Il y a actuellement 93 visiteurs
Samedi 30 Août 2014
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

connexion fantome ?? [reglé] enfin presque..

Des difficultés avec un site internet ? Besoin d'aide pour configurer votre PC ou tout autre type de matériel informatique avec votre modem, votre routeur, votre connexion adsl et toutes vos liaisons sans fil Wi-Fi, Bluetooth et Infra-Rouge ? Posez vos questions sur ce forum d'entraide.

connexion fantome ?? [reglé] enfin presque..

Message le 04 Mai 2009 22:33

Bonsoir

via la commande netstat -a (comme ça, pour voir...) je découvre que j'ai des connexion "listening" vers adultrental.com !!!

Je ne fréquente point ce genre de site... antivir ne trouve rien, sophos antiirootkit non plus, spybot non plus. mon log hijackthis est clean.
J'ai un pare feu + une box en parefeu. Mon w2k est à jour.
A tout hasard, j'ai fermé le wifi: idem.
Qu'est que cela peut il être ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 04 Mai 2009 22:34

Bonjour.

Mieux vaut deux fois qu'une.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 04 Mai 2009 22:43

malwarebytes, je l'avais oublié celui là.

Bon, j'y vais.

mais j'ai constaté (avec tcpview)que le responsable des ces connexion est..... mon parefeu kerio ???
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 06:49

maigre résultat !MBM a trouvé ceci:

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

Là, je dois dire que je ne pige pas.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 07:51

ça m'interesse ce topic.

rainblow va trouver ;)
Avatar de l'utilisateur
terriblement
PC-Infopraticien
PC-Infopraticien
 
Messages: 9420
Inscription: 12 Déc 2006 20:38
 

Message le 05 Mai 2009 09:19

Bonjour.

Fais une sauvegarde de ta BDR puis effectue la suppression avec Mbam et dis-nous si cela change quelque chose.

Après, dans le log HiJackThis, est-ce qu'il y avait une ligne dans le genre:

O15 - Trusted Zone: http://site.cochon
O17 - HKLMSystemCCSServicesTcpip..{E725D0A9-ACAA-4E83-A490-79E07995E4B3}: NameServer = 80.10.246.2,80.10.246.129


Sinon, question à un franc, tu es le seul utilisateur de la machine?

terriblement a écrit:rainblow va trouver ;)


Non, je ne suis pas Dieu :lol:

terriblement a écrit:j'en profite pour poser une question : spybot et adaware c'est du passé ?


Pas spécialement mais, en général, on préfère un outil qui est polyvalent plutôt que plusieurs spécifiques.

Rien n'empêche de les garder, Spybot a une sentinelle active et c'est son atout.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 21:07

pas de site cochon, je suis le seul utilisateur avec ma chère et tendre, et quand à HKLMSystemCCSServicesTcpi etc,, j'ai en effet, avec les adresses DNS d'openDNS, que j'utilise (et que lo'n peut paramétrer pour bloquer pas mal de site "douteux" d'ailleurs, c'est rassurant)

Quand à la manip BDR, je tente, bien que je n'aime pas, mais alors pas du tout faire ce genre de truc quand je ne sais pas de quoi il s'agit...

Ah, au fait, un scan en ligne sur trend micro n'a rien trouvé. Ma tension artérielle est retombée de 17 points :P
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 21:21

bon, me revoila.

Après suppression de la lgne trouvée par MBM, et reboot, et ca marche. Première chose, ouf...

Voici à tout hasard le log hikackthis, et la copie de netstat: c'est toujours la.
=============================================

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP PAPA:epmap adultrental.com:0 LISTENING
TCP PAPA:microsoft-ds adultrental.com:0 LISTENING
TCP PAPA:1025 adultrental.com:0 LISTENING
TCP PAPA:1028 adultrental.com:0 LISTENING
TCP PAPA:1033 adultrental.com:0 LISTENING
TCP PAPA:44334 adultrental.com:0 LISTENING
TCP PAPA:44501 adultrental.com:0 LISTENING
TCP PAPA:1026 PAPA:44334 ESTABLISHED
TCP PAPA:1028 PAPA:1030 ESTABLISHED
TCP PAPA:1030 PAPA:1028 ESTABLISHED
TCP PAPA:1031 PAPA:44334 ESTABLISHED
TCP PAPA:1033 PAPA:1035 ESTABLISHED
TCP PAPA:1035 PAPA:1033 ESTABLISHED
TCP PAPA:44334 PAPA:1026 ESTABLISHED
TCP PAPA:44334 PAPA:1031 ESTABLISHED
TCP PAPA:netbios-ssn adultrental.com:0 LISTENING
UDP PAPA:microsoft-ds *:*
UDP PAPA:1027 *:*
UDP PAPA:1029 *:*
UDP PAPA:1032 *:*
UDP PAPA:1034 *:*
UDP PAPA:44334 *:*
UDP PAPA:netbios-ns *:*
UDP PAPA:netbios-dgm *:*
UDP PAPA:isakmp *:*
UDP PAPA:4500 *:*

====================================================
Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32 egsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:WINNTsystem32 askmgr.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilespalmOneHotsync.exe
I:Program FilesOpenOffice.org 3programsoffice.exe
I:Program FilesOpenOffice.org 3programsoffice.bin
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
I:Program FilesAviraAntiVir PersonalEdition Classicavscan.exe
I:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
I:Program FilesLavalysEVEREST Home Editioneverest.bin
I:WINNTsystem32svchost.exe
I:Program FilesVideoLANVLCvlc.exe
I:Program FilesMozilla Firefoxfirefox.exe
I:Documents and SettingspapaBureaussss.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:Program FilesJavajre6injp2ssv.dll
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [avgnt] "I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "I:Program FilesJavajre6injusched.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user')
O4 - Startup: HotSync Manager.LNK = I:Program FilespalmOneHotsync.exe
O4 - Startup: OpenOffice.org 3.0.lnk = I:Program FilesOpenOffice.org 3programquickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitechSetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:Program FilesFichiers communsMicrosoft SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://update.microsoft.com
O15 - Trusted Zone: www.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 9208118406
O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - I:WINNTSystem32dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNTsystem32MGERunSC.exe
===================================
Bon, la machine parait clean, adultrental n'est pas connecté semble t il ( adultrental.com:0 c'est le 0 qui me rassure ?) sans doute parce que ce site est bloqué par openDNS et dans mon fichier host. Et pas de comportement anormal de la bécane. elle est pas belle, la vie ? :lol:

Ceci dit, ne pas comprendre m'agace au plus haut point, mébon, comme dirait le fiston, on s'y fait ! (il n'utilise pas ce PC, et le second seulement sous mon controle. Quand à la princesse, c'est uniquement le site diddle.net, alors....)

Voili voila, en tout cas merci de vos conseils !
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:11

Bonjour.

Je ne suis pas spécialiste de netstat mais cela me semble quand même suspect.

Tu confirmes connaître ces ips:

O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220


Parce que cela donne aux USA :roll:
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:14

absolument. ce sont celles d"openDNS.

Tiens, je vais changer mes DNS dans mon routeur, et on va voir....

a tout de suite...

quelques mn plus tard, le revoici :P

Bon, je suis passé sur les DNS de club internet. Et ca ne change rien.
Je reste à openDNS pour le moment
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:29

Ah ben... re ;)

Bon, aucune idée pour le netstat, peut-être que Skynet ou autre saura quoi faire.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:33

ceci dit, au vu des tests effectués, je ne crois pas qu'il y ait péril, non ?*
ah, au fait, openDNS ce sont les bonnes IPs
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 23:36

jyl2803 a écrit:ah, au fait, openDNS ce sont les bonnes IPs


Pas de soucis de ce côté là alors.

Par contre, toujours ton site pour adulte. Ca craint pour un doc ;)
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 06 Mai 2009 20:56

pfuh...... moqueur... :P

J'ai refait ce soir un scan avec trend micro (en ligne): vraiment rien...

Bon, je reste zen, ma foi, la machine ne pose pas de pbm (visible ne tout cas).

Reste que les ports utilisés par ces connexions sont, avec TCPview, utilisés semble t il par kerio. Un comble.... De fait, en fermant kerio, les connexions disparaissent. Ma version de kerio 4 est la gratuite, clean, quoi....

Il doit y avoir une explication, mais bon, pas de prise de tête, j'ai d'autres choses à faire. :lol:

Merci de vos conseils, avisés comme d'hab.

Ah tiens, j'ai entendu parler d'ewido. (maintenant AVGantispy). Je fais un test de plus ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 609
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 06 Mai 2009 21:12

Bonjour.

Non, pas de test supplémentaire, Mbam est le plus à jour.

A la limite, rien ne t'empêche maintenant d'aller sur le fameux site en question, pareil tu as un accès libre & gratuit :lol:

[Mode sème le doute]

Merci fiston ;)

[/Mode]
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Suivante


Sujets similaires

Message [Réglé] Je crois avoir un virus :(
Bonjour, Mon PC est devenu plus lent depuis quelques jours, et depuis aujourd'hui mon google chrome est "revenu dans le temps", je veux dire par là que j'ai mes anciens favoris et j'ai dû me reconnecter partout, en plus j'ai l'impression que la qualité est moins bonne (les écritures etc). ...
Réponses: 11

Message [Réglé] Logiciel espion?
Bonjour, Suite à un endommagement de mon disque dur il y a quelques mois, j'ai du faire reformater mon pc. J'ai fait la réparation via la connaissance de quelqu'un de mon entourage. Depuis que cela a été fait, à chaque fois que j'ouvre une page sur Mozilla, une "petite fenêtre" se déplace ...
Réponses: 10

Message [Réglé] Mon PC rame
Bonjour !Ceci est mon premier message sur ce forum. Si jamais il n'est pas au bon endroit, sachez que je m'excuse sincèrement et que vous pouvez le modifier à loisir !Alors voilà, depuis quelques mois, mon PC rame. Par cela, je sous-entends que les logiciels mettent du temps à se lancer, ils subisse ...
Réponses: 33

Message [Réglé] Ordi très lent et ne peut rien faire, virus ?
Merci pour votre réponse ! C'est en train d'analyser, seulement cela fait un bon quart d'heure qu'il est bloqué à 23%, je ne sais pas si c'est normal ou pas ? Je vais encore attendre
Réponses: 21

Message [Réglé] besoin d'aide svp
bonjour j'ai trouver un pop up avec malware je voudrait faire un controle s'est l'ordi d'un ami et il n'a pas servi depuis longtemps je ne veux garder que ce qui est utile a la machine en plus l'ordi ram secmerci
Réponses: 26

Message [Réglé] quel equivalent à microsoft office
bonsoir n'ayant pas les moyens de m'offrir la suite Microsoft office et me servant pas mal de word excel et powerpoint... je cherche une alternative gratuite fiable simple efficace mais une vraie qui soit compatible avec office bien sur pouvez vous m'aider svp ? ex
Réponses: 10


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.