Sygate annonce une modification de Teatimer que faire ?

Modérateur: Modérateurs et Modératrices

Sygate annonce une modification de Teatimer que faire ?

Messagede joseph » 21 Juil 2008, 21:21

Bonjour à tous,
J'ai réinstallé Spybot v.1.60 après avoir effaçé la précédente version. Mais j'ai des modifications du fichier Teatimer.exe signalées par le firewall Sygate après en avoir eu pour ntoskrnl.exe. Est-ce que je dois réinstaller Spybot ?^ :shock:

Exemple:

The executable has changed since the last time you used: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
File Version : 1.6.0.20
File Description : System settings protector
File Path : C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Process ID : 0xCB8 (Heximal) 3256 (Decimal)

Connection origin : local initiated
Protocol : Other
Local Address : 0.0.0.0
Local Port : 0
Remote Name :
Remote Address : 0.0.0.0
Remote Port : 0

Ethernet packet details:
Ethernet II (Packet Length: 56)
Destination: ff-ff-ff-ff-ff-ff
Source: .....-85-37-07-4e
Type: ARP (0x0806)
Address Resolution Protocol (ARP)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: Request
Sender hardware address: …-85-37-07-4e
Sender IP address: 192.168.1.90
Target hardware address: 00-00-00-00-00-00
Target IP address: 192.168.1.90

Binary dump of the packet:

Ceci me fait penser à un article qui traitait d'une tentative de détournement du protocol ARP afin de pouvoir visionner tout ce qui est reçu ou expédié.
Merci pour votre aide.
joseph
 
Messages: 25
Inscription: 21 Juil 2008, 20:52

Messagede nickW » 21 Juil 2008, 23:57

Bonsoir,

J'ignore ce que Sygate surveille exactement, et comment il effectue ses vérifications.

Dans la version précédente de Spybot-S&D, la version de TeaTimer était 1.5.2.16

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Vazkor » 22 Juil 2008, 01:04

Bonjour,

Sygate enregistre une empreinte des fichiers exe et des dll autorisés. Il s'agit probablement d'un CRC32, mais je n'ai jamais cherché à vérifier.
Si la checksum de Teatimer a été modifiée, c'est normal qu'il réagisse en le bloquant.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9802
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede joseph » 22 Juil 2008, 05:50

Rebonjour,

Il y a quelque chose qui m'échappe. Pourquoi suite à un changement de Teatimer le firewall signale une tentative de sortie de ce fichier. Qu'est-ce qu'il peut bien vouloir allez faire sur le net et chez qui ? Il me semble que c'est un facteur d'insécurité certe pas lié exclusivement à Teatimer puisqu'il y a eu aussi des tentatives du ntoskrnl. C'est donc plus un problème de Sygate que de Teatimer.
@+
Merci pour votre aide.
joseph
 
Messages: 25
Inscription: 21 Juil 2008, 20:52

Messagede Vazkor » 23 Juil 2008, 02:02

Bonjour,

Si tu examines bien le rapport de Sygate tu verras que c'est ta machine qui se connecte à elle-même en passant par un ou des ports surveillés par Sygate. Il n'y a pas de sortie sur Internet.


Connection origin : local initiated
Protocol : Other
Local Address : 0.0.0.0 <- c'est ta machine, tout comme 127.0.0.1
Local Port : 0

Remote Name :
Remote Address : 0.0.0.0
Remote Port : 0


Ethernet packet details:
Ethernet II (Packet Length: 56)
Destination: ff-ff-ff-ff-ff-ff
Source: .....-85-37-07-4e
Type: ARP (0x0806)
Address Resolution Protocol (ARP)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: Request
Sender hardware address: …-85-37-07-4e
Sender IP address: 192.168.1.90 <- c'est une adresse IP locale sur un réseau 192.168.*.*
Target hardware address: 00-00-00-00-00-00
Target IP address: 192.168.1.90 <- la cible est égale à l'expéditeur.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9802
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede joseph » 23 Juil 2008, 09:43

:Mouaaarrrrffffffff: Vazkor Merci pour ta réponse, je suis rassuré !
Merci pour votre aide.
joseph
 
Messages: 25
Inscription: 21 Juil 2008, 20:52


Retourner vers Spybot S&D

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité