si je vire ça, mon horloge va plus se mettre à jour (à l'heure) sur les serveurs Internet ? Vais-je perdre les fonctionnalités de Teamviewer ?

(PS : ton lien = 404)

On en revient ... sans XP t'aurais pas eu le souci  ;D
  :hi:

TheSuperGeek,

si tu veut réellement je peut t'aider à faire le pas... Linux est simple d'utilisation et intuitif. (je ne suis pas payé pour faire de la pub ;) )
En tout cas si tu veut je peut répondre à tes questions par MP ou poste ta demande dans la section "Linux" de SX.... Le forum  www.ubuntu-fr.org est aussi très actif pour tout les problèmes.

J'avais déja regardé ça il y a longtemps mais ce qui m'a refroidi, c'est le choix de la saveur Linux à ... choisir (pléonasme ici  :hi: ) : Desbien, Ubuntu, et j'en passe ! Lequel ? Et en plus, il y a la pléthore de maj qu'il faut suivre ! et finalement, on perd énormément de compatibilité logicielle (et peut-être matérielle: tél USB VoIP par ex)... Ça m'a refroidi !!!


iBenny
« Modifié: juin 11, 2015, 00:26:40 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #35 le: juin 10, 2015, 20:48:25 »
Re ;)

Le lien est valide chez moi, dans ma réponse, mais pas dans ton quote, je sais pas comment tu as copié cela ... t'as inclus un lien de SX dans mon URL ;)

Comme je disais, c'est lié à XP pro ou server, j'ai pas ces versions sous la main pour tester et savoir si c'est indispensable ou pas, mais c'est probablement lié oui.

 :AAN

Hors ligne iBenny

  • Members
  • *
  • Messages: 28
Re : [Résolu] Infection suspectée ! Fuite de donnée !
« Réponse #36 le: juin 11, 2015, 00:28:56 »
En effet !

dans ton message ça fonctionne mais pas dans ma citation ! Bizarre... et j'ai pas taponné avec l'URL !

iBenny   :AAN
« Modifié: juin 11, 2015, 00:33:13 par iBenny »
TOUS les champignons SONT comestibles !
Certains ne le sont qu'une seule fois  :BB

Tags: Fuite données