suite à un pirate, j'essaye d'en finir avec ces soucis

Tous les problèmes de Windows : message d'erreur, BSOD et écran bleu, erreur Windows Update ou d'installation, etc

Modérateur : Mods Windows

Avatar de l’utilisateur
GuillaumeAragon
Messages : 3
Inscription : 08 mai 2020 21:25

suite à un pirate, j'essaye d'en finir avec ces soucis

par GuillaumeAragon »

Bonsoir,
j'ai une question vis à vis de l'application eventviewer.

je beaucoup d'audit de logon, special logon dans mes logs entre toutes les 2 à 5 mins et ca m'inquiète car j'ai été piraté. pouvez vous m'informer si cela est normal ou non s'il vous plait.
Image

cordialement merci
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 110341
Inscription : 10 sept. 2005 13:57

Re: suite à un pirate, j'essaye d'en finir avec ces soucis

par Malekal_morte »

Salut,

Je pense que des applications peuvent générer cela.
Donc non ça ne veut rien dire.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
GuillaumeAragon
Messages : 3
Inscription : 08 mai 2020 21:25

Re: suite à un pirate, j'essaye d'en finir avec ces soucis

par GuillaumeAragon »

merci pour la réponse. ou puis je avoir plus d'informations sur comment interpréter les logs de event viewer et savoir quel programme cause cela s'il vous plait ?
Avatar de l’utilisateur
Parisien_entraide
Messages : 10372
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: suite à un pirate, j'essaye d'en finir avec ces soucis

par Parisien_entraide »

Bonjour,

Si tu as des doutes d'une possible infection fais une analyse FRST, mais il faut savoir le journal des évènements présente une faiblesse importante: elle ne montrera jamais les attaques faites avec des outils Windows légitimes intégrés.

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

__________________________________

Sinon il y a un lien avec l'audit des événements, qui sont activés par défaut, par catégories par Windows, que tu peux retrouver via l'éditeur de stratégie locale https://www.malekal.com/comment-activer ... windows10/

Néanmoins tout ne peut pas être neutralisé et dans le journal de sécurité des événements, c'est la foire et cela se remplit vite

Tu peux avoir un aperçu avec auditpol (qui permet d'en ajouter ou supprimer)

Comment-activer-les-strategies-audit-systeme-de-windows-10-11/


Perso j'ai un événement 5156 en Catégorie : Connexion de la plateforme de filtrage que je peux "normalement" neutraliser avec la commande :

auditpol /set /Subcategory:”Connexion de la plateforme de filtrage” /success:disable /failure:enable

seulement la commande ne fonctionne pas, que ce soit avec ou sans le GUID

auditpol /set /Subcategory:”{0CCE9226-69AE-11D9-BED3-505054503030}” /success:disable /failure:enable

L'outil est reconnu Je n'ai pas d'erreur de syntaxe car les commandes

auditpol /get /category:"Suivi détaillé" et d'autres fonctionnent.

seulement l'erreur que j'ai : "0x00000057" indique une erreur de syntaxe (faut que je prenne le temps de m'y pencher) et c'est lié à la commande auditpol /get


A noter et ce que la KB2573113 explique :

AuditPol appelle directement les API d'autorisation pour implémenter les modifications de la stratégie d'audit granulaire.

Secpol.msc manipule l'objet de stratégie de groupe locale, ce qui entraîne l'écriture des modifications dans system32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv.

Les paramètres enregistrés dans le fichier .csv ne sont pas appliqués directement au système au moment de la modification, mais sont plutôt écrits dans le fichier et lus ultérieurement par l'extension côté client (CSE).

Au cycle d'actualisation de stratégie de groupe suivant, le CSE applique les modifications présentes dans le fichier .csv. Secpol.msc affiche ce qui est défini dans le GPO local.
Il n'y a pas de vue «paramètres effectifs» dans secpol.msc qui fusionnera les paramètres granulaires d'AuditPol et ce qui est défini localement comme vu avec secpol.msc.

Mon Windows est en FR (j'ai meme essayé la commande avec les termes anglais) et je n'ai AUCUN audit d'activé, tout est effectué en mode admin etc
Juste pour dire qu'il y a des situations où cela ne fonctionne pas

Tu peux également limiter le nombre de journaux windows via le planificateur de tâches
________________

Edit : Finalement j'ai trouvé le soucis.
Lorsqu'on liste en FR il y a une majuscule, il faut donc mettre une minuscule (mais cela n'explique pas l'erreur avec le GUID)

J'ai résolu en racourcissant la commande et en mettant une minuscule
auditpol /set /subcategory:"connexion de la plateforme de filtrage" /success:disable
puis
auditpol /set /subcategory:"connexion de la plateforme de filtrage" /failure:enable

Pour ton cas si tu ne veux pas que les données apparaissent, tu suis le tuto sur auditpol et tu relèves les données indiquées par les flèches, du moins celle indiquée derrière "catégorie"
2020-05-09_111300.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
GuillaumeAragon
Messages : 3
Inscription : 08 mai 2020 21:25

Re: suite à un pirate, j'essaye d'en finir avec ces soucis

par GuillaumeAragon »

merci beaucoup, je vais regarder ca.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Windows : Résoudre les problèmes »