Il y a actuellement 38 visiteurs
Mercredi 17 Septembre 2014
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

connexion fantome ?? [reglé] enfin presque..

Des difficultés avec un site internet ? Besoin d'aide pour configurer votre PC ou tout autre type de matériel informatique avec votre modem, votre routeur, votre connexion adsl et toutes vos liaisons sans fil Wi-Fi, Bluetooth et Infra-Rouge ? Posez vos questions sur ce forum d'entraide.

connexion fantome ?? [reglé] enfin presque..

Message le 04 Mai 2009 22:33

Bonsoir

via la commande netstat -a (comme ça, pour voir...) je découvre que j'ai des connexion "listening" vers adultrental.com !!!

Je ne fréquente point ce genre de site... antivir ne trouve rien, sophos antiirootkit non plus, spybot non plus. mon log hijackthis est clean.
J'ai un pare feu + une box en parefeu. Mon w2k est à jour.
A tout hasard, j'ai fermé le wifi: idem.
Qu'est que cela peut il être ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 04 Mai 2009 22:34

Bonjour.

Mieux vaut deux fois qu'une.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 04 Mai 2009 22:43

malwarebytes, je l'avais oublié celui là.

Bon, j'y vais.

mais j'ai constaté (avec tcpview)que le responsable des ces connexion est..... mon parefeu kerio ???
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 06:49

maigre résultat !MBM a trouvé ceci:

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

Là, je dois dire que je ne pige pas.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 07:51

ça m'interesse ce topic.

rainblow va trouver ;)
Avatar de l'utilisateur
terriblement
PC-Infopraticien
PC-Infopraticien
 
Messages: 9420
Inscription: 12 Déc 2006 20:38
 

Message le 05 Mai 2009 09:19

Bonjour.

Fais une sauvegarde de ta BDR puis effectue la suppression avec Mbam et dis-nous si cela change quelque chose.

Après, dans le log HiJackThis, est-ce qu'il y avait une ligne dans le genre:

O15 - Trusted Zone: http://site.cochon
O17 - HKLMSystemCCSServicesTcpip..{E725D0A9-ACAA-4E83-A490-79E07995E4B3}: NameServer = 80.10.246.2,80.10.246.129


Sinon, question à un franc, tu es le seul utilisateur de la machine?

terriblement a écrit:rainblow va trouver ;)


Non, je ne suis pas Dieu :lol:

terriblement a écrit:j'en profite pour poser une question : spybot et adaware c'est du passé ?


Pas spécialement mais, en général, on préfère un outil qui est polyvalent plutôt que plusieurs spécifiques.

Rien n'empêche de les garder, Spybot a une sentinelle active et c'est son atout.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 21:07

pas de site cochon, je suis le seul utilisateur avec ma chère et tendre, et quand à HKLMSystemCCSServicesTcpi etc,, j'ai en effet, avec les adresses DNS d'openDNS, que j'utilise (et que lo'n peut paramétrer pour bloquer pas mal de site "douteux" d'ailleurs, c'est rassurant)

Quand à la manip BDR, je tente, bien que je n'aime pas, mais alors pas du tout faire ce genre de truc quand je ne sais pas de quoi il s'agit...

Ah, au fait, un scan en ligne sur trend micro n'a rien trouvé. Ma tension artérielle est retombée de 17 points :P
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 21:21

bon, me revoila.

Après suppression de la lgne trouvée par MBM, et reboot, et ca marche. Première chose, ouf...

Voici à tout hasard le log hikackthis, et la copie de netstat: c'est toujours la.
=============================================

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP PAPA:epmap adultrental.com:0 LISTENING
TCP PAPA:microsoft-ds adultrental.com:0 LISTENING
TCP PAPA:1025 adultrental.com:0 LISTENING
TCP PAPA:1028 adultrental.com:0 LISTENING
TCP PAPA:1033 adultrental.com:0 LISTENING
TCP PAPA:44334 adultrental.com:0 LISTENING
TCP PAPA:44501 adultrental.com:0 LISTENING
TCP PAPA:1026 PAPA:44334 ESTABLISHED
TCP PAPA:1028 PAPA:1030 ESTABLISHED
TCP PAPA:1030 PAPA:1028 ESTABLISHED
TCP PAPA:1031 PAPA:44334 ESTABLISHED
TCP PAPA:1033 PAPA:1035 ESTABLISHED
TCP PAPA:1035 PAPA:1033 ESTABLISHED
TCP PAPA:44334 PAPA:1026 ESTABLISHED
TCP PAPA:44334 PAPA:1031 ESTABLISHED
TCP PAPA:netbios-ssn adultrental.com:0 LISTENING
UDP PAPA:microsoft-ds *:*
UDP PAPA:1027 *:*
UDP PAPA:1029 *:*
UDP PAPA:1032 *:*
UDP PAPA:1034 *:*
UDP PAPA:44334 *:*
UDP PAPA:netbios-ns *:*
UDP PAPA:netbios-dgm *:*
UDP PAPA:isakmp *:*
UDP PAPA:4500 *:*

====================================================
Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32 egsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:WINNTsystem32 askmgr.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilespalmOneHotsync.exe
I:Program FilesOpenOffice.org 3programsoffice.exe
I:Program FilesOpenOffice.org 3programsoffice.bin
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
I:Program FilesAviraAntiVir PersonalEdition Classicavscan.exe
I:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
I:Program FilesLavalysEVEREST Home Editioneverest.bin
I:WINNTsystem32svchost.exe
I:Program FilesVideoLANVLCvlc.exe
I:Program FilesMozilla Firefoxfirefox.exe
I:Documents and SettingspapaBureaussss.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:Program FilesJavajre6injp2ssv.dll
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [avgnt] "I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "I:Program FilesJavajre6injusched.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user')
O4 - Startup: HotSync Manager.LNK = I:Program FilespalmOneHotsync.exe
O4 - Startup: OpenOffice.org 3.0.lnk = I:Program FilesOpenOffice.org 3programquickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitechSetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:Program FilesFichiers communsMicrosoft SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://update.microsoft.com
O15 - Trusted Zone: www.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 9208118406
O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - I:WINNTSystem32dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNTsystem32MGERunSC.exe
===================================
Bon, la machine parait clean, adultrental n'est pas connecté semble t il ( adultrental.com:0 c'est le 0 qui me rassure ?) sans doute parce que ce site est bloqué par openDNS et dans mon fichier host. Et pas de comportement anormal de la bécane. elle est pas belle, la vie ? :lol:

Ceci dit, ne pas comprendre m'agace au plus haut point, mébon, comme dirait le fiston, on s'y fait ! (il n'utilise pas ce PC, et le second seulement sous mon controle. Quand à la princesse, c'est uniquement le site diddle.net, alors....)

Voili voila, en tout cas merci de vos conseils !
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:11

Bonjour.

Je ne suis pas spécialiste de netstat mais cela me semble quand même suspect.

Tu confirmes connaître ces ips:

O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220


Parce que cela donne aux USA :roll:
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:14

absolument. ce sont celles d"openDNS.

Tiens, je vais changer mes DNS dans mon routeur, et on va voir....

a tout de suite...

quelques mn plus tard, le revoici :P

Bon, je suis passé sur les DNS de club internet. Et ca ne change rien.
Je reste à openDNS pour le moment
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:29

Ah ben... re ;)

Bon, aucune idée pour le netstat, peut-être que Skynet ou autre saura quoi faire.
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 05 Mai 2009 22:33

ceci dit, au vu des tests effectués, je ne crois pas qu'il y ait péril, non ?*
ah, au fait, openDNS ce sont les bonnes IPs
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 23:36

jyl2803 a écrit:ah, au fait, openDNS ce sont les bonnes IPs


Pas de soucis de ce côté là alors.

Par contre, toujours ton site pour adulte. Ca craint pour un doc ;)
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Message le 06 Mai 2009 20:56

pfuh...... moqueur... :P

J'ai refait ce soir un scan avec trend micro (en ligne): vraiment rien...

Bon, je reste zen, ma foi, la machine ne pose pas de pbm (visible ne tout cas).

Reste que les ports utilisés par ces connexions sont, avec TCPview, utilisés semble t il par kerio. Un comble.... De fait, en fermant kerio, les connexions disparaissent. Ma version de kerio 4 est la gratuite, clean, quoi....

Il doit y avoir une explication, mais bon, pas de prise de tête, j'ai d'autres choses à faire. :lol:

Merci de vos conseils, avisés comme d'hab.

Ah tiens, j'ai entendu parler d'ewido. (maintenant AVGantispy). Je fais un test de plus ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 618
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 06 Mai 2009 21:12

Bonjour.

Non, pas de test supplémentaire, Mbam est le plus à jour.

A la limite, rien ne t'empêche maintenant d'aller sur le fameux site en question, pareil tu as un accès libre & gratuit :lol:

[Mode sème le doute]

Merci fiston ;)

[/Mode]
"Sois un AtOM, mon fils." RIP l'ami Ask To Old Man → 1948 - 2012
Venez jouer et perdre votre temps sur Press Moustache.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7447
Inscription: 09 Déc 2007 12:37
Localisation: Sur un Vostro tout propre
 

Suivante


Sujets similaires

Message [Réglé] Je crois avoir un virus :(
Bonjour, Mon PC est devenu plus lent depuis quelques jours, et depuis aujourd'hui mon google chrome est "revenu dans le temps", je veux dire par là que j'ai mes anciens favoris et j'ai dû me reconnecter partout, en plus j'ai l'impression que la qualité est moins bonne (les écritures etc). ...
Réponses: 15

Message [Réglé] que pensez vous d'ESET Smart Security
salut à tous j'utilise avira et un technicien sous traitant de orange venu en dépannage sur ma livebox ma dit que l'antivirus que j'utilise AVIRA free antivirus est très basique sans heuristique réelle qu'il est inefficace bref pour résumer il ne protégè pas grand chose , et que lui personnell ...
Réponses: 12

Message Partage de connexion tel
Bonjour à tous, n'étant pas un geek de l'informatique je me tourne vers vous car je n'ai pas trouvé de solutions à mon problème...Je m'explique, je suis dans un centre de formation depuis une semaine et dans les dortoirs il y a possibilité de se connecter au net via Rj45. J'ai installé un routeur af ...
Réponses: 1

Message [Réglé] carte video connecté téléviseur et écran pc
Bonjour, j'ai reçu dernièrement une ordinateur neuf dell. C'est un XPS 8700 avec Windows 8.1 et une carte graphique NVIDIA GEForce GT 720 1GB DDR3. J'ai un port dvi, vga et hdmi. Je suis connecter en DVI avec mon écran PC(19pouce résolution maximum 1440X900) et en HDMI sur ma TV HD(résolution 1920X1 ...
Réponses: 8

Message [Réglé] Malwarebytes Anti-Malware bug
salut à vous tous le monde recommande Malwarebytes Anti-Malware mais je trouve que leur dernière version : malwarebytes-anti-malware_2-0-2-1012_fr_215092 est buggée en effet lorsque je lance une détection l?icône qui apparait dans ma barre des taches cote horloge reste inopérante j'ai beau clique ...
Réponses: 15

Message [Réglé] plantage PC
Bonjour,Je possède un pc portable asus 720 KD.Le pc se fige et je ne peux plus exécuter aucune action , plus rien ne fonctionne , même la souris.Que je sois sur le net ou pas : IDEM.Il ne se fige jamais pendant que je l'utilise , cela se passe toujours pendant une période ou je ne l'utilise pas mais ...
Réponses: 20

Message [Réglé] PC Infecté par des spams érotiques
Bonjour, Je dirige une société familiale et nous possédons un parc de 9 ordinateurs reliés à un serveur. Le souci en fait, c'est qu'actuellement, nous recevons énormément de spams érotiques (voir plus) et sans remettre en cause les atouts des demoiselles qui défilent sur l'écran, elles ternissent l' ...
Réponses: 28


Qui est en ligne

Utilisateurs parcourant ce forum: Baidu [Spider] et 3 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.