Trouver le process à l'origine de spams

Le
Niko
Bonjour,

Je suis à la recherche d'un process sur une machine qui émet des spams.

J'ai pu identifier l'adresse de cette machine par les logs du firewall.
Je suis donc sûr qu'il s'agit bien de ce PC sous windows XP.

04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49361 Dst_ip_port: 216.176.128.38:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49362 Dst_ip_port: 64.129.67.76:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49363 Dst_ip_port: 69.69.103.6:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49364 Dst_ip_port: 216.82.249.3:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49365 Dst_ip_port: 216.99.131.15:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49366 Dst_ip_port: 66.210.239.126:25 Action: drop

Pourtant ni l'utilisation de la commande netstat -a -b -o, ni
l'utilisation d'utilitaires type TCPView (SysInternals) ou Currports
(NirSoft) ne font mention de ce traffic.

L'utilisation du logiciel HijackThis (TrendMicro) ne rapporte aucune
trace d'infection, pas plus que l'antivirus pourtant à jour (NOD32 V3).

J'ai cherché dans la base de registre les clefs "Run", verifié les
services sans résultat.

L'activité CPU du poste n'apparait pas anormale (idle à plus de 95 %).

L'ensemble des process verifiés par la commande tasklist /SVC ne
rapporte rien non plus d'anormal.

Bref,je seche. Tous ce qui me reste c'est réinitialiser la couche réseau
TCP mais je voudrai quand même identifier cette saleté et comprendre
comment elle fonctionne.

Est-ce que quelq'un saurait comment identifier le process qui émet ces
paquets IP ou a une piste de recherche que je n'aurai pas encore essayer ?

Merci d'avance

Niko
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yolé
Le #6364441
Hello "Niko"

"Niko"
Bonjour,

Je suis à la recherche d'un process sur une machine qui émet des spams.



T'as essayé avec CodeStuff Starter" ? http://CodeStuff.mirrorz.com

J'ai pu identifier l'adresse de cette machine par les logs du firewall. Je
suis donc sûr qu'il s'agit bien de ce PC sous windows XP.

04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49361 Dst_ip_port: 216.176.128.38:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49362 Dst_ip_port: 64.129.67.76:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49363 Dst_ip_port: 69.69.103.6:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49364 Dst_ip_port: 216.82.249.3:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49365 Dst_ip_port: 216.99.131.15:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16 10.0.0.138
FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49366 Dst_ip_port: 66.210.239.126:25 Action: drop

Pourtant ni l'utilisation de la commande netstat -a -b -o, ni
l'utilisation d'utilitaires type TCPView (SysInternals) ou Currports
(NirSoft) ne font mention de ce traffic.

L'utilisation du logiciel HijackThis (TrendMicro) ne rapporte aucune trace
d'infection, pas plus que l'antivirus pourtant à jour (NOD32 V3).

J'ai cherché dans la base de registre les clefs "Run", verifié les
services sans résultat.

L'activité CPU du poste n'apparait pas anormale (idle à plus de 95 %).

L'ensemble des process verifiés par la commande tasklist /SVC ne rapporte
rien non plus d'anormal.

Bref,je seche. Tous ce qui me reste c'est réinitialiser la couche réseau
TCP mais je voudrai quand même identifier cette saleté et comprendre
comment elle fonctionne.

Est-ce que quelq'un saurait comment identifier le process qui émet ces
paquets IP ou a une piste de recherche que je n'aurai pas encore essayer ?

Merci d'avance

Niko


--
Cdlt
Yolé

Yolé
Le #6364421
lien fonctionnel ici ;-)
http://www.clubic.com/telecharger-fiche12492-starter.html
l'autre pas terrible !

--
Yolé

"Yolé" news: OgMvI$
Hello "Niko"

"Niko"
Bonjour,

Je suis à la recherche d'un process sur une machine qui émet des spams.



T'as essayé avec CodeStuff Starter" ? http://CodeStuff.mirrorz.com

J'ai pu identifier l'adresse de cette machine par les logs du firewall.
Je suis donc sûr qu'il s'agit bien de ce PC sous windows XP.

04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49361 Dst_ip_port: 216.176.128.38:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49362 Dst_ip_port: 64.129.67.76:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49363 Dst_ip_port: 69.69.103.6:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49364 Dst_ip_port: 216.82.249.3:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49365 Dst_ip_port: 216.99.131.15:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime: 02:15:16
10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP Src_ip_port:
10.0.0.23:49366 Dst_ip_port: 66.210.239.126:25 Action: drop

Pourtant ni l'utilisation de la commande netstat -a -b -o, ni
l'utilisation d'utilitaires type TCPView (SysInternals) ou Currports
(NirSoft) ne font mention de ce traffic.

L'utilisation du logiciel HijackThis (TrendMicro) ne rapporte aucune
trace d'infection, pas plus que l'antivirus pourtant à jour (NOD32 V3).

J'ai cherché dans la base de registre les clefs "Run", verifié les
services sans résultat.

L'activité CPU du poste n'apparait pas anormale (idle à plus de 95 %).

L'ensemble des process verifiés par la commande tasklist /SVC ne rapporte
rien non plus d'anormal.

Bref,je seche. Tous ce qui me reste c'est réinitialiser la couche réseau
TCP mais je voudrai quand même identifier cette saleté et comprendre
comment elle fonctionne.

Est-ce que quelq'un saurait comment identifier le process qui émet ces
paquets IP ou a une piste de recherche que je n'aurai pas encore essayer
?

Merci d'avance

Niko


--
Cdlt
Yolé




Ascadix
Le #6367741
Bonjour,

Je suis à la recherche d'un process sur une machine qui émet des spams.

J'ai pu identifier l'adresse de cette machine par les logs du firewall.
Je suis donc sûr qu'il s'agit bien de ce PC sous windows XP.

04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49361 Dst_ip_port: 216.176.128.38:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49362 Dst_ip_port: 64.129.67.76:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49363 Dst_ip_port: 69.69.103.6:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49364 Dst_ip_port: 216.82.249.3:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49365 Dst_ip_port: 216.99.131.15:25 Action: drop
04-23-2008 18:18:52 Auth.Warning 10.0.0.138 SysUpTime:
02:15:16 10.0.0.138 FIREWALL Hook: forward Rule Id: 1 Protocol: TCP
Src_ip_port: 10.0.0.23:49366 Dst_ip_port: 66.210.239.126:25 Action: drop

Pourtant ni l'utilisation de la commande netstat -a -b -o, ni
l'utilisation d'utilitaires type TCPView (SysInternals) ou Currports
(NirSoft) ne font mention de ce traffic.

L'utilisation du logiciel HijackThis (TrendMicro) ne rapporte aucune
trace d'infection, pas plus que l'antivirus pourtant à jour (NOD32 V3).

J'ai cherché dans la base de registre les clefs "Run", verifié les
services sans résultat.

L'activité CPU du poste n'apparait pas anormale (idle à plus de 95 %).

L'ensemble des process verifiés par la commande tasklist /SVC ne
rapporte rien non plus d'anormal.

Bref,je seche. Tous ce qui me reste c'est réinitialiser la couche réseau
TCP mais je voudrai quand même identifier cette saleté et comprendre
comment elle fonctionne.

Est-ce que quelq'un saurait comment identifier le process qui émet ces
paquets IP ou a une piste de recherche que je n'aurai pas encore essayer ?

Merci d'avance

Niko


Faut passer juste au bon moment avec ça ...

Install donc temporairement un p'tit FW perso ( genre Sunbelt/Kerio) en
mode apprentissage et en activant les logs, tu devrait voir apparaitre
rapidement le schimilblik dessus

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

Publicité
Poster une réponse
Anonyme