Il y a actuellement 83 visiteurs
Vendredi 31 Octobre 2014
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

connexion fantome ?? [reglé] enfin presque..

Des difficultés avec un site internet ? Besoin d'aide pour configurer votre PC ou tout autre type de matériel informatique avec votre modem, votre routeur, votre connexion adsl et toutes vos liaisons sans fil Wi-Fi, Bluetooth et Infra-Rouge ? Posez vos questions sur ce forum d'entraide.

connexion fantome ?? [reglé] enfin presque..

Message le 04 Mai 2009 22:33

Bonsoir

via la commande netstat -a (comme ça, pour voir...) je découvre que j'ai des connexion "listening" vers adultrental.com !!!

Je ne fréquente point ce genre de site... antivir ne trouve rien, sophos antiirootkit non plus, spybot non plus. mon log hijackthis est clean.
J'ai un pare feu + une box en parefeu. Mon w2k est à jour.
A tout hasard, j'ai fermé le wifi: idem.
Qu'est que cela peut il être ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 04 Mai 2009 22:34

Bonjour.

Mieux vaut deux fois qu'une.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 04 Mai 2009 22:43

malwarebytes, je l'avais oublié celui là.

Bon, j'y vais.

mais j'ai constaté (avec tcpview)que le responsable des ces connexion est..... mon parefeu kerio ???
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 06:49

maigre résultat !MBM a trouvé ceci:

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

Là, je dois dire que je ne pige pas.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 07:51

ça m'interesse ce topic.

rainblow va trouver ;)
Avatar de l'utilisateur
terriblement
PC-Infopraticien
PC-Infopraticien
 
Messages: 9419
Inscription: 12 Déc 2006 20:38
 

Message le 05 Mai 2009 09:19

Bonjour.

Fais une sauvegarde de ta BDR puis effectue la suppression avec Mbam et dis-nous si cela change quelque chose.

Après, dans le log HiJackThis, est-ce qu'il y avait une ligne dans le genre:

O15 - Trusted Zone: http://site.cochon
O17 - HKLMSystemCCSServicesTcpip..{E725D0A9-ACAA-4E83-A490-79E07995E4B3}: NameServer = 80.10.246.2,80.10.246.129


Sinon, question à un franc, tu es le seul utilisateur de la machine?

terriblement a écrit:rainblow va trouver ;)


Non, je ne suis pas Dieu :lol:

terriblement a écrit:j'en profite pour poser une question : spybot et adaware c'est du passé ?


Pas spécialement mais, en général, on préfère un outil qui est polyvalent plutôt que plusieurs spécifiques.

Rien n'empêche de les garder, Spybot a une sentinelle active et c'est son atout.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 21:07

pas de site cochon, je suis le seul utilisateur avec ma chère et tendre, et quand à HKLMSystemCCSServicesTcpi etc,, j'ai en effet, avec les adresses DNS d'openDNS, que j'utilise (et que lo'n peut paramétrer pour bloquer pas mal de site "douteux" d'ailleurs, c'est rassurant)

Quand à la manip BDR, je tente, bien que je n'aime pas, mais alors pas du tout faire ce genre de truc quand je ne sais pas de quoi il s'agit...

Ah, au fait, un scan en ligne sur trend micro n'a rien trouvé. Ma tension artérielle est retombée de 17 points :P
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 21:21

bon, me revoila.

Après suppression de la lgne trouvée par MBM, et reboot, et ca marche. Première chose, ouf...

Voici à tout hasard le log hikackthis, et la copie de netstat: c'est toujours la.
=============================================

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP PAPA:epmap adultrental.com:0 LISTENING
TCP PAPA:microsoft-ds adultrental.com:0 LISTENING
TCP PAPA:1025 adultrental.com:0 LISTENING
TCP PAPA:1028 adultrental.com:0 LISTENING
TCP PAPA:1033 adultrental.com:0 LISTENING
TCP PAPA:44334 adultrental.com:0 LISTENING
TCP PAPA:44501 adultrental.com:0 LISTENING
TCP PAPA:1026 PAPA:44334 ESTABLISHED
TCP PAPA:1028 PAPA:1030 ESTABLISHED
TCP PAPA:1030 PAPA:1028 ESTABLISHED
TCP PAPA:1031 PAPA:44334 ESTABLISHED
TCP PAPA:1033 PAPA:1035 ESTABLISHED
TCP PAPA:1035 PAPA:1033 ESTABLISHED
TCP PAPA:44334 PAPA:1026 ESTABLISHED
TCP PAPA:44334 PAPA:1031 ESTABLISHED
TCP PAPA:netbios-ssn adultrental.com:0 LISTENING
UDP PAPA:microsoft-ds *:*
UDP PAPA:1027 *:*
UDP PAPA:1029 *:*
UDP PAPA:1032 *:*
UDP PAPA:1034 *:*
UDP PAPA:44334 *:*
UDP PAPA:netbios-ns *:*
UDP PAPA:netbios-dgm *:*
UDP PAPA:isakmp *:*
UDP PAPA:4500 *:*

====================================================
Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32 egsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:WINNTsystem32 askmgr.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilespalmOneHotsync.exe
I:Program FilesOpenOffice.org 3programsoffice.exe
I:Program FilesOpenOffice.org 3programsoffice.bin
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
I:Program FilesAviraAntiVir PersonalEdition Classicavscan.exe
I:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
I:Program FilesLavalysEVEREST Home Editioneverest.bin
I:WINNTsystem32svchost.exe
I:Program FilesVideoLANVLCvlc.exe
I:Program FilesMozilla Firefoxfirefox.exe
I:Documents and SettingspapaBureaussss.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:Program FilesJavajre6injp2ssv.dll
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [avgnt] "I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "I:Program FilesJavajre6injusched.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user')
O4 - Startup: HotSync Manager.LNK = I:Program FilespalmOneHotsync.exe
O4 - Startup: OpenOffice.org 3.0.lnk = I:Program FilesOpenOffice.org 3programquickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitechSetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:Program FilesFichiers communsMicrosoft SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://update.microsoft.com
O15 - Trusted Zone: www.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 9208118406
O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - I:WINNTSystem32dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNTsystem32MGERunSC.exe
===================================
Bon, la machine parait clean, adultrental n'est pas connecté semble t il ( adultrental.com:0 c'est le 0 qui me rassure ?) sans doute parce que ce site est bloqué par openDNS et dans mon fichier host. Et pas de comportement anormal de la bécane. elle est pas belle, la vie ? :lol:

Ceci dit, ne pas comprendre m'agace au plus haut point, mébon, comme dirait le fiston, on s'y fait ! (il n'utilise pas ce PC, et le second seulement sous mon controle. Quand à la princesse, c'est uniquement le site diddle.net, alors....)

Voili voila, en tout cas merci de vos conseils !
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:11

Bonjour.

Je ne suis pas spécialiste de netstat mais cela me semble quand même suspect.

Tu confirmes connaître ces ips:

O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220


Parce que cela donne aux USA :roll:
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:14

absolument. ce sont celles d"openDNS.

Tiens, je vais changer mes DNS dans mon routeur, et on va voir....

a tout de suite...

quelques mn plus tard, le revoici :P

Bon, je suis passé sur les DNS de club internet. Et ca ne change rien.
Je reste à openDNS pour le moment
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:29

Ah ben... re ;)

Bon, aucune idée pour le netstat, peut-être que Skynet ou autre saura quoi faire.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:33

ceci dit, au vu des tests effectués, je ne crois pas qu'il y ait péril, non ?*
ah, au fait, openDNS ce sont les bonnes IPs
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 23:36

jyl2803 a écrit:ah, au fait, openDNS ce sont les bonnes IPs


Pas de soucis de ce côté là alors.

Par contre, toujours ton site pour adulte. Ca craint pour un doc ;)
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 06 Mai 2009 20:56

pfuh...... moqueur... :P

J'ai refait ce soir un scan avec trend micro (en ligne): vraiment rien...

Bon, je reste zen, ma foi, la machine ne pose pas de pbm (visible ne tout cas).

Reste que les ports utilisés par ces connexions sont, avec TCPview, utilisés semble t il par kerio. Un comble.... De fait, en fermant kerio, les connexions disparaissent. Ma version de kerio 4 est la gratuite, clean, quoi....

Il doit y avoir une explication, mais bon, pas de prise de tête, j'ai d'autres choses à faire. :lol:

Merci de vos conseils, avisés comme d'hab.

Ah tiens, j'ai entendu parler d'ewido. (maintenant AVGantispy). Je fais un test de plus ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 06 Mai 2009 21:12

Bonjour.

Non, pas de test supplémentaire, Mbam est le plus à jour.

A la limite, rien ne t'empêche maintenant d'aller sur le fameux site en question, pareil tu as un accès libre & gratuit :lol:

[Mode sème le doute]

Merci fiston ;)

[/Mode]
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7450
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Suivante


Sujets similaires

Message Perte de connexion au réseau local
Bonjour, voilà, depuis hier soir je perds la connexion à mon réseau local (SFR box, fibre 200M) sur ma tour, à chaque démarrage l'ordinateur se connecte quelques instants et puis vient "pas d'accès internet". J'ai redémarré ma box, mon routeur, mis à jour ma carte ethernet, désinstallé pui ...
Réponses: 4

Message Problème connexion avec CPL
Bonjour, J'ai un problème avec ma connexion, ça arrive de temps en temps mais assez fréquemment. Je possède un CPL, celui ci : http://puu.sh/cq618/fe79bda0f2.jpg qui est relié de ma box jusqu'à mon PC Fixe. Je pense que mon problème est survenu depuis que j'ai voulu installer un deuxième CPL, qui lu ...
Réponses: 1

Message Demande d'aide/ Rootkit détecté [Réglé]
Bonsoir à tous,Je souhaiterais avoir un petit coup de pouce pour me débarrasser d'un Rootkit que Avast repère à chaque démarrage depuis aujourd'hui, et qui semble faire planter le PC de temps à autres. Je ne voudrais pas que ça s'aggrave, et comme je n'arrive pas à m'en débarrasser, j'aurais besoin ...
Réponses: 30

Message connexion avec Wifi
Comment réinstaller le réseau Wifi pour mon PC Lenovo g505. J'ai changer de système et depuis après je n'arrivais plus à le trouver dans mon pc le réseau wifi
Réponses: 1

Message probleme connexion internet
Bonjourj'ai un probleme avec mon pc depuis ce matin il ne veut pas se connecter, en bas à droite l'icône est barrée dune croix rouge. J'ai aussi un message BIDING PORT 843 FAILED et aussi échec de connexion à un service Windows. Je comprends pas il fonctionnait très bien la veille.si quelqu'un peut ...
Réponses: 1

Message [Réglé] Mettre à jour ma carte graphique
Bonjour,Après plusieurs tentatives je ne suis pas parvenu à mettre ma carte graphique à jour,il s' agit de d' une ATI Radeon HD 7670M.Du coup, je me retrouve sans le AMD Catalyst control center et donc ma carte graphique est inutilisable.Voilà,Merci d' avance Jack
Réponses: 6


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.