[Résolu] Infection suspectée ! IMPORTANTES fuite de données

[iBenny]

Bonjour aux courageux et merci d'avance de votre aide !

Je suis affligé par d'énormes fuites de données sur internet par qqe chose... d'invisible ! Ma consommation quotidienne normale ne dépasse jamais 1GO et JAMAIS je n'ai des UL (téléversements) qui dépassent mes DL (téléchargements), et récemment et j'ai des "NetLeaks" montants (ULeaks) de plusieurs GO/jours. J'ai tenté une résolution ailleurs sans succès. Vous pouvez lire le fil de cette tentative >>ICI<<.

Je suis persuadé que votre expertise en virus cachés pourra m'aider !!!

XP Pro SP3 (oui je sais; pas la peine de le mentionner...)

[angelique]

Déja pris en charge par des helpers confirmés > http://forum.security-x.fr/desinfection ... -donnee-!/

[angelique]

A ta demande par MP , .... ça fait parti de mes compétences ^^ , je dévérouille ton sujet et le déplace dans la section ou Malekal pourra en avoir connaissance.

[iBenny]

Merci beaucoup !

Pour précision, voici pourquoi je crois avoir plus de succès ici : je soupçonne être infecté par un virus/trojan invisible, cad qu'il cache son activité de la liste des processus et c'est pourquoi Security-X a été incapable de découvrir quoique ce soit car il n'a pas exploré cette avenue. Je sais qu'ici vous êtes expert à débusquer les virus/chevaux de Troie dissimulés (enfin, je suis persuadé que c'est ici que j'ai vu ça) avec Gmer et ZHP, entre autre. C'est pourquoi je veux tenter ma chance ici !

[Malekal_morte]

Salut,

Qu'est ce qui te fait dire que tu as des fuites?
Tu as quoi comme connexions suspectes sur le moniteur de ressources systèmes ou GlassWire

[iBenny]

Bonjour Malekal_morte !

(PS: XP Pro SP3-4)

j'ai toujours surveillé mon trafic internet avec NetMeter et récemment avec son successeur : Networx ! Voici ma consommation normale :



Ma consommation mensuelle dépasse rarement 45 GO/mois. Maitenant j'ai des fuites soutenues comme le monte Networx :



Les statistiques journalières illustrent bien les fuites :



Jamais je n'ai eu des UL (téléversements) dépassant le dixième de mes DL (téléchargements) ! Y a vraiment un loup dans la bergerie ici ! Ceci a débuté il y a 3-4 semaine après que j'ai regardé des émissions télé sur un site streaming particulier (ou que j'ai installé un logiciel qui m'a réellement piégé en installant une vermine ! Et je suis généralement TRÈS vigilant en installant des logiciels).

J'ai dû acheter un supplément de 150 GO chez mon FSI pour finir mon mois de mai ! et il a été consommé jusqu'au dernier Gig ! C'est la première fois !!!

[Malekal_morte]

Il faut que tu surveilles avec Glasswire/moniteur de ressources et autres ce qui sort et rentre.

[angelique]

Sur ton IP , tu as d'ouvert :

Scanning cable-192.**.*.*.electronicbox.net (192.**.*.*) [65535 ports]
Discovered open port 1025/tcp on 192.**.*.* <----- 1025/tcp open msrpc Microsoft Windows RPC
Discovered open port 80/tcp on 192.**.*.* ---- 80/tcp open http Microsoft IIS httpd 5.1
Discovered open port 443/tcp on 192.**.*.* ----- 443/tcp open https
Discovered open port 9/tcp on 192.**.*.* <----- WOL > http://fr.wikipedia.org/wiki/Wake-on-LAN -- 9/tcp open discard
Discovered open port 19/tcp on 192.**.*.* <---- https://kb.iweb.com/entries/51283308-D% ... ?locale=16
Discovered open port 12321/tcp on 192.**.*.* ----- 12321/tcp open msrpc Microsoft Windows RPC
Discovered open port 7/tcp on 192.**.*.* ----- 7 7/tcp open echo
Discovered open port 13/tcp on 192.**.*.* ----- 13/tcp open daytime Microsoft Windows International daytime
Discovered open port 17/tcp on 192.**.*.* ---- 17/tcp open qotd Windows qotd (French)






ça fait bcp je trouve !!!!!!!!!!!


ç'est normal ?

Code : Tout sélectionner

curl -i -4 -L ton_ip
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.1
Date: Sun, 07 Jun 2015 17:08:26 GMT
X-Powered-By: ASP.NET
Content-Length: 1364
Content-Type: text/html
Set-Cookie: ASPSESSIONIDSSBTASSR=LAMBFFDCJHKBOOEEIIFGDBJH; path=/
Cache-control: private



<!--
    WARNING!
    Please do not alter this file. It may be replaced if you upgrade your web server 
      If you want to use it as a template, we recommend renaming it, and modifying the new file.
    Thanks.
-->

<html>

<head>
<meta HTTP-EQUIV="Content-Type" Content="text-html; charset=Windows-1252">



<title id=titletext>en chantier</title>
</head>

  <body bgcolor=white>
  <table>
  <tr>
  <td id="tableProps" width=70 valign=top align=center>
  <img id="pagerrorImg" src="pagerror.gif" width=36 height=48>  
  <td id="tablePropsWidth" width=400>
  
  <h1 id=errortype style="font:14pt/16pt Verdana; color:#4e4e4e">
  <id id="Comment1"><!--Problem--></id><id id="errorText">en chantier</id></h1>
  <id id="Comment2"><!--Probable causes:<--></id><id id="errordesc"><font style="font:9pt/12pt Verdana; color:black">
  Le site auquel vous essayez d'acc�der ne dispose actuellement pas d'une page par d�faut. Il est peut-�tre en cours de mise � niveau ou de configuration.
  </id>
  <br><br>
  
  <hr size=1 color="blue">
  
  <br>
  <id  id=term1>
  R�essayez d'acc�der � ce site ult�rieurement. Si vous rencontrez toujours des difficult�s, essayez de contacter l'administrateur du site Web.
  </id>
  <p>
  
  </ul>
  <br>
  </td>
  </tr>
  </table>
  </body>
  


</html>

c'est toi ou pas ? t'es en IP Fixe ?

[iBenny]

Bonjour,

Désolé du retard pour répondre mais... j'ai sûrement été ... hacké !!! car, moins de 10 min après avoir posté mon dernier message, mon pc s'est subitement redémarré et quand je suis revenu sur mon bureau et sur internet, je ne pouvais plus accéder à Malekal,com sur aucuns de mes 3 SE embarqués !!! et seulement Malekal.com !!! Je suis maintenant obligé d'aller chez mon frère dans une autre ville pour vous contacter !!!

De plus, sur mon autre SE où je n'avais pas de problèmes, j'ai vu une attaque d'un hacker en direct sur des ports différents à chaque fois car KAVP3 l'a intercepté une trentaine de fois et l'a bloqué mais un moment, plus de bloquage de KAVP3 ! Le hacker avait pénétré dans mon SE !

Pourquoi en suis-je sûr ? parceque qqe minutes après, j'ai commencé à avoir des fuites de données ULeaks comme sur mon autre SE ! Malheur !

Malekal, Glasswire ne fonctionne pas sur XP Pro ! Désolé...

Angélique, tu trouves qu'il y a beaucoup de ports ouvert !? Je ne sais pas ce qui est normal ou pas concernant le domaine des ports !

Je vais être plus espacé dans mes réponses maintenant que ce forum est bloqué dans mon pc ! c'est un bloquage au niveau de mon adresse IP c'est sûr ! Mon FSI nous assigne une adresse IP semi-statique : ils changent nos adresses peut-être 2 fois par années ! Sur demande, ils devraient sûrement le faire mais, sûrement pas â tous les jours ...

[Malekal_morte]

Désolé du retard pour répondre mais... j'ai sûrement été ... hacké !!! car, moins de 10 min après avoir posté mon dernier message, mon pc s'est subitement redémarré et quand je suis revenu sur mon bureau et sur internet, je ne pouvais plus accéder à Malekal,com sur aucuns de mes 3 SE embarqués !!! et seulement Malekal.com !!! Je suis maintenant obligé d'aller chez mon frère dans une autre ville pour vous contacter !!!

Surement plutôt blacklister par le serveur, y a des protections.

Pourquoi en suis-je sûr ? parceque qqe minutes après, j'ai commencé à avoir des fuites de données ULeaks comme sur mon autre SE ! Malheur !

Tant que tu n’étableras pas où vont les données, on avancera pas.
Tu as d'autres programmes là : https://www.malekal.com/2010/11/12/la-n ... ecurite-2/

[iBenny]

Surement plutôt blacklister par le serveur, y a des protections.

[...]

Tant que tu n’étableras pas où vont les données, on avancera pas.
Tu as d'autres programmes là : https://www.malekal.com/2010/11/12/la-n ... ecurite-2/

J'ai été blacklisté par... Malekal (son serveur) ?

Merci Malekal pour la mine d'info et ressources ! Je suis de retour après avoir beaucoup étudié !

L'attaque du hacker bloqué par KAV venait de 92.135.97.66 ! J'ai fait un Whois et ai fait une plainte au département approprié chez Orange.fr !

Et... j'ai résolu le problème !!! :

c'est un DRDoS sur le port chargen 19 !

Ce qui m'a mis la puce à l'oreille a commencé par la liste des ports ouverts sur mon pc qu'Angélique la Brésilienne a notée ! Comment a-t-elle fait pour le découvrir ? J'ai des petits soupçons là-dessus ! ;-) Mais, je n'ai pas allumé de suite...

Ensuite j'ai étudié le tuto du lien de Malékal et l'histoire de ports devenait de plus en plus envahissant et c'est à ce moment qu'une lumière a jailli dans mon ciboulot ! : À chaque fois que j'étudiais le trafic avec WireShark, c'est toujours sur le port 19 que les fuites de données se faisaient :



De plus, le scan de Process Monitor donnait :



Alors, c'est en creusant un peu que j'ai découvert que chargen était le nom du port 19, et qu'il existait des attaque DRDoS sur ce port qui occasionnaient d'importantes fuites de donnée >> ICI << ! C'est alors que je suis revenu sur la liste de mes ports ouverts identifiée par Angélique et la solution du problème se trouvait là ! :

Solution :

Sur Windows, changer les clés
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableTcpChargen" = 0
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters "EnableUdpChargen" = 0

Puis Exécuter (Win+R) "cmd" et tapez :
..............................................net stop simptcp
..............................................net start simptcp

alors, mes fuites :



ont disparue :



Les seul ports qu'il me restent d'ouvert sont les 7, 9, 13, 17, 80 et 443 ! Le 80 est indispensable ! celui de l'horloge l'est aussi à mes yeux ! Les autres, je ne le sait pas !? si on les ferme (et comment), quels avantages / inconvénients cela implique-t-il ?

Finalement, j'ai dû utiliser un maquilleur d'adresse IP pour devoir revenir poster dans mon fil ici ! J'espère que m. Malekal pourrait peut-être ajuster les blacklists de son serveur pour me laisser passer ...


Merci à vous deux et à la prochaine revoyure !

[angelique]

même si je t'ai aiguillé

Discovered open port 19/tcp on 192.**.*.* <---- https://kb.iweb.com/entries/51283308-D% ... ?locale=16

tu as bien géré

Ce qui m'a mis la puce à l'oreille a commencé par la liste des ports ouverts sur mon pc qu'Angélique la Brésilienne a notée ! Comment a-t-elle fait pour le découvrir ?

Le fait d'être modo du forum me donne le privilège de voir les IP des messages postés.

et un simple nmap -p 1-65535 -T4 -A -v ton ip me retourne ce qui est ouvert chez toi

Tu passes par un proxy Protectedgroup.com Proxy en ce moment car ton IP est localisée à Miami en Floride USA .

Les seul ports qu'il me restent d'ouvert sont les 7, 9, 13, 17, 80 et 443 ! Le 80 est indispensable ! celui de l'horloge l'est aussi à mes yeux ! Les autres, je ne le sait pas !? si on les ferme (et comment), quels avantages / inconvénients cela implique-t-il ?

non pas le 80 en entrant si tu n' héberge pas sur ton PC un site Ѡeb et les autres non plus en entrant.

Tout ça doit se filtrer dans ton modem routeur de electronicbox.net du canada, c'est bien d'ou tu es ? je suis pas certaine que ton modem fasse office de parefeu /!\

ou là uninstall simple tcpip services > http://www.microsoft.com/resources/docu ... x?mfr=true

voir http://www.windowsnetworking.com/articl ... t-How.html

[iBenny]

même si je t'ai aiguillé ... tu as bien géré

Venant de vous, je suis flatté !

Votre banque émoticons, soit dit en passant, méritent d'être augmentée ! On ne peux pas s'exprimer convenablement ici ! Je vous suggère, entre autre, la banque de Kaspersky (superbe!) et de Zébulon...

Le fait d'être modo du forum me donne le privilège de voir les IP des messages postés.

C'est bien ce que j'avais pensé ! qqe chose du genre ;-)

non pas le 80 en entrant si tu n' héberge pas sur ton PC un site Ѡeb et les autres non plus en entrant.

Tout ça doit se filtrer dans ton modem routeur de electronicbox.net du canada, c'est bien d'ou tu es ? je suis pas certaine que ton modem fasse office de parefeu /!\

ou là uninstall simple tcpip services > http://www.microsoft.com/resources/docu ... x?mfr=true

Bonne géolocalisation ! Mon modem-câble est barré par le FSI (préconfiguré à l'achat) ! j'ai trois options :

1- le configurer sur le parefeu de mon AV
2- le configurer sur un routeur que je prévois installer (vieux DI-524, WIFI désavtivé)
3- appeler mon FSI pour qu'il change la config interne de modem-câble

Pour 1, je n'ai pas de site web ! je suppose que je devrais bloquer tout le trafic entrant sur le port 80 dans les règles de paquets ?

Et pour la désinstallation de simptcp, j'avais désactivé ce protocole sur ma carte réseau l'autre fois et j'avais perdu l'accès Internet !!!??? (Je ne l'avais pas enlevé dans ajout/suppression de composants Windows par contre) !

Et si je vire ça... je perds pas la synchronisation de mon horloge sur Internet ? Et qu'en est-il des fonctionnalités de Teamviewer ?

Et le 443 ? On le contraint ou pas ? si oui, comme pour le 80, ou autrement ?

Quelles restrictions de Ports se feraient mieux par le registre ?

[Malekal_morte]

Si ton PC participe à une attaque DoS, c'est qu'il est sous contrôle, donc infecté.

Tu peux faire ceci :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[iBenny]

Bonjour Malekal,

afin de bien travailler, je fais le topo de mon système :

3 XP Pro embarqués ! XPro1 (le principal), XPro2 et XPro3 sur d'autres partitions.

XPro1 : incomplètement réparé et un peu défaillant car la dernière phase de réinstallation (dernier redémarrage) est resté gelé sur l'écran noir avec logo XP. Accessible pour Internet mais tél VoIP USB non fonctionnel. Certains programmes pas entièrement fonctionnels dont VB de MSWord absent... En attende de traitement via forum en attendant la résolution des problèmes DRDoS sur SE2 et SE3.

XPro2 : l'actuel, est fonctionnel mais affecté par DRDoS. J'ai fermé le Port 19 après avoir résolu le cas dans XPro3

XPro3 : fonctionnel; affecté par DRDoS et Port 19 fermé après deux forums de résolution : Security-X et ici ! J'ai fait un FRST dans celui-ci mais avec seulement deux rapports et non trois.

Tous les trois SE partagent une quatrième partition de programmes.

Voici :

FRST
Addition
Shortcut