Security-X

Forum Security-X => Désinfections => Discussion démarrée par: iBenny le mai 28, 2015, 19:25:47

Titre: [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 19:25:47
Bonjour à tous !  :AAC

Je suspecte être infecté par qqe chose qui fait des fuites importantes de données hors de mon pc  :( !

Mes DL (rouge) devraient être beaucoup plus importantes que mes UL (vert) dans une navigation normale et en regardant des vidéos sur YouTube, j'ai constaté que les sorties dépassaient les entrées exagérément ! :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECtnbNyrOV_youtube_leak.gif&hash=43baf8b92863171b77ea2dec55b326b959b4df2e)

C'est pas du Wikileak, mais du Netleak !!!!

Il y a qqe jours, j'avais remarqué cette fuite gigantesque  :oups: en regardant des séries télévisées sur un site de streaming :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECtsksS5hx_netleak.gif&hash=4e1e1de7f37032f085e8f3ce625e8d4ebe12c9b8)

On peut constater que quotidiennement, les fuites sont systématiques ! Je crois, en l'état, mes inquiétudes légitimes et fondées !

Quelqu’un peut-il m'aider dans cette situation ?

Merci d'avance de votre aide !

iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: hyunkel30 le mai 28, 2015, 20:11:13
Bonsoir,

On va regarder, mais à tous les coup, c'est plus un logiciel qu'une infection

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)

Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Poste les deux rapports générés.

Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 20:18:53
Ah ! Mon Avatar favori  ;) !

Bonjour Hyunkel,

Voici :

FRST (http://www.cjoint.com/15mi/EECuVgEF1U8_frst.rtf)

Addition (http://www.cjoint.com/15mi/EECuDgE9G02_addition.txt)


iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 20:56:44
Au cas où ça peut aider :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECu0JzqPzA_networx.gif&hash=e1a45ff56b7a1077b048cda2e39c5b8b60f7158e)

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECu15kZdxH_tcpip_send.gif&hash=8d198132fafff10807a32cb584bf325935c795b3)

TCPView (http://www.cjoint.com/15mi/EECu22Kqdh9_tcpview.txt)

iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 21:35:30
Bonjour Hyunkel,

Quand tu as dit en #1 :

Citation de: hyunkel30 le mai 28, 2015, 20:11:13
c'est plus un logiciel qu'une infection

j'ai fermé FDM (Free Download Manager) et j'ai eu un grande chute des fuites ! mais il en reste trop à mon goût encore !

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECvDc0yHbi_networx_-_fdm.gif&hash=fed1cd18efc867b664f880bf7435595c4446ccd5)


iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: hyunkel30 le mai 28, 2015, 21:59:40
Re,

Bon déjà, XP, tu connais la chanson, = suicide informatique.

Après ... Tu fais une collection de nettoyeur de registre ou quoi ?

- Desk Registry 1.03
- PC Tools Registry Mechanic 11.1
- Registrar Registry Manager 7.51
- Registry First Aid 10
- Registry Reviver

Les nettoyeurs/optimiseurs de registre, ça ne sert strictement à rien, et au pire, ça peut foutre en l'air un système
http://assiste.com/Guerre_des_nettoyeurs_et_defragmenteurs_du_registre_Windows.html
http://windows.microsoft.com/fr-fr/windows/are-registry-cleaners-necessary#1TC=windows-7
http://forum.malekal.com/nettoyeur-defragmenteur-sert-rien-t26069.html


C'est toi qui a volontairement installé des proxy et autres logiciels d’anonymisation ?
C'est dangereux et tu devrais plus t'en inquiéter que "fuite" de donnée ...

à lire ...

http://forum.malekal.com/anonymisation-sur-internet-avec-proxy-web-t15059.html


Pas vraiment de grosse infection, et surement pas qui justifie de l'upload, donc pour moi, c'est bien un logiciel tiers, ou une extension qui est en jeu.
Tu as néanmoins plusieurs traces d'adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 25 (version obsolète et vulnérable, à désinstaller ou mettre à jour)
- Mozilla Firefox 20.0.1 (x86 fr) (version obsolète et vulnérable, tu possèdes une plus récente)

Par contre, je ne traiterais pas Firefox et ses extensions, tu en as bien trop, à toi de faire le ménage dedans ... Je ne pense pas que tu aies réellement besoin de tous cela, et probablement que les unes ou les autres entrent aussi en jeu dans ces upload.

~~~~~~~~~~~~~~~~~~~~~~~~~~


2)
Code: [Sélectionner]
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => E:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
AlternateDataStreams: E:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
SearchScopes: HKLM -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319733&octid=EB_ORIGINAL_CTID&ISID=M80A15108-470E-48EA-85C7-730EC5C9B870&SearchSource=58&CUI=&UM=8&UP=SPF8BC14EF-9AC3-4992-A144-E53C32A17B23&D=052815&q={searchTerms}&SSPV=SP22340TB_sp_ie
FF DefaultSearchEngine,S: WebSearch
FF DefaultSearchUrl: hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=
FF SearchEngineOrder.1: WebSearch
FF SearchEngineOrder.1,S: WebSearch
FF SelectedSearchEngine: WebSearch
FF SelectedSearchEngine,S: WebSearch
S2 1ce38fbe; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\SustainerPlus\SustainerPlus.dll",serv
S2 afe76e80; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\CutterMaker\CutterMaker.dll",serv
e:\Program Files\SustainerPlus
e:\Program Files\CutterMaker
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Program Files\SearchProtect(2)
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2)
end/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\


3) Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.

Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 23:16:44
Salut Hyunkel !

Citer
Bon déjà, XP, tu connais la chanson, = suicide informatique.

 :AAG

Citer
- Desk Registry 1.03
- PC Tools Registry Mechanic 11.1
- Registrar Registry Manager 7.51
- Registry First Aid 10
- Registry Reviver

Je ne les ai pas encore utilisé car mon objectif est de trouver un bon éditeur de registre où je peu éditer le registre courant en comparant avec un autre registre car j'ai des problèmes de périphérique réseau sur mon SE principal XPro1 et je veux le synchroniser du mieux que je peux avec ma BDR de XPro2 (installé sur une autre partition) qui fonctionne bien, celui sur lequel je travaille présentement en attendant de rétablir le SE principal. J'ai Resplendance Registar mais les fonctions que je recherchent nécessitent d'acheter une licence.

Je me méfie grandement comme toi de leur fonctionnalité "nettoyage" et ne veux pas y toucher, mais je veux voir s'ils ont pas autre chose que je peux utiliser de façon contrôlée.

Citer
C'est toi qui a volontairement installé des proxy et autres logiciels d’anonymisation ?
C'est dangereux et tu devrais plus t'en inquiéter que "fuite" de donnée ...

J'ai installé une extension anonymiser sur FF (que je n'utilise pas pcq ça fonctionne mal) car j'étais tanné de tomber sur des vidéos YouTube ou objet eBay bloqué pcq "pas pour votre pays"  :hun: !!! Quand même, on est juste au dessus d'eux merde et on partage la même frontière  :hun: ...

J'espère que t'as pas trouvé des choses qui se sont installées dans mon dos  :o ! Quoi par exemple ?

Citer
Tu as néanmoins plusieurs traces d'adwares, logiciels publicitaires installés "volontairement", car...

Oui, je connais parfaitement l'arnaque et fait tout en mon pouvoir pour éviter les pièges avec les installateurs ! Qu'as-tu trouvé qui m'a échappé ?

Citer
- Java(TM) 6 Update 25 (version obsolète et vulnérable, à désinstaller ou mettre à jour)
- Mozilla Firefox 20.0.1 (x86 fr) (version obsolète et vulnérable, tu possèdes une plus récente)

J'ai le dernier Java mais pas encore désinstallé le 6 ! Je m'y met...
Je travaille toujours avec la dernière version de FF (38.0.1) Je comprend pas qu'il reste des traces de 20.0.1 !? Comment la désinstaller sans toucher à la version à jour que j'utilise ? je vais étudier ça (à moins que tu ais la réponse toute prête sur le bout de la langue... heu... des doigts  :hi: ).

Citer
je ne traiterais pas Firefox et ses extensions, tu en as bien trop, à toi de faire le ménage dedans ... Je ne pense pas que tu aies réellement besoin de tous cela, et probablement que les unes ou les autres entrent aussi en jeu dans ces upload.

J'ai récemment eu un crash causé par Ghostery qui a fait en sorte que TOUTES mes extensions se sont désactivées et dans la section des Modules complémentaires, ils étaient toujours présent mais en grisé et avaient tous perdu leur bouton d'activation. J'ai dû les télécharger et les réinstaller de nouveau pour les réanimer. Je comprend pourquoi dans le rapport FRST la liste d'extension est dédoublée ! Va falloir régler ça ! Quand à la pertinence de chacun, chacun a sa raison d'être ! Tu peux me poser la question pour ceux qui te tracassent et je vais t'expliquer le pourquoi...

Je vais maintenant exécuter tes demandes...

Merci pour ton aide...

iBenny

Bizarre ! en écrivant la présente, la fuite netleak a disparue !?

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECxvIk9jqz_networx_-_fdm.gif&hash=c753f18f3a6d07faed6368d30a9e8a5fa2d7764b)
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 28, 2015, 23:38:39
Je viens d'examiner FRST.txt et la liste des extensions n'est pas dédoublée : la liste énumère les extensions FF de deux de mes profiles : le principal et le profile de sauvegarde que j'ai créé depuis le crash des extensions causé par Ghostery...

iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 29, 2015, 01:01:07
Et c'est reparti ...

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEEDaV7m5Fq3_networx_-_fdm_2.gif&hash=88ca87916b1cf6022280b88e677695748c43f47b)


FRST fixlog.txt
Code: [Sélectionner]
Fix result of Farbar Recovery Scan Tool (x86) Version: 27-05-2015 01
Ran by RA at 2015-05-28 18:10:31 Run:1
Running from E:\Documents and Settings\RA\Bureau
Loaded Profiles: RA (Available Profiles: RA)
Boot Mode: Normal

==============================================

fixlist content:
*****************
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => E:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
AlternateDataStreams: E:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88
SearchScopes: HKLM -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
SearchScopes: HKU\S-1-5-21-73586283-413027322-1606980848-1003 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319733&octid=EB_ORIGINAL_CTID&ISID=M80A15108-470E-48EA-85C7-730EC5C9B870&SearchSource=58&CUI=&UM=8&UP=SPF8BC14EF-9AC3-4992-A144-E53C32A17B23&D=052815&q={searchTerms}&SSPV=SP22340TB_sp_ie
FF DefaultSearchEngine,S: WebSearch
FF DefaultSearchUrl: hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=
FF SearchEngineOrder.1: WebSearch
FF SearchEngineOrder.1,S: WebSearch
FF SelectedSearchEngine: WebSearch
FF SelectedSearchEngine,S: WebSearch
S2 1ce38fbe; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\SustainerPlus\SustainerPlus.dll",serv
S2 afe76e80; "E:\WINDOWS\system32\rundll32.exe" "e:\Program Files\CutterMaker\CutterMaker.dll",serv
e:\Program Files\SustainerPlus
e:\Program Files\CutterMaker
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Program Files\SearchProtect(2)
2015-05-23 20:09 - 2015-05-23 21:42 - 00000000 ____D () E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2)
end
*****************

Processes closed successfully.
Restore point was successfully created.
E:\WINDOWS\Tasks\Start Registry Reviver for THOR-8CF1C1F72E@RA(logon).job => Moved successfully.
E:\Documents and Settings\All Users\Application Data\TEMP => ":D1B5B4F1" ADS Removed successfully..
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKU\S-1-5-21-73586283-413027322-1606980848-1003\Software\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKU\S-1-5-21-73586283-413027322-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully.
"HKU\S-1-5-21-73586283-413027322-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9}" => key Removed successfully.
HKCR\CLSID\{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => key not found.
Firefox DefaultSearchEngine,S Removed successfully.
Firefox DefaultSearchUrl Removed successfully.
Firefox SearchEngineOrder.1 Removed successfully.
Firefox SearchEngineOrder.1,S Removed successfully.
Firefox SelectedSearchEngine Removed successfully.
Firefox SelectedSearchEngine,S Removed successfully.
1ce38fbe => Service Removed successfully.
afe76e80 => Service Removed successfully.
"e:\Program Files\SustainerPlus" => File/Folder not found.
"e:\Program Files\CutterMaker" => File/Folder not found.
E:\Program Files\SearchProtect(2) => Moved successfully.
E:\Documents and Settings\RA\Local Settings\Application Data\SearchProtect(2) => Moved successfully.
EmptyTemp: => Removed 4.7 GB temporary data.


The system needed a reboot.

==== End of Fixlog 18:12:40 ====
AdwCleaner[R0]
Code: [Sélectionner]
# AdwCleaner v4.205 - Logfile created 28/05/2015 at 18:19:46
# Updated 21/05/2015 by Xplode
# Database : 2015-05-25.3 [Server]
# Operating system : Microsoft Windows XP Service Pack 3 (x86)
# Username : RA - THOR-8CF1C1F72E
# Running from : E:\Documents and Settings\RA\Bureau\AdwCleaner.exe
# Option : Scan

***** [ Services ] *****


***** [ Files / Folders ] *****

File Found : E:\END
Folder Found : E:\Program Files\Innovative Solutions
Folder Found : E:\Program Files\SearchProtect

***** [ Scheduled tasks ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKCU\Software\nuevos-programas.com

***** [ Web browsers ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v38.0.1 (x86 fr)

[33folp4c.default] - Line Found : user_pref("browser.search.defaultenginename,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.defaulturl", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");
[33folp4c.default] - Line Found : user_pref("browser.search.order.1", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.order.1,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.selectedEngine", "WebSearch");
[33folp4c.default] - Line Found : user_pref("browser.search.selectedEngine,S", "WebSearch");
[33folp4c.default] - Line Found : user_pref("keyword.URL", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");
[ibxgvz8j.Sauvegarde] - Line Found : user_pref("browser.startup.homepage", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88");
[ibxgvz8j.Sauvegarde] - Line Found : user_pref("keyword.URL", "hxxp://websearch.searchtotal.info/?pid=23503&r=2015/05/27&hid=5339637394589543956&lg=EN&cc=CA&unqvl=88&l=1&q=");

-\\ Pale Moon v


*************************

AdwCleaner[R0].txt - [1996 bytes] - [28/05/2015 18:19:46]

########## EOF - E:\AdwCleaner\AdwCleaner[R0].txt - [2055 bytes] ##########

J'ai téléchargé plusieurs outils réseau dont WireShark afin d'identifier le(s) coupable(s) des netleaks. Je ne connais pas ces outils et ça s'annonce long et compliqué à maîtriser...

iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: hyunkel30 le mai 29, 2015, 08:39:32
Re,

ça ne sert à rien de me mettre à chaque fois tes diagrammes réseau, tant qu'on a pas terminé les procédures ... ;)
Et j'aimerais que tu ne modifies pas les rapports pendant les procédures, et que tu les héberges comme demandé sur ce serveur :

Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 29, 2015, 17:38:10
Bonjour Hyunkel !

Citer
ça ne sert à rien de me mettre à chaque fois tes diagrammes réseau, tant qu'on a pas terminé les procédures ... (https://forum.security-x.fr/Smileys/classic/wink.gif)
Et j'aimerais que tu ne modifies pas les rapports pendant les procédures, et que tu les héberges comme demandé sur ce serveur :

 :sup: : J'ai pensé qu'utiliser l'hébergement c'était pcq les rapports étaient généralement trop volumineux et que vous vouliez économiser de l'espace d'affichage sur le forum. Je voulais seulement aider :-( pardon...

Je n'ai pas modifié le contenu des rapports, seulement le formatage pour en faciliter la lecture; Je voulais seulement aider :-(

J'ai toujours les originaux non modifié si tu les veux ! : FRST (http://up.security-x.fr/file.php?h=Ra6ca2fcb14f10463ec524c7fc36a02b8) et AdwCleaner (http://up.security-x.fr/file.php?h=Re0e4919b343edcbcf4d7081aab7643c1)

Citer
Pourquoi tu n'exportes pas les clés en question avec l'éditeur classique pour les comparer ensuite ?

Pcq c'est beaucoup plus facile avec la méthode de Registrar Registry Manager (anciennement Resplendent Registrar) ! Un bijou d'éditeur de registre  :sup: ! Exporter les clefs complique énormément la comparaison  :( ...

Citer
Des serveurs et un proxy sur les réseaux Thaïlandais du Ministère de l'éducation, ça te parle ?
Citer
FF NetworkProxy: "ftp", "203.172.220.78"
FF NetworkProxy: "ftp_port", 8080

De plus, tes "fuites de données", ce sont des upload vers une IP aux Philippines

Saloperie  :oups: ! Comment t'as trouvé ça ??? Champion !  :AAN C'est le proxy ? Faut que j'apprenne à débusquer ces Proxy malfaisant !!! Faut détruire ça ASAP !

Citer
Pratiquement l'ensemble des corrections effectuées avec FRST, et ce que vient de trouver Adwcleaner
Une partie étant venue à l'installation de tes "nettoyeurs" de registre ... et "analyseur" de réseau.

 :o Peut-on identifier lequel des nettoyeur de registre ou analyseur de réseau est en cause ?

Java 6 et FF 20, c'est supprimé !

Je conserverai quand même mon profil FF de sauvegarde au cas zou...

Je vais exécuter AdwCleaner maintenant...

Voici (http://up.security-x.fr/file.php?h=R07954af59d994d07375ba43ddb51472e)
 
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: hyunkel30 le mai 29, 2015, 22:12:49
Re,

Citer
:sup: : J'ai pensé qu'utiliser l'hébergement c'était pcq les rapports étaient généralement trop volumineux et que vous vouliez économiser de l'espace d'affichage sur le forum. Je voulais seulement aider :-( pardon...

Je n'ai pas modifié le contenu des rapports, seulement le formatage pour en faciliter la lecture; Je voulais seulement aider :-(

Ne t'inquiète pas de cela, nos procédures sont à suivre, et gère cela.


Citer
Saloperie  :oups: ! Comment t'as trouvé ça ??? Champion !  :AAN C'est le proxy ? Faut que j'apprenne à débusquer ces Proxy malfaisant !!! Faut détruire ça ASAP !

Bah, c'est un peu mon boulot ici non ? ;)

Tu veux virer tout ce qui a trait à ton VPN ? C'est sûr ?



Citer
:o Peut-on identifier lequel des nettoyeur de registre ou analyseur de réseau est en cause ?

J'opterais pour les outils PC tools pour les modificateurs de navigateur
Une autre partie a été installée le 23 mai, à priori avec le Fix It qui devait pas vraiment être du site Officiel Microsoft ...
Citer
2015-05-23 19:55 - 2015-04-16 11:27 - 00347440 _____ (Microsoft Corporation) E:\Documents and Settings\RA\Bureau\Microsoft Fix It portable.exe

 :AAN
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 30, 2015, 00:09:22
Salut !

Citer
Tu veux virer tout ce qui a trait à ton VPN ? C'est sûr ?

J'ai un VPN !? Quel VPN ???

Si tu parles de Proxomitron (pas un VPN),  :EEE pas touche...

Citer
J'opterais pour les outils PC tools pour les modificateurs de navigateur
Une autre partie a été installée le 23 mai, à priori avec le Fix It qui devait pas vraiment être du site Officiel Microsoft ...
Citer
2015-05-23 19:55 - 2015-04-16 11:27 - 00347440 _____ (Microsoft Corporation) E:\Documents and Settings\RA\Bureau\Microsoft Fix It portable.exe

 (https://forum.security-x.fr/Smileys/classic/AAN.gif)

OK ! à la poubelle...  ;D

D'autre choses ?

iBenny
Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: hyunkel30 le mai 30, 2015, 08:41:53
Re,

Proxy, erreur d'écriture, pas VPN ;)

Pour avoir des rapports plus "frais" après le premier ménage afin de nettoyer le reste :

Relance FRST :

Poste les deux rapports générés.

Titre: Re : Infection suspectéé ! Fuite de donnée !
Posté par: iBenny le mai 31, 2015, 02:54:49
Bonjour Hyunkel !

si je suis un peu plus lent à répondre c'est que mes fuites netleaks ont fait péter ma limite de téléchargement mensuel et je suis à 1-3G de dépasser mon extension de 150G !  :AAM J'économise pour la fin du mois ... :AAG

Voici pour les rap :

FRST (http://up.security-x.fr/file.php?h=Rbd6961b855372e022f837959c9eb1e10)

Addition (http://up.security-x.fr/file.php?h=Red5c3fcf021fc66940f97c533db28ebf)


iBenny :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le mai 31, 2015, 13:01:30
Re,

à suivre :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Malwarebytes Anti-Malware version 1.75.0.1300 (version obsolète, et le service créé des erreurs sur ton système)


Code: [Sélectionner]
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-73586283-413027322-1606980848-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> E:\DOCUME~1\RA\LOCALS~1\Temp\A460\temp\setup.exe No File
FF NetworkProxy: "ftp", "203.172.220.78"
FF NetworkProxy: "ftp_port", 8080
FF NetworkProxy: "gopher", "203.172.220.78"
FF NetworkProxy: "gopher_port", 8080
FF NetworkProxy: "http", "203.172.220.78"
FF NetworkProxy: "http_port", 8080
FF NetworkProxy: "socks", "203.172.220.78"
FF NetworkProxy: "socks_port", 8080
FF NetworkProxy: "ssl", "203.172.220.78"
FF NetworkProxy: "ssl_port", 8080
FF NetworkProxy: "type", 0
S2 MBAMScheduler; "F:\[XProgrammes]\Malwarebytes\mbamscheduler.exe" [X]
S2 MBAMService; "F:\[XProgrammes]\Malwarebytes\mbamservice.exe" [X]
end/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 01, 2015, 18:19:30
Bon début de mois Hyunkel !

FRST Fixlog (http://up.security-x.fr/file.php?h=R64e263dbe5237664a9066ac79944faeb)

Qqe observations:

J'ai ouvert ce matin mon pc avec la Connexion réseau (CNX) désactivée et pas de navigateur FF.

1- Aucun échanges TCP/UDP de perçu par Process Monitor (Sysinternals).
2- Networx montre du trafic !

J'ouvre la CNX et

1- idem
2- Networx actif

Je fais des analyses (amateurs) avecTCPView  et Wondering IPs pendant 1 heure* et j'ai déjà 1GO de trafic sans avoir encore ouvert FF  :oups: (Spark ouvert subrepticement pour un rapport Whois) Y'a vraiment un ... loup dans la bergerie !!!

* pas d'échanges TCP/UDP de perçu par Process Monitor  (o) !!!

PS: Je reviens dans 30 min pour confirmer le trafic enregisré par mon FSI...


iBenny
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 01, 2015, 21:48:04
Re,

à faire, Firefox et autres navigateurs fermé :

Démarrer -> tous les programmes -> accessoires
Clic-droit sur "Invite de commande" -> exécuter en tant qu'administrateur

Dans la fenêtre de commande, tape :
Citer
netstat -a -b
Valide avec "entrée"

Laisse se faire l'analyse, lorsqu'elle est finie (cela peut-être long), fais un clic-droit dans la fenêtre -> sélectionner tout
Puis appuie sur la touche "entrée"

Ouvre un fichier "bloc-note" et fais clic-droit -> coller

Poste-moi ce rapport en l'hébergeant de préférence comme les précédents

 :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 02, 2015, 00:58:13
Salut Hyunkel,

Exécuter "cmd" avec la commande :

netstat -a -b>.\bureau\NetStat-a-b.txt
ou
netstat -a -b>%USERTPROFILE%\bureau\NetStat-a-b.txt

ça va automatiquement envoyer le résultat de la commande dans le fichier NetStat-a-b.txt sur le bureau !

Donc, tout navigateur fermé sans trafic significatif : Netstat (http://up.security-x.fr/file.php?h=R5dc0836f7c55879cbbd5ac49baf1a9eb)

avec téléversement (UL) non sollicité constant (dents de scie) @ 2-5Mbps : Netstat (http://up.security-x.fr/file.php?h=R67ab8f0bd9fe44a95b4102a2f145ef74) et Netstat (http://up.security-x.fr/file.php?h=Rfdfc7d66231f9d325d472a099edf53b2)

Mon FSI indique 1.65GO et j'ai rien fait encore...

iBenny :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 02, 2015, 15:28:40
Re,

Je t'ai bien demandé netstat en invite de commande ... faut suivre mes procédures ;)


à part Kaspersky, netTALK (à priori un logiciel lié à ton modem/routeur) et proximotron, rien ne communique avec l'extérieur.

Tu es en réseau avec d'autres pc sur ton réseau local ?
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 02, 2015, 21:22:03
Bonjour Hyunkel !

Mais, Accessoires | ligne de commande... c'est pas pareil que Exécuter "cmd" ! Non ?  :o

Si c'est pas pareil alors voici NetStat -a -b (http://up.security-x.fr/file.php?h=R597b1d0f30dce0d54098543004880d8b), avec fuites de 8Mbps ! et expliquez-moi svp (j'ai toujours cru que c'était pareil !)  :AAG

Pardon,

Voici ce que Process Monitor (http://www.cjoint.com/doc/15_06/EFctOmNn6Th_PM.gif) enregistre, de même que WireShark (http://www.cjoint.com/doc/15_06/EFctvtHFqwh_WSk.gif) !

Réseau local ? Non ! Je suis solo monoposte et mon pc n'est branché qu'avec mon FSI ! Pas de routeur encore mais j'en ai un usagé (DI-524) qui attend (et je tue le WIFI) ...

PS: NetTalk c'est le pilote de mon adaptateur USB VoIP TK6000

iBenny  :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 02, 2015, 21:43:46
Re,

Tu lances effectivement l'invite de commande en faisant exécuter -> cmd, néanmoins, moi je précisais bien de lancer l'invite de commande en mode administrateur ;)
C'est pour cela que je te faisais passer par l'icône dans les accessoires ...

Bon, avec wireshark on avance,

à faire :


Télécharge TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe) de Kaspersky sur ton bureau.

C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.

Un aide à l'utilisation ici (http://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/)
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 02, 2015, 22:27:35
Bonjour Hyunkel !


Rien d'intéressant dans TDSSK ! seulement 3 objet suspects : NetTalk, Proxomitron et SlipStream !

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2Fdoc%2F15_06%2FEFcuyNndH7h_TDSSK.gif&hash=ee8da7b60b8d050cc546bc2e10e0899c54dae52c)

iBenny :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 03, 2015, 15:17:40
Re,

J'aimerais le rapport néanmoins, même s'ils sont connus, je veux voir les détections,
Encore une fois, merci de bien faire les procédures comme demandées ;)
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 03, 2015, 18:56:17
Voici :

TDSSK #1 (http://up.security-x.fr/file.php?h=Rc7f294c0e6a7501f535b1de635452069)

TDSSK #2 (http://up.security-x.fr/file.php?h=Ra8340f4c1ba7eb6d93788a6c35a085b2)

iBenny :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 03, 2015, 21:48:28
Re,

Je suis perplexe.

Déjà, on est sur une plateforme qui n'est plus suivie, et qui possède donc potentiellement des failles non colmatées, et invisible sur des rapports.
Néanmoins on verrait autre chose que seulement ces connexions

Sous Process monitor, peux-tu me faire un clic-droit sur une ligne UDP send avec tcpsvcs.exe -> Properties
Onglet "process"
Bouton en bas "Copy All"

Puis tu ouvres un bloc-note, tu colles le rapports, et tu me l'héberges pour me donner le lien dans ta prochaine réponse

 :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 04, 2015, 07:38:40
En voici deux :

UDP Send 1 (http://up.security-x.fr/file.php?h=R26ead44fea89d799354bf60123b4840d)

UDP Send 2 (http://up.security-x.fr/file.php?h=R4dd315a5e4b07bd1a6b48c45239b90e2)


Et ce qui est le plus bizarre dans tout ça c'est qu'avec WireShark, j'ai visualisé la nature des data envoyés dans les datagrammes et en voici six pris au hasard à des journées différentes :

1 (http://up.security-x.fr/file.php?h=R28346ca1d9b848090aaca3c9e51fffc6)  2 (http://up.security-x.fr/file.php?h=R757a8613b8c43f2f9374b4b6cfd77c5a)  3 (http://up.security-x.fr/file.php?h=R654b1238f8ab1e8a50ea18cbfe3eb1e5)  4 (http://up.security-x.fr/file.php?h=R9f4471e51ea256bb8ea1545e0dc6ec53)  5 (http://up.security-x.fr/file.php?h=R10193180211ab1fc74936bf65387da93)  6 (http://up.security-x.fr/file.php?h=R20b20446a12dc00faeb2bf33f308606e) :AAK


Merci de ton aide,

iBenny :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 04, 2015, 15:49:58
Re,

Y'a vraiment rien de concluant dans ces rapports, aucun module chargé anormal.
Donc soit y'a exploitation d'une faille et là on peut rien faire.
Soit c'est un souci système, un "bug" de Windows(ce qui coïnciderait avec le type d'infos envoyé), mais les IP de destination sont quand même étrange ...

Pour ma part, je ne vois rien, ou en tout cas, rien que je puisse "traiter"

Désolé
 :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 04, 2015, 22:28:33
D'accord !

Merci beaucoup Hyunkel de toutes ton aide précieuses et je sais où je vais poursuivre !

À la prochaine  :AAC ...

iBenny  :AAN
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 10, 2015, 08:45:21
Bonjour Hyunkel !

Par respect pour le temps que vous avez investi à m'aider, je dois vous informer que j'ai résolu le problème  :BAN avec beaucoup de recherches personnelle suite à des indices relevés dans mon forum suivant chez Malekal (http://forum.malekal.com/infection-suspectee-importantes-fuite-donnees-t51923.html) !

C'était un DRDoSsur le port chargen 19 !  :LLL


On en a vu des indices plus haut au message #3 :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.cjoint.com%2F15mi%2FEECu15kZdxH_tcpip_send.gif&hash=8d198132fafff10807a32cb584bf325935c795b3)

et aussi dans les messages #20:
Citer
Voici ce que Process Monitor (http://www.cjoint.com/doc/15_06/EFctOmNn6Th_PM.gif) enregistre, de même que WireShark (http://www.cjoint.com/doc/15_06/EFctvtHFqwh_WSk.gif) !

et #26 :
Citer
UDP Send 1 (http://up.security-x.fr/file.php?h=R26ead44fea89d799354bf60123b4840d)

UDP Send 2 (http://up.security-x.fr/file.php?h=R4dd315a5e4b07bd1a6b48c45239b90e2)


Et ce qui est le plus bizarre dans tout ça c'est qu'avec WireShark, j'ai visualisé la nature des data envoyés dans les datagrammes et en voici six pris au hasard à des journées différentes :

1 (http://up.security-x.fr/file.php?h=R28346ca1d9b848090aaca3c9e51fffc6)  2 (http://up.security-x.fr/file.php?h=R757a8613b8c43f2f9374b4b6cfd77c5a)  3 (http://up.security-x.fr/file.php?h=R654b1238f8ab1e8a50ea18cbfe3eb1e5)  4 (http://up.security-x.fr/file.php?h=R9f4471e51ea256bb8ea1545e0dc6ec53)  5 (http://up.security-x.fr/file.php?h=R10193180211ab1fc74936bf65387da93)  6 (http://up.security-x.fr/file.php?h=R20b20446a12dc00faeb2bf33f308606e) :AAK


Solution : FERMER LE PORT 19 !

Comment ? :

Sur Windows, changer les clés
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableTcpChargen" = 0
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableUdpChargen" = 0
 
Puis Exécuter (Win+R) "cmd" et tapez :
.
net stop simptcp
net start simptcp
 

Encore merci et à la prochaine !
iBenny  :AAA
Titre: Re : Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 10, 2015, 09:01:54
Re,

Merci pour ton retour ;)

Néanmoins je maintiens que le problème est lié à ton système, obsolète, laissant ce type de port ouvert et ces attaques possible ...
Le service simptcp n'existant pas par défaut normalement
http://www.iss.net/security_center/reference/vuln/Chargen_Denial_of_Service.htm
Citer
Windows: The chargen service is not native to Windows, but may be present.

Vraiment, je réitère mon conseil de passer à un autre système, et conserver au besoin XP pour ton travail hors-connexion (exemple avec un dual-boot GNU/Linux)

 :AAN
Titre: Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 10, 2015, 10:33:40
Bonjour Hynkel !

Le service simptcp c'est le service TCP/IP qui permet d'aller sur Internet ! Il est... nous en convenons tous... indispensable ! OUPS ! En te relisant, je crois que tu as fais une coquille et que tu voulais dire "chargen" et non "simptcp"... et là... t'as 100% raison !

Et oui, Hyunkel, je pense de temps en temps à mettre à niveau mais ce sera vers 10 ! Ce qui me frustait (frustre) avec 7 et +, c'est le contrôle insolent qu'effectue ces SE concernant les téléchargements de médias (musique, et vidéos aussi je présume) ! C'est pas que je suis un grand téléchargeur de ces choses, au contraire c'est rare, exceptionnel, mais le simple contrôle qu'effectue ces SE sur l'usager sont à l'encontre de mes principes ! Pour moi, c'est du Orson Wells en germination !

GNU/Linux ? C'est tentant... mais réapprendre un autre SE ! j'ai plus le temps... Trop occupé !

À la revoyure !  :AAC

iBenny   :AAN
Titre: Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 10, 2015, 12:59:40
Re,

Citer
Le service simptcp c'est le service TCP/IP qui permet d'aller sur Internet ! Il est... nous en convenons tous... indispensable ! OUPS ! En te relisant, je crois que tu as fais une coquille et que tu voulais dire "chargen" et non "simptcp"... et là... t'as 100% raison !

Non, les deux ne sont pas activé ni indispensable par défaut ;)
simptcp n'existe même pas par défaut sur les Windows non "server/pro" ;)
https://technet.microsoft.com/en-us/library/cc783766%28v=ws.10%29.aspx

On en revient ... sans XP t'aurais pas eu le souci  ;D
Titre: Re : Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: TheSuperGeek le juin 10, 2015, 18:08:51
Citation de: iBenny le juin 10, 2015, 10:33:40

GNU/Linux ? C'est tentant... mais réapprendre un autre SE ! j'ai plus le temps... Trop occupé !

iBenny   :AAN
Bonjour Ibenny,
si tu veut réellement je peut t'aider à faire le pas... Linux est simple d'utilisation et intuitif. (je ne suis pas payé pour faire de la pub ;) )
En tout cas si tu veut je peut répondre à tes questions par MP ou poste ta demande dans la section "Linux" de SX.... Le forum  www.ubuntu-fr.org est aussi très actif pour tout les problèmes.
@+  :AAC
Titre: Re : Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 10, 2015, 19:47:13
Bonjour Hyunkel !

Citation de: hyunkel30 le juin 10, 2015, 12:59:40
Non, les deux ne sont pas activé ni indispensable par défaut ;)
simptcp n'existe même pas par défaut sur les Windows non "server/pro" ;)
https://technet.microsoft.com/en-us/library/cc783766%28v=ws.10%29.aspx (http://forum.security-x.fr/javascript:void(0))

 (o) !!! Mais quand j'avais désactivé ce protocol de ma carte réseau la dernière fois, j'avais perdu accès à Internet !!!??? et si je vire ça, mon horloge va plus se mettre à jour (à l'heure) sur les serveurs Internet ? Vais-je perdre les fonctionnalités de Teamviewer ?

(PS : ton lien = 404)

Citation de: hyunkel30 le juin 10, 2015, 12:59:40
On en revient ... sans XP t'aurais pas eu le souci  ;D
  :hi:

TheSuperGeek,

Citation de: TheSuperGeek le juin 10, 2015, 18:08:51
si tu veut réellement je peut t'aider à faire le pas... Linux est simple d'utilisation et intuitif. (je ne suis pas payé pour faire de la pub (https://forum.security-x.fr/Smileys/classic/wink.gif) )
En tout cas si tu veut je peut répondre à tes questions par MP ou poste ta demande dans la section "Linux" de SX.... Le forum  www.ubuntu-fr.org (http://www.ubuntu-fr.org) est aussi très actif pour tout les problèmes.

J'avais déja regardé ça il y a longtemps mais ce qui m'a refroidi, c'est le choix de la saveur Linux à ... choisir (pléonasme ici  :hi: ) : Desbien, Ubuntu, et j'en passe ! Lequel ? Et en plus, il y a la pléthore de maj qu'il faut suivre ! et finalement, on perd énormément de compatibilité logicielle (et peut-être matérielle: tél USB VoIP par ex)... Ça m'a refroidi !!!


iBenny
Titre: Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: hyunkel30 le juin 10, 2015, 20:48:25
Re ;)

Le lien est valide chez moi, dans ma réponse, mais pas dans ton quote, je sais pas comment tu as copié cela ... t'as inclus un lien de SX dans mon URL ;)

Comme je disais, c'est lié à XP pro ou server, j'ai pas ces versions sous la main pour tester et savoir si c'est indispensable ou pas, mais c'est probablement lié oui.

 :AAN
Titre: Re : [Résolu] Infection suspectée ! Fuite de donnée !
Posté par: iBenny le juin 11, 2015, 00:28:56
En effet !

dans ton message ça fonctionne mais pas dans ma citation ! Bizarre... et j'ai pas taponné avec l'URL !

iBenny   :AAN