connexion fantome ?? [reglé] enfin presque..

[jyl2803]

Bonsoir

via la commande netstat -a (comme ça, pour voir...) je découvre que j'ai des connexion "listening" vers adultrental.com !!!

Je ne fréquente point ce genre de site... antivir ne trouve rien, sophos antiirootkit non plus, spybot non plus. mon log hijackthis est clean.
J'ai un pare feu + une box en parefeu. Mon w2k est à jour.
A tout hasard, j'ai fermé le wifi: idem.
Qu'est que cela peut il être ????

[r@in | b0w]

Bonjour.

Mieux vaut deux fois qu'une.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

[jyl2803]

malwarebytes, je l'avais oublié celui là.

Bon, j'y vais.

mais j'ai constaté (avec tcpview)que le responsable des ces connexion est..... mon parefeu kerio ???

[jyl2803]

maigre résultat !MBM a trouvé ceci:

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

Là, je dois dire que je ne pige pas.

[terriblement]

ça m'interesse ce topic.

rainblow va trouver

[r@in | b0w]

Bonjour.

Fais une sauvegarde de ta BDR puis effectue la suppression avec Mbam et dis-nous si cela change quelque chose.

Après, dans le log HiJackThis, est-ce qu'il y avait une ligne dans le genre:

O15 - Trusted Zone: http://site.cochon
O17 - HKLMSystemCCSServicesTcpip..{E725D0A9-ACAA-4E83-A490-79E07995E4B3}: NameServer = 80.10.246.2,80.10.246.129

Sinon, question à un franc, tu es le seul utilisateur de la machine?

rainblow va trouver

Non, je ne suis pas Dieu

j'en profite pour poser une question : spybot et adaware c'est du passé ?

Pas spécialement mais, en général, on préfère un outil qui est polyvalent plutôt que plusieurs spécifiques.

Rien n'empêche de les garder, Spybot a une sentinelle active et c'est son atout.

[jyl2803]

pas de site cochon, je suis le seul utilisateur avec ma chère et tendre, et quand à HKLMSystemCCSServicesTcpi etc,, j'ai en effet, avec les adresses DNS d'openDNS, que j'utilise (et que lo'n peut paramétrer pour bloquer pas mal de site "douteux" d'ailleurs, c'est rassurant)

Quand à la manip BDR, je tente, bien que je n'aime pas, mais alors pas du tout faire ce genre de truc quand je ne sais pas de quoi il s'agit...

Ah, au fait, un scan en ligne sur trend micro n'a rien trouvé. Ma tension artérielle est retombée de 17 points

[jyl2803]

bon, me revoila.

Après suppression de la lgne trouvée par MBM, et reboot, et ca marche. Première chose, ouf...

Voici à tout hasard le log hikackthis, et la copie de netstat: c'est toujours la.
=============================================

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP PAPA:epmap adultrental.com:0 LISTENING
TCP PAPA:microsoft-ds adultrental.com:0 LISTENING
TCP PAPA:1025 adultrental.com:0 LISTENING
TCP PAPA:1028 adultrental.com:0 LISTENING
TCP PAPA:1033 adultrental.com:0 LISTENING
TCP PAPA:44334 adultrental.com:0 LISTENING
TCP PAPA:44501 adultrental.com:0 LISTENING
TCP PAPA:1026 PAPA:44334 ESTABLISHED
TCP PAPA:1028 PAPA:1030 ESTABLISHED
TCP PAPA:1030 PAPA:1028 ESTABLISHED
TCP PAPA:1031 PAPA:44334 ESTABLISHED
TCP PAPA:1033 PAPA:1035 ESTABLISHED
TCP PAPA:1035 PAPA:1033 ESTABLISHED
TCP PAPA:44334 PAPA:1026 ESTABLISHED
TCP PAPA:44334 PAPA:1031 ESTABLISHED
TCP PAPA:netbios-ssn adultrental.com:0 LISTENING
UDP PAPA:microsoft-ds *:*
UDP PAPA:1027 *:*
UDP PAPA:1029 *:*
UDP PAPA:1032 *:*
UDP PAPA:1034 *:*
UDP PAPA:44334 *:*
UDP PAPA:netbios-ns *:*
UDP PAPA:netbios-dgm *:*
UDP PAPA:isakmp *:*
UDP PAPA:4500 *:*

====================================================
Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32 egsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:WINNTsystem32 askmgr.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilespalmOneHotsync.exe
I:Program FilesOpenOffice.org 3programsoffice.exe
I:Program FilesOpenOffice.org 3programsoffice.bin
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
I:Program FilesAviraAntiVir PersonalEdition Classicavscan.exe
I:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
I:Program FilesLavalysEVEREST Home Editioneverest.bin
I:WINNTsystem32svchost.exe
I:Program FilesVideoLANVLCvlc.exe
I:Program FilesMozilla Firefoxfirefox.exe
I:Documents and SettingspapaBureaussss.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:Program FilesJavajre6injp2ssv.dll
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [avgnt] "I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "I:Program FilesJavajre6injusched.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user')
O4 - Startup: HotSync Manager.LNK = I:Program FilespalmOneHotsync.exe
O4 - Startup: OpenOffice.org 3.0.lnk = I:Program FilesOpenOffice.org 3programquickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitechSetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:Program FilesFichiers communsMicrosoft SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://update.microsoft.com
O15 - Trusted Zone: www.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 9208118406
O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - I:WINNTSystem32dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNTsystem32MGERunSC.exe
===================================
Bon, la machine parait clean, adultrental n'est pas connecté semble t il ( adultrental.com:0 c'est le 0 qui me rassure ?) sans doute parce que ce site est bloqué par openDNS et dans mon fichier host. Et pas de comportement anormal de la bécane. elle est pas belle, la vie ?

Ceci dit, ne pas comprendre m'agace au plus haut point, mébon, comme dirait le fiston, on s'y fait ! (il n'utilise pas ce PC, et le second seulement sous mon controle. Quand à la princesse, c'est uniquement le site diddle.net, alors....)

Voili voila, en tout cas merci de vos conseils !

[r@in | b0w]

Bonjour.

Je ne suis pas spécialiste de netstat mais cela me semble quand même suspect.

Tu confirmes connaître ces ips:

O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220

Parce que cela donne aux USA

[jyl2803]

absolument. ce sont celles d"openDNS.

Tiens, je vais changer mes DNS dans mon routeur, et on va voir....

a tout de suite...

quelques mn plus tard, le revoici

Bon, je suis passé sur les DNS de club internet. Et ca ne change rien.
Je reste à openDNS pour le moment

[r@in | b0w]

Ah ben... re

Bon, aucune idée pour le netstat, peut-être que Skynet ou autre saura quoi faire.

[jyl2803]

ceci dit, au vu des tests effectués, je ne crois pas qu'il y ait péril, non ?*
ah, au fait, openDNS ce sont les bonnes IPs

[r@in | b0w]

ah, au fait, openDNS ce sont les bonnes IPs

Pas de soucis de ce côté là alors.

Par contre, toujours ton site pour adulte. Ca craint pour un doc

[jyl2803]

pfuh...... moqueur...

J'ai refait ce soir un scan avec trend micro (en ligne): vraiment rien...

Bon, je reste zen, ma foi, la machine ne pose pas de pbm (visible ne tout cas).

Reste que les ports utilisés par ces connexions sont, avec TCPview, utilisés semble t il par kerio. Un comble.... De fait, en fermant kerio, les connexions disparaissent. Ma version de kerio 4 est la gratuite, clean, quoi....

Il doit y avoir une explication, mais bon, pas de prise de tête, j'ai d'autres choses à faire.

Merci de vos conseils, avisés comme d'hab.

Ah tiens, j'ai entendu parler d'ewido. (maintenant AVGantispy). Je fais un test de plus ????

[r@in | b0w]

Bonjour.

Non, pas de test supplémentaire, Mbam est le plus à jour.

A la limite, rien ne t'empêche maintenant d'aller sur le fameux site en question, pareil tu as un accès libre & gratuit

[Mode sème le doute]

Merci fiston

[/Mode]