Attack

[invite60ffc4e9]

Bonjour,
J'ai subi hier une attack violente de mon poste informatique, je ne sais si c'est un simple virus ou quelqu'un qui prenait la main à distance, toujours est il que cela donnait l'impression que quelqu'un travaillait sur mon poste à distance et rechercher des infos sur mon disque dur.
J'ai suivi tous vos conseils (merci à celui qui m'a recommandé votre site) et vous envoie donc en piece jointe les rapports obtenus.
Merci par avance de me dire si quelque chose a été endommagé. s'agit il seulement d'une utilisation de mon matériel pour diffuser des spams ou qulqu'un a t il voulu chercher des infos plus precises du type confidentielles.
Je vous remercie de l'attention que vous voudrez bien porter à mon message.
Escargot
-----

[invitebf5cd8b2]

Bonsoir escargot,

Tes rapports ne montre rien de méchant. Nous allons voir au niveau des connexions :

- Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 2
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

Poste moi le rapport de diaghelp en pièces jointes je te prie...

Bonne soirée
Cyrrus

[invite60ffc4e9]

Bonsoir,
Vous trouverez en piece jointe le resultat dud DIAGHELP.
J'ai recherché dans mes favoris des traces de la page internet qui s'ouvrait en demarrage hier (et qui n'est pas la mienne) mais il semblerait qu'en utilisant le CCleaner, j'ai supprimé tous les favoris antérieurs à ce matin.
J'en suis navrée.
Espérant que ce rapport vous eclairera.
Merci et bon dimanche

Escargot

[invitebf5cd8b2]

Bonsoir escargot,

Pas grave pour le favori

Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\Program Files\HP\e-DiagTools\edtsrv.exe
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan dans un fichier texte, puis poste le en pièces jointes.

Je dois avouer que les cas comme le tiens sont rares, nous allons neanmoins tout faire pour t'aider.

Cyrrus

[A voir en vidéo sur Futura]

[invite60ffc4e9]

voila c'est chose faite, à priori rien n'a été detecté.
Merci
Escargot

[invitebf5cd8b2]

Bonjour escargot,

Le fichier est sain..je serais tenté de dire dommage !

On va regarder du coté des fichiers cachés :

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

Poste le log de Blacklight en pièces jointes.

Bon Dimanche
Cyrrus

[invite597d4991]

Hello,
Je peux essayer de te dire si ton système est vulnérable à une attaque manuelle, si tu veux bien répondre à ces questions; désolé si c'est un peu lourd...

Qu'en est il des éléments suivants:

-Relativement à une attaque directe:
*Ton addresse IP est elle fixe? T'es tu déjà attribué une DNS?
*Possèdes tu un routeur? Si oui quel modèle? Quel genre de mesures de protections sont en vigueur sur celui ci? Quelles sont les règles de "port forwarding" sur celui ci?
*Y a t-il un firewall software activé sur ton ordinateur? Si oui quelles sont les règles de filtrage des connections "entrantes"?
*Y a t-il eu des évènements suspects avant le 19 novembre?
*As tu patché ton système depuis le 19 novembre?
*Quels autres démons tournent par défaut sur ton système?

-Relativement à une attaque indirecte:
*Quel est ton navigateur par défaut?
*A quand remonte le dernier patch de celui ci?
*Quels types de fichiers as tu téléchargé dans le dernier mois? Avec quelles applications ont ils été ouverts? Ces applications étaient-elles à jour?
*Quels sont tes clients par défaut de messagerie? Sont ils à jour?
*Quels sont les règles de filtrage sortant de ton éventuel firewall software?

-Renseignements globaux:
*Quel est la version précise de ton windows (nom+service pack)?
*De quand date la dernière mise à jour du système?
*Les clés de registre permettant le lancement de programme au démarrage (liste non exaustive ici)
sont elles en ordre?
* Evidemment, si il y a quelqu'un initié à ce genre de pratiques dans ton entourage, ou bien des informations qui valent le coup d'être volées sur ton disque dur... Enfin à toi de voir par qui et pourquoi.

Voilà, c'est tout ce qui me vient à l'esprit pour le moment. Evidemment si tout ou une partie des ces informations te semblent relever du privé, ou te semblent difficilement accessibles, libre à toi de répondre partiellement par MP ou bien de ne pas répondre du tout.

Si attaque il y a eu, c'est bien qu'il y a une faille quelque part...
++

[invite597d4991]

PS: si une telle attaque venait à se reproduire, tu pourrais taper par exemple : "netstat" dans "executer commande".

Il serait aussi intéressant de faire un tour du côté de l'analyse de traffic avec wireshark.

Tu peux également scanner ta propre machine à la recherche d'une backdoor avec nmap.

Enfin tu peux détecter automatiquement certaines failles avec nessus.

Ces outils sont plus orientés "piratage manuel", ils ont sûrement des chances de donner des résultats.

[invite60ffc4e9]

bonsoir,
désolée d'avoir tardé à répondre.
voici le fichier en piece jointe comme vous me l'avez demandé, il semble que rien ne soit détecté.
bonsoir