Connexion sous attaque - Internet lent

g-m1n1 · Décembre 23, 2008, 1:19

Bonjour.

Depuis quelques semaines ma connexion est devenue lente (4mb d’habitude), surtout le soir. Le firewall de mon modem m’indique des logs étranges.

J’ai donc décidé de virer le firewall Vista et d’installer Comodo FW 3 sans Defense+.

Lui aussi m’indique plusieurs tentatives d’intrusion. Le port 2869 est visé et le port de uTorrent. Changer le port de uTorrent n’aide en rien.

Ma Config: Vista SP1
Antivir Free 8
Comodo FW 3
Windows Defender (resident)
MBAM, Spybot et SuperAntispyware pour des scans

Rien de suspect n’est trouvé, et ni Kaspersky Online Scnner et Bitdefender Online scanner n’ontr trouvé qch.

Enfin j’ai aussi lancé Smitfraudfix et Combofix, mais mon problème ne semble toujours pas résolu.

Suis-je donc infecté par un trojan ou autre, ou bien suis-je attaquer par l’extérieur. Parfois mes logs signalent une tentative d’intrusion toutes les 3 secondes, ce qui est surement la cause de mon débit faible…

Pour le moment je n’ai aucun port ouvert dans mon modem.

Si quelqu’un peut m’aider. Merci.

Voici un log HijackThis en mode normal:

[i]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:54, on 23/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Razer\Diamondback\razertra.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Users\Joel\Desktop\Applications\HijackThis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tele2.lu…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM…\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM…\Run: [Launch LCDMon] “C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe”
O4 - HKLM…\Run: [Launch LGDCore] “C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 - HKLM…\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\COMODO\Firewall\cfp.exe” -s
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra ‘Tools’ menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra ‘Tools’ menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

–
End of file - 6366 bytes[/i]

il semble ok selon moi…
Edité le 23/12/2008 à 13:21

bee_bopy · Décembre 23, 2008, 2:35

Bonjour,
Pour 2869:
Sans garantie, mais sans risque. Désactiver upnp:
www.grc.com…

g-m1n1 · Décembre 23, 2008, 7:53

Malheureusement ce ne m’est pas vraiment d’une grande utilité. Merci quand même

Une autre idée svp?

bee_bopy · Décembre 23, 2008, 8:45

Les requêtes viennent elles de l’extérieur ou de l’intérieur de ton réseau ?

g-m1n1 · Décembre 23, 2008, 9:30

Bonne question… je ne sais pas, mais je dirais pluôt de l’extérieur vu qu’aucun logiciel ne trouve un quelconque virus ou trojan.

bee_bopy · Décembre 23, 2008, 10:37

Cela peut aussi être de la communication due à des services locaux. C’est dans ce cadre que je pensais au SSDP (nom du service: SSDPRSR (Service de découvertes SSDP)) qui semble lié à upnp.
Il y avait d’ailleurs plus simple: Voir dans Panneau de configuration>outils d’administration>services si celui-ci est désactivé.

proximodu51 · Décembre 24, 2008, 2:14

Tente tout simplement de renouveler ton ip, en débranchant et en rebranchant ta box ! Et vois si tu as toujours ces logs étranges.

Si au bout de quelques heures tu n’as plus ces logs etranges, ne cherche pas plus loin ! C’est tout simplement du à l’utilisation d’utorrent ! En effet cela peut paraitre bizarre, mais les connexions continuent souvent à etre actives malgré l’arret du logiciel peer to peer, cherchant à se connecter à celui-ci. Je crois qu’il en est de meme pour Emule.
Seule solution pour arranger ce problème : renouveler son ip (si bien sur on a une ip dynamique).

g-m1n1 · Décembre 24, 2008, 9:23

J’ai déjà tenté une réinstallation et branché/débranché mon modem, mais rien n’y fait… :-@:

D’habitude je donne plus de conseils que je n’en demande, mais là je ne sais pas vraiment quoi faire… :neutre:

proximodu51 · Décembre 24, 2008, 1:28

Tu as une ip fixe ou pas ?

Quels sont tes logs exactement ?
Les ip extérieures sont-elles toujours les memes a tenter de se connecter sur le port 2869 ?
Edité le 24/12/2008 à 13:30

g-m1n1 · Décembre 25, 2008, 7:46

Non je n’ai pas une IP fixe.

IP Source est:
192.168.0.1

La destination est la même. Cette IP c’est l’IP de mon routeur (je n’ai pas de box, mais un modem + un routeur Wifi), dû moins l’IP que j’utilise pour accéder aux paramètres de mon routeur.

Le port source est le 1024 et supérieur… (1025-1026- 1079- 1080 etc.)