connexion bizares avec ATMAXMON et DDEDENRL

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

connexion bizares avec ATMAXMON et DDEDENRL

Messagepar samizdat » 13 Déc 2005 17:39

Bonjour,
Je suis sous WIN 2000Pro pack4 avec toutes les mises à jours possibles des tous mes programmes...
Mon firewall Norton me détecte deux connexions bizares
la première :
ATMAXMON.EXE et me disant que c'est un programme situé dans WINNT/System32... et cet exécutable n'y est pas

la deuxième:
DDEDENRL.EXE qu'il me situe dans Program Files/INTTIONS il n'y est pas non plus et de plus ce sous répertoire de figure pas dans mon program files

j'ai rendu visibles tous les fichiers et dossiers cachés ainsi que les répertoires et fichiers système
J'ai scanné avec spybot et adware (mis à jour) et les antivirus en ligne de chez secuser, panda, kasprisky et norton.
j'ai fait un scan avec HijackThis (en français) rien d'anormal.

Bien sur par précaution, j'ai bloqué ces programmes signalés comme dangereux.
si je les supprme de mes paramètres de configuration du firewal, ils refont dans les cinq minutes une nouvelle tentative de connexion.

Ma question est la suivante :

c'est quoi ces bestioles ? :twisted:
est-ce des programmes indispensables au fonctionnement de ma bécane (alors pourquoi je ne les trouve pas dans mon explorer ?)ou des intrusions.
Les IP attachés à ces programmes ne répondent pas au ping de Whos-IP et sont sans adresse de FAI

Merci de votre aide :D
"La liberté n'est pas de faire ce que l'on veut, mais de vouloir ce que l'on fait" Bossuet
Avatar de l’utilisateur
samizdat
Matelot
Matelot
 
Messages: 6
Inscrit le: 13 Déc 2005 17:34

Messagepar S0l0 » 13 Déc 2005 18:24

au lieu de hija('çè(çà Machin utilise process explorer quand le(s) process apparait clic droit et il te propose une recherche google tu y clic et t'est plus sure de sa provenance??
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar samizdat » 13 Déc 2005 19:56

ça donne rien de spécial avec process explorer

les fichiers ne sont pas répertoriés sur google..


voici le log de process

***************************
Process PID CPU Description Company Name
System Idle Process 0 95.31
Interrupts n/a Hardware Interrupts
DPCs n/a 1.56 Deferred Procedure Calls
System 8
SMSS.EXE 160 Windows NT Session Manager Microsoft Corporation
CSRSS.EXE 188 Client Server Runtime Process Microsoft Corporation
WINLOGON.EXE 208 Application d'ouverture de session Windows NT Microsoft Corporation
SERVICES.EXE 236 Applications Services et Contrôleur Microsoft Corporation
ati2evxx.exe 360 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 440 Generic Host Process for Win32 Services Microsoft Corporation
NSMdtr.exe 3212 Norton Internet Security Mediator Symantec Corporation
spoolsv.exe 468 Spooler SubSystem App Microsoft Corporation
CNAC3RPK.EXE 2152 Canon Advanced Printing Technology RPC Server Process CANON INC.
ccProxy.exe 508 Symantec Network Proxy Service Symantec Corporation
CCSETMGR.EXE 520 Symantec Settings Manager Service Symantec Corporation
svchost.exe 536 Generic Host Process for Win32 Services Microsoft Corporation
ISSVC.exe 560 IS Service Symantec Corporation
mdm.exe 592 Machine Debug Manager Microsoft Corporation
NAVAPSVC.EXE 608 Norton AntiVirus Auto-Protect Service Symantec Corporation
regsvc.exe 652 Remote Registry Service Microsoft Corporation
mstask.exe 716 Moteur du Planificateur de tâches Microsoft Corporation
SNDSrvc.exe 736 Network Driver Service Symantec Corporation
SPBBCSvc.exe 808 SPBBC Service Symantec Corporation
stisvc.exe 836 1.56 Moniteur de périphériques d'images fixes Microsoft Corporation
symlcsvc.exe 892 Symantec Core Component Symantec Corporation
WinMgmt.exe 916 Infrastructure de gestion Windows Microsoft Corporation
svchost.exe 952 Generic Host Process for Win32 Services Microsoft Corporation
CCEVTMGR.EXE 964 Symantec Event Manager Service Symantec Corporation
LSASS.EXE 248 Exécutable LSA et DLL serveur (version d'exportation) Microsoft Corporation
ati2evxx.exe 1360 ATI External Event Utility EXE Module ATI Technologies Inc.
explorer.exe 1384 Explorateur Windows Microsoft Corporation
CCAPP.EXE 1472 Symantec User Session Symantec Corporation
DevDetect.exe 1528 1.56 Device Detector ACD Systems, Ltd.
SOUNDMAN.EXE 1532 Realtek Sound Manager Realtek Semiconductor Corp.
CTFMON.EXE 1572 Cicero Loader Microsoft Corporation
ATnotes.exe 1588 Creates notes on the Windows desktop. Thomas Ascher
NetTransport.ex 1628 Net Transport Download Manager Xi
msnmsgr.exe 1420 MSN Messenger Microsoft Corporation
IEXPLORE.EXE 1828 Internet Explorer Microsoft Corporation
IEXPLORE.EXE 3008 Internet Explorer Microsoft Corporation
MSIMN.EXE 3220 Outlook Express Microsoft Corporation
procexp.exe 1452 Sysinternals Process Explorer Sysinternals
"La liberté n'est pas de faire ce que l'on veut, mais de vouloir ce que l'on fait" Bossuet
Avatar de l’utilisateur
samizdat
Matelot
Matelot
 
Messages: 6
Inscrit le: 13 Déc 2005 17:34

Messagepar S0l0 » 14 Déc 2005 17:16

Apparement tout semble normale :?: :?: :? a tout hazard essayer rootkit revealer pour etre sure que c'est pas mechant...deux precotion valent mieux qu'une
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar samizdat » 14 Déc 2005 22:53

j'ai trouvé l'origine du problème, j''explique la genèse :

1- c'est mon firewall qui me signalé une connexion classé à risque de Winnt/system32/ATMAXMON.EXE et Program files/inttions/DDEDENRL.EXE
2- ces fichiers étaient invisibles dans mon explorer ainsi que le sous-répertoire "inttions"
2- hijacthis et process explorer n'ont rien détecté
3- aucune détection avec les scan des AV en ligne et les les antispyware
4- dans mode sans echec, les fichiers et le sous répertoires sont devenus visibles.
5- J'ai fait un copier coller sur une clef USB des 80Mo trouvés et je les ai effacé de mon DD
6- depuis ma clefs USB je vais de surprise en surprise, il y avait toute mon activité informatique, mes URL, mes fichiers ouverts etc... 2500 fichiers archives.
Heureusement que mon firewall a bloqué l'activité...

soit c'est une infiltration de la police, soit un hacker...
pourquoi ?

En tout cas je conseille à tout le monde d'aller voir avec mode sans echec si un sous répertoire Program Files/inttions existe et de supprimer tout de ce qu'il y a dedans...

Je vais aller porter plainte à la police avec les fichiers.... intrusion caractérisée (sans les archives bien sur )
"La liberté n'est pas de faire ce que l'on veut, mais de vouloir ce que l'on fait" Bossuet
Avatar de l’utilisateur
samizdat
Matelot
Matelot
 
Messages: 6
Inscrit le: 13 Déc 2005 17:34


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron