Votre question

nombreuses tentatives d'analyses de port

Tags :
  • PC
  • Port
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Juin 2014 22:03:04

Bonjour,

Nous avons 3 PC à la maison, l'un d'entre eux subit une 30aine de tentatives d'analyses de port par jour, pour l'instant bloquées par BitDefender. C'est nouveau, depuis 6 semaines environ. Rien à signaler pour les autres (un sous BD aucune tentative signalée, un sous Avira, pas trouvé l'info).

Pour l'instant ça tient, BD les repousse, mais je serais + tranquille si je pouvais les faire cesser.

Un(e) expert sympa a t il une reco / manip / idée pour m'aider ?

D'avance merci, lorsque je suis passé sur Tom's Guide il y a quelques mois pour un problème de publicités intempestives, j'avais été très impressionné par la qualité et la rapidité de l'aide obtenue (merci chantal 13 !).

Je suis sous Windows 8.1, PC ACER fixe.

Bonne soirée,

Autres pages sur : nombreuses tentatives analyses port

a c 614 8 Sécurité
13 Juin 2014 14:26:27

Bonjour,

Comment te connectes-tu ?
Via une Box ?
Laquelle ?

Des analyses de ports, tout matériel connecté sur Internet en subit en permanence, mais normalement, ta Box devrait intercepter cela, car seule son IP est visible sur Internet. Les IP des pc derrière la box sont sur le réseau local.

(pour info, Avira Antivir, en version "gratuite" ne possède pas de module parefeu, donc tu n'auras ce genre d'alerte.)
m
0
l
13 Juin 2014 15:39:36

Citation :
Des analyses de ports, tout matériel connecté sur Internet en subit en permanence, mais normalement, ta Box devrait intercepter cela, car seule son IP est visible sur Internet. Les IP des pc derrière la box sont sur le réseau local.


C'est ce que j'allais dire, pour viser un pc précis et non la box il faut être DANS le réseau . L'adresse de l'attaquant est bien publique ?
m
0
l
Contenus similaires
14 Juin 2014 22:24:45

Bonsoir Hyunkel et Archipel,



1/ pour détailler mon réseau :
je me connecte via ma box SFR. Ensuite :
PC1 relié par cable à la box, et sous W8.1 et bitdefender : c'est le bitdefender de celui ci qui me signale des analyses de port.
PC2 relié par wifi à la même box, sous W7 et bitdefender : ici pas de trace d'analyses de ports dans le rapport de BD
PC3 relié par wifi à la même box, sous W8.1 et sous avira : pas de journal. Le pare feu Windows est activé, je ne sais pas où on trouve les éventuels rapports d'analyses.

2/ pour détailler les incidents : les analyses de ports signalées par BD commencent le 15 mai. Aucune signalée avant (alors que le journal du pare-feu ne s'arrête pas à cette date puisqu'il remonte jusqu'au 14 avril et contient des informations antérieures sur des nouvelles versions d'appli détectée)

Au niveau des installations de logiciels faites à cette période ou un peu avant, voici ce que j'ai retrouvé dans mon CCleaner :
mon fils a installé géogebra le 3 avril, cacaoweb le 5 mai, CDBurnerXP Iso recorder et FallOut3 le 9 mai, et je ne sais plus quelle saleté publicitaire fourguée avec un de ces téléchargements que j'avais enlevée le lendemain.
Le 10 mai, j'upgradais Windows de 8.0 à 8.1, et Adobe Reader XI (11.0.07) le 14 mai.

3/ pour les attaques :
elle vise toujours la même adresse IP 192.168.etc. (bien que j'ai débranché ma box une fois début juin)

elle proviennent d'adresses IP différentes, a vue de nez + d'une centaine. pour citer quelques unes parmi les plus actives :
189.155.138.103
176.180.242.40
83.154.4.116
108.82.7.221
88.173.49.5
78.199.218.16
79.54.164.245
92.145.167.63

etc.

Voila.

Merci pour vos idées et solutions, bon WE,




m
0
l
a c 614 8 Sécurité
15 Juin 2014 07:30:36

Re,

On va regarder si ce n'est pas plutôt un adware qui communique avec son serveur si tu dis avoir supprimé quelques sponsors publicitaires :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 614 8 Sécurité
    15 Juin 2014 11:36:46

    Re,

    Quelques adwares présents, on va nettoyer déjà pour éliminer cette piste.

    Mais les IP que tu as donné sont très variée, on dirait plus des tentatives de connexion de p2p (µtorrent présent sur le pc) ou jeu en multi ...

    à suivre :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - eBay Worldwide (sauf réelle utilité, parfois installé sans raison)
    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)

    - EA Download Manager Packages (package d'installation lié à des adwares)
    - Lookineo Toolbar (barre d'outil lié à des adwares)
    - Updater (lié à un adware)

    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      () C:\Users\sylthi gapifa\AppData\Roaming\cacaoweb\cacaoweb.exe
      HKU\S-1-5-21-1586827488-4077868154-1150669968-1001\...\Run: [cacaoweb] => C:\Users\sylthi gapifa\AppData\Roaming\cacaoweb\cacaoweb.exe [497664 2014-05-18] ()
      SearchScopes: HKLM - DefaultScope {D50E402E-83B1-4641-A7CA-209F447BFAAF} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0FzztD0FyEtCyCyCtCtAzytAyB0C0D0AtN0D0Tzu0CyEtCtCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0U1E1Q1T2Z1P0S2Z1T1C1V0E0A&cr=1023443281&ir=
      SearchScopes: HKLM - {D50E402E-83B1-4641-A7CA-209F447BFAAF} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0FzztD0FyEtCyCyCtCtAzytAyB0C0D0AtN0D0Tzu0CyEtCtCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0U1E1Q1T2Z1P0S2Z1T1C1V0E0A&cr=1023443281&ir=
      SearchScopes: HKLM-x32 - {D50E402E-83B1-4641-A7CA-209F447BFAAF} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0FzztD0FyEtCyCyCtCtAzytAyB0C0D0AtN0D0Tzu0CyEtCtCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0U1E1Q1T2Z1P0S2Z1T1C1V0E0A&cr=1023443281&ir=
      SearchScopes: HKCU - DefaultScope {1945e092-ce7a-4b44-a259-a105b5dab2fd} URL = http://www.lookineo.com/web?q={searchTerms}
      SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3318857&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP8F6E4AAA-2313-4AD5-94CB-5BEAB0BB0B25&q={searchTerms}&SSPV=
      SearchScopes: HKCU - {1945e092-ce7a-4b44-a259-a105b5dab2fd} URL = http://www.lookineo.com/web?q={searchTerms}
      SearchScopes: HKCU - {40758FC5-1D3B-BE27-EA95-79890EB341C3} URL =
      SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
      SearchScopes: HKCU - {D50E402E-83B1-4641-A7CA-209F447BFAAF} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0FzztD0FyEtCyCyCtCtAzytAyB0C0D0AtN0D0Tzu0CyEtCtCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0U1E1Q1T2Z1P0S2Z1T1C1V0E0A&cr=1023443281&ir=
      Toolbar: HKLM-x32 - Lookineo Toolbar - {C656B705-5293-4a09-8908-3E0B6406999F} - C:\Program Files (x86)\Lookineo\Toolbar\Lookineo.dll (DM73)
      FF Keyword.URL: hxxp://www.lookineo.com/web?q=
      FF SearchPlugin: C:\Users\sylthi gapifa\AppData\Roaming\Mozilla\Firefox\Profiles\8woazvmi.default\searchplugins\lookineo.xml
      FF Extension: cacaoweb - C:\Users\sylthi gapifa\AppData\Roaming\Mozilla\Firefox\Profiles\8woazvmi.default\Extensions\cacaoweb@cacaoweb.org [2014-05-05]
      FF Extension: Toolbar Lookineo - C:\Users\sylthi gapifa\AppData\Roaming\Mozilla\Firefox\Profiles\8woazvmi.default\Extensions\toolbar@lookineo.com [2014-02-02]
      2014-06-15 10:04 - 2014-05-05 16:12 - 00497664 _____ () C:\Users\sylthi gapifa\Desktop\cacaoweb.exe
      C:\Program Files (x86)\Lookineo
      C:\Users\sylthi gapifa\AppData\Roaming\cacaoweb
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS