[parano?] "SYSTEM" veut communiquer avec l'exterieur...
18 réponses
lionel.paugam
bonjour,
Suite a la decouverte de l'elevage de malware que rerésentait le PC
de mon pote et cela malgré l'install de logiciel de securité, je
commence a devenir parano.
Hier mon firewall m'a indiqué une demande de communication entrante
en TCP sur le port 1033 avec "system" qui se situe dans
c:/windows/system32/config.
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le
copier dans un autre repertoire pour le scanner sous XP(impossible) et
en mode sans echec (idem).
Il me semblait qu'il s'agit d'un programme windows mais je peut me
tromper.
Hier mon firewall m'a indiqué une demande de communication entrante en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Pas d'extension?
Il n'y a pas de fichier config.* appartenant à windows dans le rép. system32: http://www.answersthatwork.com/Tasklist_pages/tasklist_c.htm
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le copier dans un autre repertoire pour le scanner sous XP(impossible) et en mode sans echec (idem).
Même en faisant une sélection puis glissé/déposé avec la touche CTRL enfoncée?
Sinon: gestionnaire de tâche et désactivation du processus. S'il est relancé, c'est qu'il y a un autre programme en mémoire qui le relance.
-- joke0
Salut,
lionel.paugam:
Hier mon firewall m'a indiqué une demande de communication
entrante en TCP sur le port 1033 avec "system" qui se situe
dans
c:/windows/system32/config.
Pas d'extension?
Il n'y a pas de fichier config.* appartenant à windows dans le
rép. system32:
http://www.answersthatwork.com/Tasklist_pages/tasklist_c.htm
Fort des leçons précédente j'ai tenté de le scanner (RAS),
puis de le copier dans un autre repertoire pour le scanner
sous XP(impossible) et en mode sans echec (idem).
Même en faisant une sélection puis glissé/déposé avec la touche
CTRL enfoncée?
Sinon: gestionnaire de tâche et désactivation du processus. S'il
est relancé, c'est qu'il y a un autre programme en mémoire qui
le relance.
Hier mon firewall m'a indiqué une demande de communication entrante en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Pas d'extension?
Il n'y a pas de fichier config.* appartenant à windows dans le rép. system32: http://www.answersthatwork.com/Tasklist_pages/tasklist_c.htm
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le copier dans un autre repertoire pour le scanner sous XP(impossible) et en mode sans echec (idem).
Même en faisant une sélection puis glissé/déposé avec la touche CTRL enfoncée?
Sinon: gestionnaire de tâche et désactivation du processus. S'il est relancé, c'est qu'il y a un autre programme en mémoire qui le relance.
-- joke0
lionel.paugam
bonjour,
Il n'y a pas de fichier config.* appartenant à windows dans le rép. system32:
flûte ! le point de la fin de ma phrase crée une confusion
il s'agit de c:/windows/system32/config/system (sans extension)
qui en dit : Recommendation : The Operating System !! Leave alone.
rassurant.
merci pour le lien :-)
-- kenavo lionel
Noshi
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote:
bonjour,
Suite a la decouverte de l'elevage de malware que rerésentait le PC de mon pote et cela malgré l'install de logiciel de securité, je commence a devenir parano.
C'est une bonne chose :)
Hier mon firewall m'a indiqué une demande de communication entrante en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un fichier contenant les login/mdp des utilisateurs. Tous ces fichiers sont locké par le systeme. Le seul moyen d'y accéder est de booter via une disquette dos. Mais si le disque est en ntfs il sera tres difficile d'y accéder.
Raison pour laquelle il faut empecher le boot sur disquette. Avec ca + un pc disponible une personne mal intentionnée peut récupérer EXTREMEMENT FACILEMENT les logins/mdp du système...
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le copier dans un autre repertoire pour le scanner sous XP(impossible) et en mode sans echec (idem).
Il me semblait qu'il s'agit d'un programme windows mais je peut me tromper.
C'est probablement une tentative de piratage. Quelqu'un qui a essayé d'avoir accès au registre a distance.
-- Noshi
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote:
bonjour,
Suite a la decouverte de l'elevage de malware que rerésentait le PC
de mon pote et cela malgré l'install de logiciel de securité, je
commence a devenir parano.
C'est une bonne chose :)
Hier mon firewall m'a indiqué une demande de communication entrante
en TCP sur le port 1033 avec "system" qui se situe dans
c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un fichier
contenant les login/mdp des utilisateurs. Tous ces fichiers sont locké par
le systeme. Le seul moyen d'y accéder est de booter via une disquette dos.
Mais si le disque est en ntfs il sera tres difficile d'y accéder.
Raison pour laquelle il faut empecher le boot sur disquette. Avec ca + un
pc disponible une personne mal intentionnée peut récupérer EXTREMEMENT
FACILEMENT les logins/mdp du système...
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le
copier dans un autre repertoire pour le scanner sous XP(impossible) et
en mode sans echec (idem).
Il me semblait qu'il s'agit d'un programme windows mais je peut me
tromper.
C'est probablement une tentative de piratage. Quelqu'un qui a essayé
d'avoir accès au registre a distance.
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote:
bonjour,
Suite a la decouverte de l'elevage de malware que rerésentait le PC de mon pote et cela malgré l'install de logiciel de securité, je commence a devenir parano.
C'est une bonne chose :)
Hier mon firewall m'a indiqué une demande de communication entrante en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un fichier contenant les login/mdp des utilisateurs. Tous ces fichiers sont locké par le systeme. Le seul moyen d'y accéder est de booter via une disquette dos. Mais si le disque est en ntfs il sera tres difficile d'y accéder.
Raison pour laquelle il faut empecher le boot sur disquette. Avec ca + un pc disponible une personne mal intentionnée peut récupérer EXTREMEMENT FACILEMENT les logins/mdp du système...
Fort des leçons précédente j'ai tenté de le scanner (RAS), puis de le copier dans un autre repertoire pour le scanner sous XP(impossible) et en mode sans echec (idem).
Il me semblait qu'il s'agit d'un programme windows mais je peut me tromper.
C'est probablement une tentative de piratage. Quelqu'un qui a essayé d'avoir accès au registre a distance.
-- Noshi
lionel.paugam
bonjour, Noshi vient de nous annoncer :
C'est une bonne chose :)
d'ici a ce que je croie qu'on parle de moi dans les mélée de rugby ;-)
C'est probablement une tentative de piratage. Quelqu'un qui a essayé d'avoir accès au registre a distance.
oui, je me rassurais en voyant qu'il s'agissait d'une tentative de connection entrante. Outpost me dit que system est a l'écoute (listening) sur trois ports, peut-on/doit-on les museler ?
merci.
-- kenavo lionel
bonjour,
Noshi vient de nous annoncer :
C'est une bonne chose :)
d'ici a ce que je croie qu'on parle de moi dans les mélée de rugby ;-)
C'est probablement une tentative de piratage. Quelqu'un qui a essayé
d'avoir accès au registre a distance.
oui, je me rassurais en voyant qu'il s'agissait d'une tentative de
connection entrante.
Outpost me dit que system est a l'écoute (listening) sur trois ports,
peut-on/doit-on les museler ?
d'ici a ce que je croie qu'on parle de moi dans les mélée de rugby ;-)
C'est probablement une tentative de piratage. Quelqu'un qui a essayé d'avoir accès au registre a distance.
oui, je me rassurais en voyant qu'il s'agissait d'une tentative de connection entrante. Outpost me dit que system est a l'écoute (listening) sur trois ports, peut-on/doit-on les museler ?
merci.
-- kenavo lionel
joke0
Salut,
lionel.paugam:
qui en dit : Recommendation : The Operating System !! Leave alone.
Ça n'explique pas pourquoi ce fichier veut aller sur le net!
-- joke0
Salut,
lionel.paugam:
qui en dit : Recommendation :
The Operating System !! Leave alone.
Ça n'explique pas pourquoi ce fichier veut aller sur le net!
qui en dit : Recommendation : The Operating System !! Leave alone.
Ça n'explique pas pourquoi ce fichier est en écoute sur le net!
[Supersedes]
-- joke0
JacK
sur les news:, Noshi signalait:
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote: {...]>> Hier mon firewall m'a indiqué une demande de communication
entrante
en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un fichier contenant les login/mdp des utilisateurs. Tous ces fichiers sont locké par le systeme. Le seul moyen d'y accéder est de booter via une disquette dos. Mais si le disque est en ntfs il sera tres difficile d'y accéder.
Suffit de se faire une disquette LINUX de P. Nordhall-Hagen ;)
J'utilise régulièrement en dépannage pour supprimer les pwd admin oubliés, nasodigital. Comme tu dis : un PC accessible risque de ne pas rester longtemps ton PC... Un bon système de protection : DRIVECRYPT - PLUS PACK, je n'ai jamais réussi à le bypasser sur mes postes avec une authentification au pre-boot.
AMCD ou Guillermitto, peut-être une idée du how to ? -- JacK
sur les news:1lm75oa2shqoq.dlg@noshi.net,
Noshi <noshi@lacave.net> signalait:
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote:
{...]>> Hier mon firewall m'a indiqué une demande de communication
entrante
en TCP sur le port 1033 avec "system" qui se situe dans
c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un
fichier contenant les login/mdp des utilisateurs. Tous ces fichiers
sont locké par le systeme. Le seul moyen d'y accéder est de booter
via une disquette dos. Mais si le disque est en ntfs il sera tres
difficile d'y accéder.
Suffit de se faire une disquette LINUX de P. Nordhall-Hagen ;)
J'utilise régulièrement en dépannage pour supprimer les pwd admin oubliés,
nasodigital.
Comme tu dis : un PC accessible risque de ne pas rester longtemps ton PC...
Un bon système de protection : DRIVECRYPT - PLUS PACK, je n'ai jamais
réussi à le bypasser sur mes postes avec une authentification au pre-boot.
AMCD ou Guillermitto, peut-être une idée du how to ?
--
JacK
On Fri, 27 Feb 2004 23:02:02 +0100, lionel.paugam wrote: {...]>> Hier mon firewall m'a indiqué une demande de communication
entrante
en TCP sur le port 1033 avec "system" qui se situe dans c:/windows/system32/config.
Oui. Le répertoire config contient les clé du registre ainsi qu'un fichier contenant les login/mdp des utilisateurs. Tous ces fichiers sont locké par le systeme. Le seul moyen d'y accéder est de booter via une disquette dos. Mais si le disque est en ntfs il sera tres difficile d'y accéder.
Suffit de se faire une disquette LINUX de P. Nordhall-Hagen ;)
J'utilise régulièrement en dépannage pour supprimer les pwd admin oubliés, nasodigital. Comme tu dis : un PC accessible risque de ne pas rester longtemps ton PC... Un bon système de protection : DRIVECRYPT - PLUS PACK, je n'ai jamais réussi à le bypasser sur mes postes avec une authentification au pre-boot.
AMCD ou Guillermitto, peut-être une idée du how to ? -- JacK
lionel.paugam
bonjour, joke0 avait soumis l'idée :
Ça n'explique pas pourquoi ce fichier est en écoute sur le net!
c'est vrai... disons que ça le legitimais.
Je suis en train de tenter de le museler avec outpost mais il y a un petit problème, il écoute en utilisant de protocoles que je découvre :
SYSTEM n/a n/a GRE 0 bytes 0 bytes 28/02/2004 00:27:26 Listening 12032 n/a 00:03:55 0 SYSTEM n/a n/a RAWSOCKET 0 bytes 0 bytes 28/02/2004 00:27:26 Listening n/a n/a 00:02:05 0
il est tard, demain je jetterais un oeil sur le net pour comprendre.
bonne nuit :-)
-- kenavo lionel
bonjour,
joke0 avait soumis l'idée :
Ça n'explique pas pourquoi ce fichier est en écoute sur le net!
c'est vrai... disons que ça le legitimais.
Je suis en train de tenter de le museler avec outpost mais il y a un
petit problème, il écoute en utilisant de protocoles que je découvre :
SYSTEM n/a n/a GRE 0 bytes 0 bytes 28/02/2004
00:27:26 Listening 12032 n/a 00:03:55 0
SYSTEM n/a n/a RAWSOCKET 0 bytes 0 bytes 28/02/2004
00:27:26 Listening n/a n/a 00:02:05 0
il est tard, demain je jetterais un oeil sur le net pour comprendre.
