Discussion :

[n5Rzn1D9dC]

Bonjour tlm,

Je vous explique le problème.
J'ai découvert il y a quelques temps qu'une personne de mon entourage s'était introduit sur ma boite mail, et ceci pendant plusieurs mois sans que je ne sache rien.

Pas difficile puisque le mdp de cette boite mail était le même que le mdp que je lui avais donné pour un accès freewifi-public.
Je ne pensais pas que cette personne aurait le vice de faire ce genre de chose. Bref, la question n'est pas là.

J'ai bien sur du envisager tout les hack possible à partir des informations que cette personne avait eu.
Comme par exemple, la possibilité de mettre un RAT dans un de mes mails, sans que je ne le vois.

J'ai donc coupé tous les programmes susceptible de créer du traffic réseau, puis j'ai vérifier dans mon pare-feu régulièrement (plusieurs fois par jour) si je ne voyais rien d'anormale.

Pendant plusieurs jours, je n'ai rien vu. Je n'avais peut être pas regardé au bon moment tout simplement, à la bonne heure.
Mais voilà qu'un jour je m'aperçois que svchost envoit des données vers deux ip (donc traffic sortant uniquement je précise bien. Tout traffic entrant était bien entendu bloqué)

En faite, c'est ma parano qui m'a fait tomber sur ces ip, sinon je n'aurais jamais rien remarqué, étant donné qu'il s'agissait de traffic sortant, non loggé par le firewall, et non suspitieux à la base, de plus, pas en permanence, à une certaine heure uniquement.

J'ai n'ai malheureusement pas eu le temps de voir le port utilisé, ni si c'était du tcp ou udp.


Voilà ce que donne le whois de la première IP: (j'ai volontairement caché une partie de l'ip)

$ whois 41.103.*.*
% This is the AfriNIC Whois server.

% Note: this output has been filtered.

% Information related to '41.103.0.0 - 41.103.255.255'

inetnum: 41.103.0.0 - 41.103.255.255
netname: RegAlg1
descr: Region Alger 1
country: DZ
admin-c: SD6-AFRINIC
tech-c: SD6-AFRINIC
status: ASSIGNED PA
mnt-by: DJAWEB-MNT
source: AFRINIC # Filtered
parent: 41.96.0.0 - 41.111.255.255

person: Security Departement
address: Alger
phone: +21321922004
fax-no: +21321922004
e-mail: security@djaweb.dz
nic-hdl: SD6-AFRINIC
source: AFRINIC # Filtered




A partir de ces info je fais une recherche sur google et je m'aperçois que les données de ce whois sont cité un grand nombre de fois pour suspision de hack.

Puis je tombe sur ce site:
http://code.google.com/p/malware-lu/wiki/en_xtreme_RAT



Ensuite, concernant la seconde IP vers laquelle mon svchost envoie des ip, et bien c'est une ip de chez SFR.


$ whois 93.21.*.*
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '93.21.0.0 - 93.21.255.255'

inetnum: 93.21.0.0 - 93.21.255.255
netname: N9UF-DYN-DSL
descr: Dynamic pools
remarks: ***********************************
remarks: * Abuse e-mail: abuse@gaoland.net *
remarks: ***********************************
country: FR
admin-c: LD699-RIPE
tech-c: LDC76-RIPE
status: ASSIGNED PA
mnt-by: LDCOM-MNT
source: RIPE # Filtered

role: LDCOM Legal Contact
address: SFR
address: Immeuble Quai Ouest
address: 40-42 Quai du point du jour
address: 92659 Boulogne Billancourt
address: France
phone: +33 1 70 18 52 00
admin-c: LD699-RIPE
tech-c: LDC76-RIPE
nic-hdl: LD699-RIPE
abuse-mailbox: abuse@gaoland.net
mnt-by: LDCOM-MNT
source: RIPE # Filtered

role: LDCOM Networks Tech Contact
address: SFR
address: Immeuble Quai Ouest
address: 40-42 Quai du point du jour
address: 92659 Boulogne Billancourt
address: France
phone: +33 1 70 18 52 00
admin-c: LD699-RIPE
admin-c: LM5867-RIPE
tech-c: LDC76-RIPE
tech-c: DG1056-RIPE
nic-hdl: LDC76-RIPE
abuse-mailbox: abuse@gaoland.net
mnt-by: LDCOM-MNT
source: RIPE # Filtered

% Information related to '93.0.0.0/11AS15557'

route: 93.0.0.0/11
descr: LDCOM-NET
origin: AS15557
mnt-by: LDCOM-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.55 (WHOIS2)



Je n'ai rien trouvé du tout sur google concernant cette ip, juste que le routeur se trouve à Saisseval, près d'Amiens.


Mais le truc très étrange, c'est qu'après avoir fait toutes ces recherches, je n'ai plus jamais vu mon svchost envoyer des données vers ces ip.. Comme si le (ou les) mec avait vu mes recherches et avait senti le danger.

Bref, que pensez-vous de tout ça ?

Pour la première IP je ne peux rien faire, ça ne se trouve pas en France, mais pour la deuxième, j'envisageais d'aller à la gendarmerie, mais encore faudrait-il que je sois sur qu'il s'agit bien d'un hack..


Pour terminer, et bien j'ai changé de système et j'ai conservé le disque contenant le système window en l'état.

Bref, j'espère que vous pourrez m'aider, j'ai besoin de l'avis d'experts en systèmes et réseaux.



(je n'avais pas vu le sous-forum de sécurité Windows, merci de déplacer mon topique si plus approprié qu'il soit dans cette section)

[hackoofr]

Vous pouvez exécuter ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans votre prochaine réponse

[n5Rzn1D9dC]



BIOS A_M_I_ - 6000820

Nom de l'ordinateur : A864
Fabriquant: System manufacturer
Modèle : P5E Deluxe

Microsoft® Windows Vista™ Professionnel |C:\Windows|\Device\Harddisk1\Partition1
Version 6.0.6002
Service Pack 2.0
Dossier de Windows: C:\Windows

**************Liste des Processus en cours d'exécution le 25/03/2013 à 23:17:59 sur Le PC A864 connecté en tant que Administrateur**************
********************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande =
****************************************************************************************************
Numéro PID = 484
Nom du Processus = smss.exe
Ligne de Commande = \SystemRoot\System32\smss.exe
****************************************************************************************************
Numéro PID = 552
Nom du Processus = csrss.exe
Ligne de Commande = C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
****************************************************************************************************
Numéro PID = 608
Nom du Processus = wininit.exe
Ligne de Commande = wininit.exe
****************************************************************************************************
Numéro PID = 628
Nom du Processus = csrss.exe
Ligne de Commande = C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
****************************************************************************************************
Numéro PID = 668
Nom du Processus = services.exe
Ligne de Commande = C:\Windows\system32\services.exe
****************************************************************************************************
Numéro PID = 696
Nom du Processus = lsass.exe
Ligne de Commande = C:\Windows\system32\lsass.exe
****************************************************************************************************
Numéro PID = 704
Nom du Processus = lsm.exe
Ligne de Commande = C:\Windows\system32\lsm.exe
****************************************************************************************************
Numéro PID = 812
Nom du Processus = winlogon.exe
Ligne de Commande = winlogon.exe
****************************************************************************************************
Numéro PID = 888
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k DcomLaunch
****************************************************************************************************
Numéro PID = 932
Nom du Processus = nvvsvc.exe
Ligne de Commande = C:\Windows\system32\nvvsvc.exe
****************************************************************************************************
Numéro PID = 960
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k rpcss
****************************************************************************************************
Numéro PID = 1020
Nom du Processus = cmdagent.exe
Ligne de Commande = "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe"
****************************************************************************************************
Numéro PID = 280
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k NetworkService
****************************************************************************************************
Numéro PID = 336
Nom du Processus = MsMpEng.exe
Ligne de Commande = "C:\Program Files\Microsoft Security Client\MsMpEng.exe"
****************************************************************************************************
Numéro PID = 416
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k secsvcs
****************************************************************************************************
Numéro PID = 556
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
****************************************************************************************************
Numéro PID = 1028
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
****************************************************************************************************
Numéro PID = 1040
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k netsvcs
****************************************************************************************************
Numéro PID = 1276
Nom du Processus = audiodg.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1316
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k GPSvcGroup
****************************************************************************************************
Numéro PID = 1336
Nom du Processus = SLsvc.exe
Ligne de Commande = C:\Windows\system32\SLsvc.exe
****************************************************************************************************
Numéro PID = 1604
Nom du Processus = nvxdsync.exe
Ligne de Commande = "C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe"
****************************************************************************************************
Numéro PID = 1612
Nom du Processus = nvvsvc.exe
Ligne de Commande = C:\Windows\system32\nvvsvc.exe -session -first
****************************************************************************************************
Numéro PID = 1652
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalService
****************************************************************************************************
Numéro PID = 1928
Nom du Processus = spoolsv.exe
Ligne de Commande = C:\Windows\System32\spoolsv.exe
****************************************************************************************************
Numéro PID = 2016
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
****************************************************************************************************
Numéro PID = 1104
Nom du Processus = taskeng.exe
Ligne de Commande = taskeng.exe {4EB993A2-9783-4EA4-BD2D-4EE254860E17}
****************************************************************************************************
Numéro PID = 2180
Nom du Processus = taskeng.exe
Ligne de Commande = taskeng.exe {E6B47A51-A50A-4571-A447-4EAECEFEDEE4}
****************************************************************************************************
Numéro PID = 2188
Nom du Processus = dwm.exe
Ligne de Commande = "C:\Windows\system32\Dwm.exe"
****************************************************************************************************
Numéro PID = 2228
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\Explorer.EXE
****************************************************************************************************
Numéro PID = 2496
Nom du Processus = aaCenter.exe
Ligne de Commande = "C:\Program Files (x86)\ASUS\AASP\1.00.61\aaCenter.exe"
****************************************************************************************************
Numéro PID = 2508
Nom du Processus = wmdc.exe
Ligne de Commande = "C:\Windows\WindowsMobile\wmdc.exe"
****************************************************************************************************
Numéro PID = 2516
Nom du Processus = armsvc.exe
Ligne de Commande = "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe"
****************************************************************************************************
Numéro PID = 2524
Nom du Processus = rundll32.exe
Ligne de Commande = "C:\Windows\System32\rundll32.exe" P0620Pin.dll,RunDLL32EP 513
****************************************************************************************************
Numéro PID = 2548
Nom du Processus = msseces.exe
Ligne de Commande = "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
****************************************************************************************************
Numéro PID = 2564
Nom du Processus = AEADISRV.EXE
Ligne de Commande = C:\Windows\system32\AEADISRV.EXE
****************************************************************************************************
Numéro PID = 2572
Nom du Processus = cfp.exe
Ligne de Commande = "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
****************************************************************************************************
Numéro PID = 2612
Nom du Processus = AppleMobileDeviceService.exe
Ligne de Commande = "C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe"
****************************************************************************************************
Numéro PID = 2620
Nom du Processus = KiesPDLR.exe
Ligne de Commande = "C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe"
****************************************************************************************************
Numéro PID = 2676
Nom du Processus = mDNSResponder.exe
Ligne de Commande = "C:\Program Files\Bonjour\mDNSResponder.exe"
****************************************************************************************************
Numéro PID = 2696
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k bthsvcs
****************************************************************************************************
Numéro PID = 2716
Nom du Processus = btwdins.exe
Ligne de Commande = "C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe"
****************************************************************************************************
Numéro PID = 2748
Nom du Processus = SoundTray.exe
Ligne de Commande = "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
****************************************************************************************************
Numéro PID = 2940
Nom du Processus = nvtray.exe
Ligne de Commande = "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
****************************************************************************************************
Numéro PID = 2952
Nom du Processus = dragon_updater.exe
Ligne de Commande = "C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe"
****************************************************************************************************
Numéro PID = 3016
Nom du Processus = smax4pnp.exe
Ligne de Commande = "C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe"
****************************************************************************************************
Numéro PID = 2584
Nom du Processus = EZSERVICE64.exe
Ligne de Commande = "C:\Program Files (x86)\ASUS\EZVCR\EZSERVICE64.exe"
****************************************************************************************************
Numéro PID = 2904
Nom du Processus = LVPrcSrv.exe
Ligne de Commande = "C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe"
****************************************************************************************************
Numéro PID = 1416
Nom du Processus = LVPrS64H.exe
Ligne de Commande = "C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe" -Embedding
****************************************************************************************************
Numéro PID = 1996
Nom du Processus = NBService.exe
Ligne de Commande = "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe"
****************************************************************************************************
Numéro PID = 2092
Nom du Processus = nTuneService.exe
Ligne de Commande = "C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe" /StartService
****************************************************************************************************
Numéro PID = 2176
Nom du Processus = IoctlSvc.exe
Ligne de Commande = C:\Windows\SysWOW64\IoctlSvc.exe
****************************************************************************************************
Numéro PID = 2060
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
****************************************************************************************************
Numéro PID = 2140
Nom du Processus = SeaPort.exe
Ligne de Commande = "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe"
****************************************************************************************************
Numéro PID = 492
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k imgsvc
****************************************************************************************************
Numéro PID = 2236
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k WerSvcGroup
****************************************************************************************************
Numéro PID = 3120
Nom du Processus = WLIDSVC.EXE
Ligne de Commande = "C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE"
****************************************************************************************************
Numéro PID = 3196
Nom du Processus = SearchIndexer.exe
Ligne de Commande = C:\Windows\system32\SearchIndexer.exe /Embedding
****************************************************************************************************
Numéro PID = 3256
Nom du Processus = nTuneCmd.exe
Ligne de Commande = "C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe" gpureading
****************************************************************************************************
Numéro PID = 3276
Nom du Processus = WLIDSVCM.EXE
Ligne de Commande = WLIDSvcM.exe 3120
****************************************************************************************************
Numéro PID = 3344
Nom du Processus = Agent.exe
Ligne de Commande = "C:\Program Files (x86)\ASUS\EZVCR\Agent.exe"
****************************************************************************************************
Numéro PID = 3424
Nom du Processus = ASUS_IRAppl.exe
Ligne de Commande = ASUS_IRAppl.exe
****************************************************************************************************
Numéro PID = 4056
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k WindowsMobile
****************************************************************************************************
Numéro PID = 1492
Nom du Processus = GoogleUpdate.exe
Ligne de Commande = C:\Users\Administrateur\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
****************************************************************************************************
Numéro PID = 3684
Nom du Processus = GoogleUpdate.exe
Ligne de Commande = "C:\Users\Administrateur\AppData\Local\Google\Update\GoogleUpdate.exe" -Embedding
****************************************************************************************************
Numéro PID = 3704
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
****************************************************************************************************
Numéro PID = 1124
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\ListProcessCmdLine.vbs"
****************************************************************************************************
Numéro PID = 4100
Nom du Processus = GoogleUpdate.exe
Ligne de Commande = "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc
****************************************************************************************************
Numéro PID = 4144
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = C:\Windows\system32\wbem\wmiprvse.exe
****************************************************************************************************
Il y a 71 Processus en cours d'exécution le 25/03/2013 à 23:17:59 sur Le PC A864 connecté en tant que Administrateur

************************************************** Les éléments à démarrage automatique ****************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
Utilisateur: AUTORITE NT\SERVICE LOCAL
****************************************************************************************************
Nom: WindowsWelcomeCenter
Description: WindowsWelcomeCenter
Emplacement: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: rundll32.exe oobefldr.dll,ShowWelcomeCenter
Utilisateur: AUTORITE NT\SERVICE LOCAL
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
Utilisateur: AUTORITE NT\SERVICE RÉSEAU
****************************************************************************************************
Nom: WindowsWelcomeCenter
Description: WindowsWelcomeCenter
Emplacement: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: rundll32.exe oobefldr.dll,ShowWelcomeCenter
Utilisateur: AUTORITE NT\SERVICE RÉSEAU
****************************************************************************************************
Nom: AdobeBridge
Description: AdobeBridge
Emplacement: HKU\S-1-5-21-3924753540-745629162-2296394609-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande:
Utilisateur: A864\Administrateur
****************************************************************************************************
Nom:
Description:
Emplacement: HKU\S-1-5-21-3924753540-745629162-2296394609-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
Utilisateur: A864\Administrateur
****************************************************************************************************
Nom: Google Update
Description: Google Update
Emplacement: HKU\S-1-5-21-3924753540-745629162-2296394609-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\Administrateur\AppData\Local\Google\Update\GoogleUpdate.exe" /c
Utilisateur: A864\Administrateur
****************************************************************************************************
Nom: Windows Mobile Device Center
Description: Windows Mobile Device Center
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %windir%\WindowsMobile\wmdc.exe
Utilisateur: Public
****************************************************************************************************
Nom: PD0620 STISvc
Description: PD0620 STISvc
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
Utilisateur: Public
****************************************************************************************************
Nom: Windows Mobile-based device management
Description: Windows Mobile-based device management
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %windir%\WindowsMobile\wmdSync.exe
Utilisateur: Public
****************************************************************************************************
Nom: MSC
Description: MSC
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
Utilisateur: Public
****************************************************************************************************
Nom: COMODO Internet Security
Description: COMODO Internet Security
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
Utilisateur: Public
****************************************************************************************************