toujours intrusion sygate par Svchost.exe !

[real_jps]

voila je me permet de mettre mon log de sygate pour vous montrer ce que me dit mon firewall... grave, pas grave ? je sais pas comment faire pour avoir moins d'attaques... mon frere qui utilise les meme logiciels que moi n'a pas toute ces attaques continuelles... parfois 3000 par jours... qu'en est il ? Merci bcp pour l'aide apporté...

56754 05/17/2004 11:28:09 Intrusion Detection System Critical Incoming TCP 82.254.177.85 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:40:27 05/17/2004 11:40:27
56755 05/17/2004 11:28:09 Active Response Major Incoming None 82.254.177.85 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:40:27 05/17/2004 11:40:27
56756 05/17/2004 11:28:22 Active Response Disengaged Information None None 82.255.56.250 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:40:39 05/17/2004 11:40:39
56757 05/17/2004 11:28:58 Active Response Disengaged Information None None 82.254.168.95 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:41:15 05/17/2004 11:41:15
56758 05/17/2004 11:29:13 Active Response Disengaged Information None None 62.167.200.43 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:41:30 05/17/2004 11:41:30
56759 05/17/2004 11:29:19 Intrusion Detection System Critical Incoming TCP 82.254.34.13 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:41:36 05/17/2004 11:41:36
56760 05/17/2004 11:29:19 Active Response Major Incoming None 82.254.34.13 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:41:36 05/17/2004 11:41:36
56761 05/17/2004 11:30:36 Intrusion Detection System Critical Incoming TCP 82.255.101.240 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:42:54 05/17/2004 11:42:54
56762 05/17/2004 11:30:37 Active Response Major Incoming None 82.255.101.240 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:42:54 05/17/2004 11:42:54
56763 05/17/2004 11:30:49 Intrusion Detection System Critical Incoming TCP 82.254.146.173 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:43:06 05/17/2004 11:43:06
56764 05/17/2004 11:30:50 Active Response Major Incoming None 82.254.146.173 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:43:07 05/17/2004 11:43:07
56765 05/17/2004 11:30:52 Intrusion Detection System Critical Incoming TCP 82.255.142.33 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:43:09 05/17/2004 11:43:09
56766 05/17/2004 11:30:53 Active Response Major Incoming None 82.255.142.33 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:43:10 05/17/2004 11:43:10
56767 05/17/2004 11:31:20 Intrusion Detection System Critical Incoming TCP 82.255.87.121 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:43:37 05/17/2004 11:43:37
56768 05/17/2004 11:31:21 Active Response Major Incoming None 82.255.87.121 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:43:38 05/17/2004 11:43:38
56769 05/17/2004 11:31:40 Active Response Disengaged Information None None 82.254.61.146 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:43:57 05/17/2004 11:43:57
56770 05/17/2004 11:31:46 Intrusion Detection System Critical Incoming TCP 82.255.133.13 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:44:03 05/17/2004 11:44:03
56771 05/17/2004 11:31:47 Active Response Major Incoming None 82.255.133.13 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:44:04 05/17/2004 11:44:04
56772 05/17/2004 11:32:01 Active Response Disengaged Information None None 82.67.254.12 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:44:18 05/17/2004 11:44:18
56773 05/17/2004 11:32:06 Active Response Disengaged Information None None 82.255.182.34 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:44:23 05/17/2004 11:44:23
56774 05/17/2004 11:32:08 Active Response Disengaged Information None None 82.254.54.63 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:44:25 05/17/2004 11:44:25
56775 05/17/2004 11:32:59 Intrusion Detection System Critical Incoming TCP 82.255.43.169 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 svchost.exe real jps TIBOU Normal 1 05/17/2004 11:45:16 05/17/2004 11:45:16
56776 05/17/2004 11:32:59 Active Response Major Incoming None 82.255.43.169 06-00-20-00-06-00 82.255.92.21 00-00-06-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:45:16 05/17/2004 11:45:16
56777 05/17/2004 11:34:07 Active Response Disengaged Information None None 82.255.180.214 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 real jps TIBOU Normal 1 05/17/2004 11:46:24 05/17/2004 11:46:24

etc etc... j'ai coupé le log car la y'en a plus de 2000 !

[xenovong]

euh juste comme ça ...?
est-ce que ton système est propre, (pas de spyware, virus, trojan et autres joyeusetés ) ?

[real_jps]

oui... il est clean de chez clean... apperement... j'ai utilisé ad aware, spy bot, kapersky, A² et autres tous mis a jour et il ne trouve rien d'anormal... c pour ca que je ne comprends pas... avant de poster et d'embeter avec mon message j'ai esseyer de tout faire moi meme pour regler le probleme, mais la... je bloque

[LorD_JLP]

Salut,

Ton svchost.exe est un troyen ... Le vrai svchost.exe se trouve danas c:\winnt\system32, or celui-ci se trouve juste dans c:\winnt ...

Pour le virer, reboot en mode sans échec, renomme (pour être certain ...) le fichier svchost.exe du répertoire c:\winnt en svchost.exe.old (par exemple), regarde dans la clé HKCM\Microsoft\windows\currentversion\run et supprime l'entrée qui fait référence à svchost dans c:\winnt ...

Reboot ...

That's all ))

@+

[real_jps]

heu... j'ai pas de repertoire c:\winnt... et non plus de repertoire c:\windows\winnt... j'ai bien un svchost.exe de 13ko dans le repertoire c:\windows\system32...

ou alors je le vois pas...

[cf]

Salut,

Ton svchost.exe est un troyen ... Le vrai svchost.exe se trouve danas c:\winnt\system32, or celui-ci se trouve juste dans c:\winnt ...

Pour le virer, reboot en mode sans échec, renomme (pour être certain ...) le fichier svchost.exe du répertoire c:\winnt en svchost.exe.old (par exemple), regarde dans la clé HKCM\Microsoft\windows\currentversion\run et supprime l'entrée qui fait référence à svchost dans c:\winnt ...

Reboot ...

That's all ))

@+

Heu... Comment sais tu qu'il est dans winnt (surtout qu'il n'y est apparemment pas)?
A moins que ce ne soit un magicien qui t'en veux, dis-toi juste que tu n'as vraiment pas de chance...
Mais tu as dit que cela date de sasser: peut-être que cela va passer tout seul.

[LorD_JLP]

Tout simplement parceque j'ai viré ce troyen sur le poste d'un pote y'a une semaine
A surfer sur les sites de $%#&!, on chope des $%#&!

[real_jps]

heu je ne surf pas sur des sites de $%#&!... ya parfois des popup de $%#&! qui s'ouvrent quand tu vas sur certains site (qui n'on t rien a voir avec du Q)... mais jamais sinon... mais effectivement je confirme que je n'ai pas de rep winnt et que le seul svchost que je trouve sur mon systeme est celui d'origine (13 ko) dans le rep windows\system32...

donc la solution n'est pas la !

[cf]

As-tu fait quelques whois@IP ?
J'ai essayé quelques ip qui apparaissent dans ton log, et elles viennent quasiment presque toutes de Free: à mon avis, tu t'inquiètes pour rien...

[real_jps]

non... mais c bizzard quand meme...
ca a peut etre rien a voir mais sur mon fond d'ecran en bas au droite ya inscrit ma version de windows et " a des finc de test uniquement, numero 2600.xpsps2......(service pack 1)... ca viens d'ou ? et c peut etre ca... enfin je sais pas maintenant j'essaye toute les hypothese !!! :p

[cf]

Essaie un scan de prots pour les troyens sur pcflanck: si cela ne donne rien, tu peux toujours essayer un scan de tous tes ports pour voir s'il n'y a rien de louche, à l'adresse: http://check.lfd.niedersachsen.de/start.php

Mais à mon avis, après tout les antivirus et autres que tu as passé, soit t'es tombé sur un truc fait maison totalement furtif, ce dont je doute, soit il n'y a rien: mais essaie les whois@ip, pour voir si ce n'est pas juste ton firewall qui fait du zèle...

[real_jps]

heu... tu as pas la meme chose en francais ou en anglais.... ? :p car je comprends pas un mot de ce qu'il ya ecrit !!!

et tu sais pas quel logiciel a pu faire apparaitre mon numeros XP en bas de mon ecran (au dessu de la barre des taches... j'aime po trop ca !

[cf]

"ip-adresse bestätigen" -> "selbsttest phase 3" -> vérifie que "alle 65535 ports" est coché
puis "portscan starten"

mais je te répètes que je pense que ce n'est rien: pour m'amuser, j'ai activé le log de mon firewall, et j'ai plus de 3 messages par minute: cela fait plus de 4000 par jour!

P.S: c'est important l'allemand, c'est notre premier partenaire économique!

[real_jps]

l'llemand est sans doute tres important mais moi j'ai fait anglais/espagnol ! ...

donc je ne comprends pas un mot d'allemand !