Tentative d'attaque de mon ordinateur

Norton Security / Norton Internet Security /
1

bonjour, depuis 2 jours j'ai des tentatives d'attaques de mon ordinateur, mais heureusement bloquées par NORTON, et de même Sonar a détecté Hlomoa.exe. que veut dire tout cela et comment puis-je arrêter ces attaques ? j'ai la Version 17.7.0.12 de NORTON from symantec. je vous remercie par avance pour votre aide

2

 

Bonjour bci  ,

 

Bienvenu sur le forum de la communauté Norton ,

 

Pour que nous puissions te venir en aide , peux-tu nous donner tous les détails des attaques en regardant dans l'historique de NIS ?

Origine , cible , etc...

 

Es-tu certain de l'orthographe pour Hlomoa.exe ? Car je ne trouve rien au sujet de ce programme.

Est-ce un programme que tu as téléchargé ?

 

Si il n'est pas répertorié par Norton , il est normal que SONAR le bloque par mesure de sécurité.

 

Misstigry

3

merci beaucoup pour votre réponse rapide . En ce qui concerne hlomoa.exe (ça s'écrit bien comme ça) SONAR l'a mis en quarantaine plus de 5 fois dans la journée d'aujourd'hui. Je n'ai rien téléchargé de tel.

 

pour les intrusions on a : - 91.212.226.7  - 91.216.73.59 - 68b6b6b6.com - 91.188.60.21 - plusieurs fois dans la journée (bien sûr boqués par le système NORTON) elles sont à niveau élevé.

 

je n'avais pas ce genre d'intrusions avant et je ne comprends pas ce qui ,se passe. Comment

4

 

Re ,

 

Bon rien de nouveau sur hlomoa.exe hélas !

Je te conseille vivement de le supprimer définitivement à partir de la quarantaine.

 

Concernant les adresses IP , la première est russe , la seconde aux Pays Bas , et la dernière est Lettone :smileytongue:

 

Tu en connnais du monde dis donc :smileyvery-happy:

 

Je te recommande chaudement de te reporter à ce tutoriel Norton Internet Security pour faire une analyse complète de ton ordinateur.

 

Suis bien attentivement les recommandations qui sont données dans le tuto , et reviens plus tard nous dire si les alertes sont encore présentes !

 

On croise les doigts avec toi :smileyhappy:

 

Misstigry

 

 

5

Bonjour bci, bonjour Miss :smileyhappy:

 

En complément des informations fournies par Misstigry, je précise qu'un site (en langue anglaise) est très utile pour identifier la provenance d'une "attaque". Ils 'agit du site "IP Tracker", consultable à cette adresse : http://www.ip-adress.com/ip_tracer/. Il sert à localiser une adresse IP ainsi que des emails indésirables. Afin d'illustrer le propos de Misstigry, je joins une copie de ce site qui confirme la localisation en Lettonie :

 

 

516i863F749452F6537B

 

 

Malheureusement, il est presque impossible d'empêcher les attaques, surtout en cas d'infection par un logiciel parasite. Une autre alternative serait de faire un scan de ton PC sur le site de Steve Gibson, via l'utilitaire "Shields Up", consultable à cette adresse : http://www.grc.com/intro.htm et en cliquant sur "all service ports"; Ce test permettra de savoir si l'ordinateur offre des ports "ouverts", "fermés" ou "furtifs".

 

Ne pas hésiter à demander des explications en message privé si cela s'avère trop compliqué.

6

je vous remercie infiniment à tous de m'aider, je ne suis pas ferrue en informatique mais j'ai suivi à la lettre les explications de mistigri et il se trouve qu'en faisant un grand nettoyage il s'est avéré que j'avais un virus Trojan. comment se fait-il qu'avec un logiciel (qui coûte assez cher) on peut avoir des virus ????

que dois-je faire maintenant pour éviter ce genre de problème ? est ce que je suis les recommandations de Phildariane et pouvez-vous m'aider encore afin de mieux comprendre. MERCI MERCI beaucoup

7

bonjour, mise à part ce que vous me recommandez de faire je viens à l'instant d'avoir une attaque  de la source : 92.216.73.59; comment faire un scan du PC et effectuer ce que vous me demandez. Merci encore

8

 

Bonjour bci  ,

 

Peux-tu confirmer que tu as effectué un scan de ton ordinateur en suivant à la lettre le tutoriel NIS 2010 en mode agressif ?

 

Si tu as besoin d'aide , tu peux poster les résultats de l'analyse détaillée et des détections effectuées sur ton disque dur à la suite de ce message :smileywink:

 

En matière de virus sur internet , le risque zéro n'existe pas !

 

On a coutume de dire que le meilleur antivirus se trouve entre la chaise et le clavier... c'est aussi là que se trouve la plus grosse faille :smileytongue:

 

Visiter un site web vérolé , cliquer sur un lien malveillant , télécharger un fichier sans y prêter attention , ouvrir un mail non identifié...  la liste est longue , et les occasions nombreuses de " ramasser " des petites saletés sur internet.

 

Tiens nous au courant de l'évolution , et nous verrons par la suite comment agir.

 

Misstigry

9

bonjour et merci Mistigri pour votre réponse,

 j'ai bien suivi à la lettre le mode NIS2010 en mode agressif, et j'ai effectué une analyse complète qui ne s'est terminée que ce matin avec un trojan qui a été mis en quarantaine et que j'ai supprimé.

 

maintenant lorque vous parler de "poster sur mon disque dur" je ne comprends pas trop ce que vous me demandez d'effectuer ??

 

j'attends vos explications et je suis désolée de vous importuner. Merci encore beaucoup

 

 

10

 

Hello ,

 

Lorsque l'on parle de " poster " , celà signifie :

venir écrire sur le forum les résultats de l'analyse effectuée ... par exemple , il aurait été intéressant de connaitre le nom du trojan que NIS a détecté et mis en quarantaine.

Tu peux nous communqiuer toutes les informations utiles pour que nous puissions t'aider :smileywink:

 

Mais avant d'aller plus loin , il pourrait être utile de télécharger et installer Malwarebyte's Antimalware , à partir du site internet de Clubic.

 

Installe le logiciel , procède à la mise à jour de la base de signatures et effectue un scan complet de ton ordinateur.

 

Malwarebyte's garde une trace écrite au format texte de son rapport d'analyse.

 

Tu pourras donc aisément copier / coller les résultats et les " poster " facilement sur le forum :smileyhappy:

 

Bonne chasse ,

 

Misstigry

11

coucou mistigri,

bien reçu ton message et j'ai effectué tes directives donc je t'envoie le rapport de Malwarebyte's "

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4584

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/09/2010 23:54:47
mbam-log-2010-09-09 (23-54-47).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135497
Temps écoulé: 20 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
C:\Documents and Settings\Brigitte\Local Settings\Temp\Hsm.exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yxe7dxcq37 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\otgv1dnwqq (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Brigitte\Local Settings\Temp\Hsm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\Hsp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\Hss.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\1EB.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\1EE.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\1EF.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Brigitte\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

 

j'attends ta réponse pour me dire ce qu je peux faire pour éviter ce genre d'intrusions, Merci encore

12

bonjour,

je reviens vers vous concernant le site que vous m'avez indiqué, tout est en anglais donc je ne comprends pas trop. donc si vous pouvez m'aider encore une fois ce serait sympa; merci pour votre implication.

13

 

Bonjour bci ,

 

En effet , ton pc était bel et bien infecté  :smileysurprised:

 

Merci pour le rapport de Malwarebyte's.

Celui-ci indique que tu as procédé à un examen rapide de ton disque dur.

Je te conseille de recommencer une analyse complete de ton système... on est jamais trop prudent.

 

Je pense que les alertes que tu recevais devraient cesser à présent .... tiens nous au courant biensur :smileyhappy:

 

Je suis tout de même surprise que NIS ait laissé passer toutes ces menaces :smileymad:

Etaient-elles présentes sur le PC avant l'installation de NIS ?

 

J'ai déjà vu " passer " des trojans downloader , et je t'assure que NIS les repère avant que ces menaces ne s'installent sur le disque dur.

 

Concernant le site internet indiqué par phildariane , je confirme que c'est un excellent " traceur " visuel.

 

Puisque tu surfes avec IE 8 , tu peux te rendre dans le menu Page , et sélectionner l'option Traduire avec Bing.

 

519i1166491C5463DD9E

 

La version originale de la page web en anglais sera affichée à côté de la version traduite en français dans la même fenêtre :smileywink:

 

N'hésites surtout pas si tu as d'autres questions , la communauté est là pour ça !

 

Miss

14

bonjour, je vous remercie encore pour votre réponse et votre aide. je suis allée sur le site que Phildariane a suggéré et je vous envoie le résumé - 

Ce résumé textuel peut être imprimé, ou marqué et copié
ultérieure puis le coller dans une autre application :
----------------------------------------------------------------------

RRB Port Authority rapport créé sur UTC: 2010-09-10 à 12:31:07

Les résultats d'analyse de ports: 0-1055.

    Ouvrir des ports 0
    Ports 0 fermés
 1056 Ports furtif
---------------------
 1056 Ports testés

Tous les PORTS testés se sont révélés : STEALTH.

TruStealth : Passé - ALL testé ports étaient STEALTH,
                   -N paquets non sollicités reçus,
                   -AUCUNE réponse ping (ICMP Echo) a été reçue.

 

bon c'est vrai je ne comprends rien de rien, est-ce une analyse de mon PC ou il faut faire autre chose ?

 

en attente de  votre réponse, je vous remercie

15

 

Hello ,

 

Le test des ports de communication est bon :smileyhappy:

 

Tu n'as aucuns ports ouverts ( donc vulnérables à une infection ).

 

Tous les ports de ton ordinateur sont fermés , ou STEALTH ( masqués par le firewall )

 

Même la requête de PING n'a pas donné de réponse.  Tout est bon :smileywink:

 

Il n'y a rien d'autre à faire pour le moment... si les attaques ont cessé , la guerre est gagnée :smileyvery-happy:

 

Miss

16

coucou, je vous remercie encore infiniment pour votre aide et n 'hésiterais pas à vous recommander.

 

sincères salutations

 

Brigitte

17

Coucou,

 

je reviens vers vous car je viens de recevoir  des tentatives d'intrusion, une de source 91.212.226.7 et  une a0001104.dll contenait une menace (BLOODHOUND.MAlPE) détecté par auto-protect.

 

je ne sais plus quoi faire, est-ce grave docteur ?

 

merci encore

18

Bonsoir bci,

 

Cette nouvelle attaque provient de la ville de Zhirkov, proche de Volgograd en Russie.

Tant que tu n'auras pas procéder à un nettoyage complet de ton ordinateur à l'aide de NIS, ton ordinateur sera vulnérable, puisqu'il est infecté par des logiciels parasites (Ver, virus et chevaux de Troye...).

 

Il te faut donc ABSOLUMENT procéder à un nettoyage de ton ordi en suivant les indications du tutoriel de Misstigry : Cliques sur ce lien. Dès que les programmes indésirables auront été détectés par NIS, ils seront automatiquement supprimés.

Afin d'être certain que tu n'es plus infecté, redémarres ton PC (2 fois) et procède de nouveau à un autre scan complet avec NIS. Une fois fait (il ne devrait plus rien trouver), tu redémarres une nouvel fois.

 

Reviens-nous dire ce qu'il en est à l'issue.

19

 

Bonsoir à vous deux ,

 

La redondance et la diversité des infections est préoccupante :smileymad:

 

Nous allons modifier l'angle d'attaque pour éradiquer ces menaces.

 

Je te propose de désactiver la restauration système de Windows XP pour être certaine que rien ne pourra refaire surface après les scans.

 

1. Désactives la restauration système de XP en suivant les instructions sur cette page du support Norton.

 

2. Procèdes à un scan complet avec NIS en mode agressif comme précèdement

 

3. Redémarres plusieurs fois ton PC pour bien nettoyer la zone de boot.

 

4. Refais un scan complet avec Malwarebyte's pour terminer le travail

 

5 Redémarres une dernière fois ton PC

 

6. Remets NIS sur les paramètres par défaut

 

7. Réactives la restauration système de XP

 

Bonne chasse et croisons les doigts :smileywink:

 

Miss

20

bonjour,

 

j'ai suivi à la lettre toutes vos recommandations et je vous fais parvenir la copie de scan de Malwarebytes' : 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4584

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/09/2010 09:57:54
mbam-log-2010-09-11 (09-57-54).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 180217
Temps écoulé: 1 heure(s), 59 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

 

apparemment tout est OK.

 

l'intrusion que j'ai eu hier avait été mise en quarantaine et je l'avais supprimé avant de suivre le parcours que tu m'avais indiqué.

 

J'espère que tout est rentré dans l'ordre et je vous remercie infiniment

 

BRIGITTE