IP indesirable avec comodo?

kokore83 · Janvier 18, 2008, 6:18

Bonjour,

Je me suis rendu compte grace à “comodo”, que explorer.exe et svchost.exe, se connecte periodiquement, à une IP qui se situe en isreal (trouver via neotrace). Je m’etait deja rendu compte de qqchose lorsque javais zonealarme, mais jamais que c’etait tout le temps sur la même addresse IP (212.150.236.85).

Donc j’ai bloquer tout trafic ICMP sortant (entrant étant deja bloqué).

Mes questions:

-Est ce que vous aussi avez remarquer ça??
-Et quels sont les inconvenients de bloquer le traffic ICMP (pour l’instant, jai rien remarquer)
Edité le 18/01/2008 à 18:26

vyger · Janvier 18, 2008, 6:26

Bloquer l’icmp ne gene en rien pour la navigation web et la messagerie. (la preuve…

par sureté:
telecharge : HijackThis , scan et post le log ici

a+

windaube · Janvier 18, 2008, 6:38

Bonsoir,

Tu n’as pas installé une toolbarre ?
Salutations à mon ami vyger

@+

vyger · Janvier 18, 2008, 6:39

Salutations Ami Windaube…

Qu’il post son log HijackThis , je serais vite fixé.

kokore83 · Janvier 18, 2008, 6:42

Merci de repondre si vite,

Pour la tool bar, effectivement, j’ai la barre google mais aussi une qui s’appelle “yono”

voilà le log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:45, on 18/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Explorer.EXE
e:\Program Files\Spyware Doctor\pctsAuxs.exe
e:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
E:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
E:\Program Files\Logitech\SetPoint\SetPoint.exe
E:\Program Files\EarthView\EarthView.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
E:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\iPod\bin\iPodService.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\NeoTracePro\NeoTrace.exe
C:\Program Files\Zamaan’s Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = us.rd.yahoo.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = us.rd.yahoo.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = us.rd.yahoo.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Best Security Tips Toolbar - {da30eff8-ccc6-4162-a20d-67402a26a215} - C:\Program Files\Best_Security_Tips\tbBest.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: Best Security Tips Toolbar - {da30eff8-ccc6-4162-a20d-67402a26a215} - C:\Program Files\Best_Security_Tips\tbBest.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Best Security Tips Toolbar - {da30eff8-ccc6-4162-a20d-67402a26a215} - C:\Program Files\Best_Security_Tips\tbBest.dll
O4 - HKLM…\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”
O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM…\Run: [SoundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray
O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [ISTray] “e:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKLM…\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe”
O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\CPF.exe” /background
O4 - HKLM…\Run: [BHR] C:\Program Files\Zamaan’s Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKCU…\Run: [UberIcon] “C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe”
O4 - HKCU…\Run: [RocketDock] “C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe”
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: EarthView.lnk = E:\Program Files\EarthView\EarthView.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - E:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - e:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - e:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

–
End of file - 10101 bytes
Edité le 18/01/2008 à 18:46

vyger · Janvier 18, 2008, 6:46

c’est quoi ce : E:\Program Files\NeoTracePro\NeoTrace.exe ?

c’est ton traceur IP ?

a+
Edité le 18/01/2008 à 18:47

noplug · Janvier 18, 2008, 6:50

Non-authoritative answer:
85.236.150.212.in-addr.arpa name = 212-150-236-85.barak.net.il.

Authoritative answers can be found from:
236.150.212.in-addr.arpa nameserver = ns1.barak.net.il.
236.150.212.in-addr.arpa nameserver = ns.barak.net.il.

Sur Google :
Barak
013 Barak - A Leading ISP and Telephony provider in Israel. 013
www.barak.net.il/ - 25k - En cache - Pages similaires
Edité le 18/01/2008 à 18:50

vyger · Janvier 18, 2008, 6:55

Rien à dire log propre…

a+

c’est quoi ca tartemolle ?
Edité le 18/01/2008 à 18:56

kokore83 · Janvier 18, 2008, 6:57

Oui, neotrace, c’est un traceur d’IP, c’est avec lui que jai remarqué que l’IP venait de la-bas (même si ça doit pas être très fiable).

Par rapport à ce qu’a dit Tartemolle, vous me conseiller de faire quoi??

vyger · Janvier 18, 2008, 7:06

Par // à tartemolle je ne sais d’ou il sort sont info, vois avec lui…

pour ma part, ton scan et propre et tu n’as rien qui se connecte (du moins en ce moment)

telecharge spybotSD, Install, Maj, vaccination et scan : Spybot - Search & Destroy

et également Ccleaner : www.clubic.com…

a+

kokore83 · Janvier 18, 2008, 7:12

Pour Spybot et Ccleaner c’est deja installé.

Merci ++

vyger · Janvier 18, 2008, 7:15

Désolé, mais quand tu aura une telle “activité” laisse courir et scan avec HijackThis et reviens nous voir avec le log.

pour l’instant ton poste est propre.

a+

noplug · Janvier 18, 2008, 7:46

Neotrace c’est l’équivalent de la commande DOS tracert. Moi j’avais fait un NSlookup.

janus_eloi · Janvier 18, 2008, 9:50

il faut bloquer les ports tcp/ip pour empêcher les échanges de données avec cette adresse.

kokore83 · Janvier 18, 2008, 10:40

Juste en coupant le traffic ICMP, normallement c’est bon.
Je vais quand même blacklister l’adresse avec PeerGuardian.

Je vous tiens au courant si je vois que ça se connecte.

noplug · Janvier 19, 2008, 9:23

Mon pare-feu m’affiche parfois des alertes de détection d’attaques à partir de la page d’accueil de mon fournisseur d’accès (pour scan de port). Ce n’est pas pour autant que je bloque le traffic en provenance de celui-ci (heureusement !) ou que je le blackliste.

Le protocole ICMP sert aux messages d’erreurs et de contrôle. D’après les infos que j’ai trouvé à partir de l’adresse IP, le propriétaire est un fournisseur d’accès Internet qui fait également de l’hébergement de sites. Si çà se trouve tu as surfé vers un des sites hébergés là bas et l’hôte ne répondait pas d’où les messages ICMP.

Si les infos sont fiables, c’est comme si tu blacklistais Orange, Free ou 9 Telecom.

Il y a quelques temps, je m’étais aperçu que le nom de domaine du site où je travaille était blacklisté. j’ai appelé notre fournisseur d’accès Internet (services aux professionnels) pour lui demander s’il pouvait faire quelque chose. Mon interlocuteur, m’a répondu “Ne vous inquiétez pas pour çà, nous aussi on est sur blacklist, çà ne veut plus rien dire, tout le monde blackliste tout le monde”

Ca ne veut pas dire pour autant qu’il faut se relâcher au niveau de la sécurité, tu peux très bien bloquer le trafic ICMP vers cette adresse, mais pour le blacklist, moi j’accorderais le bénéfice du doute.

Cordialement.
Edité le 19/01/2008 à 17:41

kokore83 · Janvier 20, 2008, 1:42

Merci pour ta réponce.
++