Sujet Précédent Sujet Suivant

Comment fermer Ping, SSH et SMTP ?

Résolu/Fermé
nestor - 16 févr. 2006 à 09:39
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 11 mars 2006 à 12:26
Bonjour,

J'utilise ZA pro et jusque là tout allait bien. Cependant, au dernier test de vulnérabilité chez Symentec, je trouve Ping, SSH et SMTP ouverts. Pourriez-vous me dire comment fermer tout ça. Serais-je victime d'un méchant troyen ? Spybot n'a rien trouvé à part des cookies traceurs que j'ai virés. J'ai repris d'anciens paramètres de ZA que j'avais sauvegardés et qui correspondaient à un test correct mais j'ai toujours ping et SSH d'ouverts...
Je vous joins mon Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 09:34:55, on 16/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\j2re1.4.2_10\bin\jusched.exe
C:\WINDOWS\SOINTGR.EXE
C:\Program Files\OutClock\OutClock.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SimpleComm\ngssc.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\K-Meleon\loader.exe
C:\Program Files\K-Meleon\k-meleon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
F:\applications\hidjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://mozfr.mozdev.org/start/1.7/"); (C:\Documents and Settings\Franck\Application Data\Mozilla\Profiles\default\0bu5p83x.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Franck\Application Data\Mozilla\Profiles\default\0bu5p83x.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_10\bin\jusched.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Outclock] C:\Program Files\OutClock\OutClock.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SimpleComm] "C:\Program Files\SimpleComm\ngssc.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Démarrage d'Office.lnk.disabled
O4 - Startup: K-Meleon Loader.lnk.disabled
O4 - Startup: Préchargeur K-Meleon.lnk = C:\Program Files\K-Meleon\loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Advanced Email Extractor - res://C:\Program%20Files\Advanced%20Email%20Extractor\AeeMsie.dll/page.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Scan link with AEE - res://C:\Program%20Files\Advanced%20Email%20Extractor\AeeMsie.dll/link.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://C:\Program%20Files\Advanced%20Email%20Extractor\AeeMsie.dll/page.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://C:\Program%20Files\Advanced%20Email%20Extractor\AeeMsie.dll/page.html (file missing) (HKCU)
O15 - Trusted Zone: http://access.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://aim.aol.fr
O15 - Trusted Zone: http://www.flashkod.com
O15 - Trusted Zone: http://garitat.free.fr
O15 - Trusted Zone: http://www.icq.com
O15 - Trusted Zone: http://messenger.msn.com
O15 - Trusted Zone: http://ecatalogue.picard.fr
O15 - Trusted Zone: http://www.picard.fr
O15 - Trusted Zone: http://www.radiofrance.fr
O15 - Trusted Zone: http://www.referencement-2000.com
O15 - Trusted Zone: http://www.renault4cv.com
O15 - Trusted Zone: http://www.skype.com
O15 - Trusted Zone: http://www.softpedia.com
O15 - Trusted Zone: http://security.symantec.com
O15 - Trusted Zone: http://w2.syronex.com
O15 - Trusted Zone: http://housecall.trendmicro.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCE60604-2AC6-46BD-A9AD-D76E16CDDD19}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci d'avance.
A voir également:

8 réponses

Réponse 1 / 8
boss0211 Messages postés 264 Date d'inscription lundi 13 février 2006 Statut Membre Dernière intervention 9 septembre 2007 8
20 févr. 2006 à 00:23
pour ton log:
http://hijackthis.de/index.php?langselect=french
0
Réponse 2 / 8
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
20 févr. 2006 à 00:28
arrete de mettre cette adresse a tort et a travers
il faut quand meme verifier se qu il dit

ont te la dit des dizaines de fois cela suffit
0
nestor
22 févr. 2006 à 00:09
Ouf, Balltrap est là, ça devrait aller...

Tu fais bien de rappeler que l'url mentionnée plus tôt n'est pas une solution. Ce truc n'est pas fiable, j'ai lu ça plusieurs fois dans des forums : ça devrait être connu, à moins qu'ils aient revu leur interpréteur, mais j'en doute.

Cette question de ports ouverts me chagrine vraiment. Je n'aime pas ça, bien que je ne soit pas réellement intéressant pour un pirate : je n'ai pas grand chose à cacher... mais tout de même, la correspondance perso, les photos de famille, ça doit rester perso.

J'espère que tu vas pouvoir m'aider, même si ça doit prendre du temps.

Merci et A+
0
Réponse 3 / 8
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 févr. 2006 à 00:24
salut
peut tu faire analyser se fichier
C:\Program Files\SimpleComm\ngssc.exe
ici
23 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html
clik sur parcourir localise le fichier et clik sur send attend le rapport
et donne nous le
-----------------------
0
Réponse 4 / 8
nestor
22 févr. 2006 à 20:37
Merci Balltrap,

Il s'agit d'un logiciel de messagerie interne de poste à poste très pratique, mais je lui ai bloqué l'internet pour éviter qu'il envoie n'importe quoi à je ne sais qui...

Bon j'ai fait l'analyse et aucun virus trouvé :

AntiVir 6.33.1.50 02.22.2006 no virus found
Avast 4.6.695.0 02.20.2006 no virus found
AVG 718 02.22.2006 no virus found
Avira 6.33.1.50 02.21.2006 no virus found
BitDefender 7.2 02.22.2006 no virus found
CAT-QuickHeal 8.00 02.16.2006 no virus found
ClamAV devel-20060126 02.21.2006 no virus found
DrWeb 4.33 02.22.2006 no virus found
eTrust-InoculateIT 23.71.83 02.21.2006 no virus found
eTrust-Vet 12.4.2091 02.22.2006 no virus found
Ewido 3.5 02.22.2006 no virus found
Fortinet 2.69.0.0 02.22.2006 no virus found
F-Prot 3.16c 02.19.2006 no virus found
Ikarus 0.2.59.0 02.22.2006 no virus found
Kaspersky 4.0.2.24 02.22.2006 no virus found
McAfee 4703 02.22.2006 no virus found
NOD32v2 1.1415 02.21.2006 no virus found
Norman 5.70.10 02.22.2006 no virus found
Panda 9.0.0.4 02.22.2006 no virus found
Sophos 4.02.0 02.22.2006 no virus found
Symantec 8.0 02.22.2006 no virus found
TheHacker 5.9.4.101 02.22.2006 no virus found
UNA 1.83 02.22.2006 no virus found
VBA32 3.10.5 02.22.2006 no virus found

Tu vois autre chose ?

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 févr. 2006 à 01:04
je pense que tu devrait configurer ton pare feu pour pratiquement tous interdire sauf la connection et refaire le test
et ensuite autoriser un a un et faire le test a chaque fois
0
Réponse 6 / 8
nestor
25 févr. 2006 à 15:19
En fait j'ai repris les paramètres qui donnaient satisfaction il y a un mois (je les avait sauvegardés car tout était masqué ou bloqué) mais malheureusement, ils ne donnent plus les mêmes résultats... Etrange. Mon ZoneAlarm serait-il défectueux ?
J'ai commencé à interdir la plupart des programmes mais je n'ai pas encore tout bloqué par manque de temps. Je vais le faire et te tiendrai au courant.
A+
0
Réponse 7 / 8
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 févr. 2006 à 19:25
oki
a
--++
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
nestor
11 mars 2006 à 11:17
Salut balltrap,

J'ai résolu mon pb :

- J'ai enlevé le proxy de free dans les parmamètres de connexion d'IE et tout est ok. Cette connexion devais ouvrir une sorte de tunnel dépourvu de barrière un anti VPN en quelque sorte...

- J'ai remplacé cette valeur par le proxy Avast (localhost:12080)

Le test symentes ne fonctionne que sous IE...

Merci et A+
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331 > nestor
11 mars 2006 à 12:26
salut
et merci d avoir mis ta soluce cela pourrat en aider d autres
a++
0
Réponse 8 / 8
nestor
3 mars 2006 à 09:28
Bonjour Balltrap,

J'ai fait plusieurs manips :

1. tout bloqué avec ZA : résultat ping masqué et ssh ouvert, le reste fermé.

2. tout effacé les règles de ZA : RAZ total, résultat idem.

3. Décoché le démarrage automatique de ZA puis arrêt machine et redémarrage sans aucun pare feu : résultat idem !

4. activé pare feu XP : résultat idem !

Avec ou sans pare feu résultat idem !!!

Soit Symentec tape dans les gamelles, soit j'ai chopé un méchant troyen...

Spybot ne trouve rien à part des cookies traceurs que j'élimine régulièrement. Je vais essayer A² free. Je ne vois rien d'anormal dans les processus et les services.

Tout cela commence à m'inquiéter...

Je devrais peut-être faire des tests ailleurs....

Qu'en penses-tu ?
0

Discussions similaires

ping quel port ?
michel -
Géca -

28 réponses
Ping sur URL
ambah -
rgass -

5 réponses
ping = défaillance générale ???
Lien 01 -
Kev -

34 réponses
Ping bloqué : quel port ouvrir ?
zollen777 -
giomjon -

12 réponses
Mettre un port sur la commande ping.
Vautere -
Vautere -

3 réponses