ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Cette section concerne le système d'exploitation Windows. Quand votre système met beaucoup de temps à démarrer. Lorsque vous avez un message d'erreur Windows qui s'affiche sur votre ordinateur. Si vous constatez des dysfonctionnements dans l'affichage des fenêtres. Si votre disque dur se bloque souvent à 100% d'utilisation. Quand Windows vous signale une absence ou une erreur de pilote. Lorsque votre mémoire est saturée à 100% d'occupation. Ce sont autant de cas sur lesquels vous pouvez trouver une solution.
 #88920  par Gloops
 
Gloops a écrit : 22 sept. 2018, 20:03 C'est drôlement sioux l'histoire de laisser passer le trafic pour qu'il soit journalisé. Bon alors c'est simple, quand il y a une alerte, au lieu de cliquer sur Bloquer je n'ai qu'à cliquer sur Autoriser.
Je me rappelle, sous Windows XP, j'avais un pare-feu qui était capable de me dire, à telle heure, telle adresse IP a essayé de faire entrer tel type de flux sur tel port, il a été bloqué en vertu de telle règle.

Peut-être qu'Eset sait faire ça aussi, remarque, mais j'ai passé beaucoup moins de temps dessus.

Ah mais le truc c'est de savoir relier le trafic à la webcam. Là il n'y a que l'heure, finalement, quand on a vu l'alerte ?
 #88923  par Gloops
 
ZorKas a écrit : 22 sept. 2018, 18:21 Une fois le contrôle effectué il faut l'arrêter pour ne pas créer un journal volumineux
C'est pour ça, étant donné qu'il y a eu un accès juste après le script de nettoyage, même si c'est difficile de croire que le pare-feu voie un trafic entrant juste avant l'accès sans rien trouver à redire, je me représente bien un pirate en train de lire le forum et se payer nos têtes dans les grandes largeurs.
Dans ces conditions, on pourrait rester un certain temps sans voir de tentative d'accès à la webcam.
 #88933  par ZorKas
 
Pour être pirater faut en avoir la confirmation, sur quoi tu te base pour "imaginer" que c'est le cas actuellement ?
La webcam est hors service puisque désactiver donc....
 #88957  par Gloops
 
Arrivé en dessous de 6,5 Go de libre (d'ailleurs j'ai eu juste le temps d'écrire un programme d'alerte, à qui je peux fixer un seuil de façon dynamique, de manière qu'il sonne lorsqu'on passe en dessous, et qu'il s'arrête si on repasse au-dessus),
j'ai arrêté le log, et je suis allé voir la tête que ça se paie :
Code : Tout sélectionner
C:\ProgramData\ESET\ESET Security\Diagnostics>DIR /S
 Le volume dans le lecteur C s’appelle OS
 Le numéro de série du volume est 3835-9AD2

 Répertoire de C:\ProgramData\ESET\ESET Security\Diagnostics

22/09/2018  22:52    <DIR>          .
22/09/2018  22:52    <DIR>          ..
26/04/2018  21:48    <DIR>          ECP
22/09/2018  22:43       227 518 056 EpfwLog.pcapng
22/09/2018  22:43           327 680 Firewall.etl
23/04/2018  18:47    <DIR>          Modules
               2 fichier(s)      227 845 736 octets

 Répertoire de C:\ProgramData\ESET\ESET Security\Diagnostics\ECP

26/04/2018  21:48    <DIR>          .
26/04/2018  21:48    <DIR>          ..
               0 fichier(s)                0 octets

 Répertoire de C:\ProgramData\ESET\ESET Security\Diagnostics\Modules

23/04/2018  18:47    <DIR>          .
23/04/2018  18:47    <DIR>          ..
               0 fichier(s)                0 octets

     Total des fichiers listés :
               2 fichier(s)      227 845 736 octets
               8 Rép(s)   6 509 150 208 octets libres

C:\ProgramData\ESET\ESET Security\Diagnostics>
Nous avons donc un fichier qui fait dix fois ce que peut accueillir cjoint.
Je m'attendais à avoir des fichiers texte ou XML, que nenni, c'est plutôt du style .dat.
Est-ce qu'on sait lire le format pcapng ?
Le format ETL c'est pareil, rien à voir avec du texte, il faut être outillé pour le lire (ça commence par plein de caractères nuls, plus loin plein de caractères 256 ...).
Outre que j'approche les 6 Go de place libre et qu'il est temps que je redémarre la machine pour voir où on en est après, je pense qu'il est temps de confirmer comment on s'y prend : est-ce qu'on sait manipuler ces formats de fichiers, si oui je suppose que le plan est de les découper en fragments de 15 Mo pour qu'ils puissent être transmis, à moins de trouver un hébergement plus approprié.

**
Bon tout ça pour dire que nous n'étions pas à jour.
À part ça j'ai remarqué qu'il y a aussi un paramétrage pour des journaux au format texte, et qu'on peut enregistrer où on veut, ce qui ne gâte rien.

Par exemple, j'ai un epfwlog.txt qui commence comme ça :
Code : Tout sélectionner
Date et heure	Événement	Source	Cible	Protocole	Nom de règle/ver	Application
23/09/2018 00:02:41	Aucune règle utilisable trouvée	192.168.1.20:51980	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
23/09/2018 00:02:46	Aucune règle utilisable trouvée	192.168.1.20:51981	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
23/09/2018 00:02:51	Aucune règle utilisable trouvée	192.168.1.20:51982	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
23/09/2018 00:02:56	Aucune règle utilisable trouvée	192.168.1.20:51983	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
23/09/2018 00:03:01	Aucune règle utilisable trouvée	192.168.1.20:51984	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
On a déjà vu moins exploitable, pas vrai ?
Après on peut essayer d'aligner les colonnes, enfin quand il n'y a plus que ça ...

Il y a aussi un fichier webcamlog.txt, mais pour le moment il n'y a que ça dedans :
Code : Tout sélectionner
Date et heure	Utilisateur	Application	Action
Et c'est enregistré sur une partition où il y a plus de 800 Go de libres.

Autre progrès, j'ai 13,8 Go disponibles sur C:, ça devrait être plus viable.
Modifié en dernier par Gloops le 23 sept. 2018, 00:18, modifié 1 fois.
 #88959  par Gloops
 
Pendant trois heures et demi d'affilée que le log du pare-feu était enclenché (sans compter une partie de l'après-midi) il n'y a pas eu une seule tentative d'accès à la webcam.
Maintenant que je l'ai arrêté et que j'ai redémarré la machine, au bout d'un quart d'heure c'est reparti ...
Ah et puis j'ai eu tellement l'habitude de bloquer que là j'ai fait pareil. Bon mais ça va revenir ...
 #88963  par Gloops
 
Nouvelle intrusion, et voilà le fichier webcamlog.txt :
Code : Tout sélectionner
Date et heure	Utilisateur	Application	Action
23/09/2018 01:18:57	AUTORITE NT\Système	C:\Windows\System32\taskhostw.exe	Autorisé	Modèle: Microsoft Streaming Service Proxy, Marque: Microsoft
Et du coup un petit extrait du epfwlog.txt :
Code : Tout sélectionner
23/09/2018 01:18:53	Aucune règle utilisable trouvée	192.168.1.20:53475	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
23/09/2018 01:18:57	Aucune règle utilisable trouvée	192.168.1.20:53476	40.67.251.132:443	TCP		C:\Windows\System32\svchost.exe	AUTORITE NT\Système
23/09/2018 01:18:57	Aucune règle utilisable trouvée	192.168.1.20:39047	192.168.1.14:9100	UDP		C:\Windows\SysWOW64\lxebcoms.exe	DESKTOP-1BFJ58P\canev
23/09/2018 01:18:58	Aucune règle utilisable trouvée	192.168.1.20:53478	93.184.216.34:80	TCP		C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe	DESKTOP-1BFJ58P\canev
lxebcoms.exe c'est un programme de communication wifi avec une imprimante, qui n'est pas sur le site.
Asusgiftbox est installé depuis le début soit depuis six mois environ, c'est un équivalent de la boutique de Microsoft pour le téléchargement d'applications.

D'après ce que je trouve sur http://www.mon-ip.com/localiser-adresse-ip.php, le 40.67.251.132 c'est Microsoft, aux États Unis.
Mais qu'est-ce qu'ils veulent à ma webcam ?
Ce n'est quand même pas pour faire une mise à jour !
 #88969  par ZorKas
 
Bonjour,

En ce qui concerne:
IP: 93.184.216.34

https://ipgetinfo.com/?mode=ip&lang=fr&ip=93.184.216.34

https://www.google.com/maps/place/Veriz ... 18.4258725

https://www.google.com/maps/place/Veriz ... 18.4258725

https://www.verizondigitalmedia.com/

Télémétrie de Microsoft:

https://www.zdnet.fr/actualites/windows ... 833238.htm

Désactiver la collecte:

https://www.justgeek.fr/windows-10-desa ... ees-43324/

Le piratage d'un PC est la fonction même d'un cheval de Troie ou d'une faille système dite de sécurité, ta protection Eset ne le mentionne pas c'est seulement ton pare feu qui te demande de prendre une décision lorsque cela s'impose en rapport avec un processus déterminé, reste à ta convenance de prendre les bonnes décisions pour clore la demande du pare feu
On parle pas de piratage lorsqu'il s'agit de télémétrie soit de Microsoft soit d'un logiciel tiers installé sur le PC (les CGU sont explicites)
Bref pour ma part la webcam désactivée manuellement (action que je préconise) je ne vois pas de problème autre
Bon dimanche...
  • 1
  • 4
  • 5
  • 6
  • 7
  • 8
Sujets similaires Statistiques Dernier message
Détournements webcam via les failles de Screencastify Chrome.
par NicolasCoolman  dans : Les nouvelles
0 Réponses
66 Vues
par NicolasCoolman
Probable attaque pirate
par flomana  dans : Analyse de rapports et Désinfection.
51 Réponses
3706 Vues
par El Magnifico
HackBoss, un malware qui s'attaque aux cryptomonnaies
par NicolasCoolman  dans : Les nouvelles
0 Réponses
1551 Vues
par NicolasCoolman
Puissante attaque DDoS du réseau CloudFlare
par NicolasCoolman  dans : Les nouvelles
0 Réponses
411 Vues
par NicolasCoolman
Le site de Cloudflare détruit par une attaque DDoS.
par NicolasCoolman  dans : Les nouvelles
0 Réponses
228 Vues
par NicolasCoolman