rogue
épisode précédent:
pconinternet solution à:
pconinternet4
20071210, photos:
http://antiguide.free.fr/images/pconinternet/20071210_mike/
0) machine en veille,
1) la session mike_admin est maintenant aussi infectée (probable qu'elle a été utilisée pour aller sur internet, mais pas de preuve).
RAPPEL: il ne faut pas aller sur internet avec une session administrateur
2) l'invitation à charger depuis key32.com peut apparâitre sans navigateur ouvert
3) le fichier c:\winnt\system32\drivers\etc\hosts date de Juillet 2007, vidé de son contenu (copie conservée en place)
4) cette fois ci trouvé un parasite 'puogmyf.exe' voir photo ; n'existe pas sur le disque ni le web
5) si réseau débranché au boot, puogmyf se lance un certain temps puis disparait
6) vsmon (partie de
ZoneAlarm) consomme 50 % du cpu quand le cable ethernet est débranché ? % raisonnable si branché
7) hyper-activité disque, pas arrivé à déterminer si c'est une analyse programmée (ou en retard) de NAV
8) capturé avec william quelques secondes de trafic sur la prise, à étudier, *.acp dans le dossier
http://antiguide.free.fr/images/pconinternet/20071210_mike à lire avec
analyzer
9) observation sur le reseau ([(noos]] ):
à placer ailleurs
- ne parait pas en dhcp, vérifier IP fixe sur le poste W2000,
- ressemble plus à un réseau sur hub que switch, à confirmer
finalement et suite:
- repassé en session mike_panne, parait toujours saine
- proposition: mettre un routeur (si personne ne me retrouv en un Trend TW100, un Belkin F5D7230: routeur wifi utilisé en filaire)
router belkin installé en janvier 2008 @à