Il y a actuellement 369 visiteurs
Jeudi 21 Novembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

connexion fantome ?? [reglé] enfin presque..

Des difficultés avec un site internet ? Besoin d'aide pour configurer votre PC ou tout autre type de matériel informatique avec votre modem, votre routeur, votre connexion adsl et toutes vos liaisons sans fil Wi-Fi, Bluetooth et Infra-Rouge ? Posez vos questions sur ce forum d'entraide.

connexion fantome ?? [reglé] enfin presque..

Message le 04 Mai 2009 22:33

Bonsoir

via la commande netstat -a (comme ça, pour voir...) je découvre que j'ai des connexion "listening" vers adultrental.com !!!

Je ne fréquente point ce genre de site... antivir ne trouve rien, sophos antiirootkit non plus, spybot non plus. mon log hijackthis est clean.
J'ai un pare feu + une box en parefeu. Mon w2k est à jour.
A tout hasard, j'ai fermé le wifi: idem.
Qu'est que cela peut il être ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 


Message le 04 Mai 2009 22:34

Bonjour.

Mieux vaut deux fois qu'une.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 04 Mai 2009 22:43

malwarebytes, je l'avais oublié celui là.

Bon, j'y vais.

mais j'ai constaté (avec tcpview)que le responsable des ces connexion est..... mon parefeu kerio ???
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 06:49

maigre résultat !MBM a trouvé ceci:

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.

Là, je dois dire que je ne pige pas.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 07:51

ça m'interesse ce topic.

rainblow va trouver ;)
Avatar de l'utilisateur
terriblement
PC-Infopraticien
PC-Infopraticien
 
Messages: 9420
Inscription: 12 Déc 2006 20:38
 

Message le 05 Mai 2009 09:19

Bonjour.

Fais une sauvegarde de ta BDR puis effectue la suppression avec Mbam et dis-nous si cela change quelque chose.

Après, dans le log HiJackThis, est-ce qu'il y avait une ligne dans le genre:

O15 - Trusted Zone: http://site.cochon
O17 - HKLMSystemCCSServicesTcpip..{E725D0A9-ACAA-4E83-A490-79E07995E4B3}: NameServer = 80.10.246.2,80.10.246.129


Sinon, question à un franc, tu es le seul utilisateur de la machine?

terriblement a écrit:rainblow va trouver ;)


Non, je ne suis pas Dieu :lol:

terriblement a écrit:j'en profite pour poser une question : spybot et adaware c'est du passé ?


Pas spécialement mais, en général, on préfère un outil qui est polyvalent plutôt que plusieurs spécifiques.

Rien n'empêche de les garder, Spybot a une sentinelle active et c'est son atout.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 05 Mai 2009 21:07

pas de site cochon, je suis le seul utilisateur avec ma chère et tendre, et quand à HKLMSystemCCSServicesTcpi etc,, j'ai en effet, avec les adresses DNS d'openDNS, que j'utilise (et que lo'n peut paramétrer pour bloquer pas mal de site "douteux" d'ailleurs, c'est rassurant)

Quand à la manip BDR, je tente, bien que je n'aime pas, mais alors pas du tout faire ce genre de truc quand je ne sais pas de quoi il s'agit...

Ah, au fait, un scan en ligne sur trend micro n'a rien trouvé. Ma tension artérielle est retombée de 17 points :P
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 21:21

bon, me revoila.

Après suppression de la lgne trouvée par MBM, et reboot, et ca marche. Première chose, ouf...

Voici à tout hasard le log hikackthis, et la copie de netstat: c'est toujours la.
=============================================

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP PAPA:epmap adultrental.com:0 LISTENING
TCP PAPA:microsoft-ds adultrental.com:0 LISTENING
TCP PAPA:1025 adultrental.com:0 LISTENING
TCP PAPA:1028 adultrental.com:0 LISTENING
TCP PAPA:1033 adultrental.com:0 LISTENING
TCP PAPA:44334 adultrental.com:0 LISTENING
TCP PAPA:44501 adultrental.com:0 LISTENING
TCP PAPA:1026 PAPA:44334 ESTABLISHED
TCP PAPA:1028 PAPA:1030 ESTABLISHED
TCP PAPA:1030 PAPA:1028 ESTABLISHED
TCP PAPA:1031 PAPA:44334 ESTABLISHED
TCP PAPA:1033 PAPA:1035 ESTABLISHED
TCP PAPA:1035 PAPA:1033 ESTABLISHED
TCP PAPA:44334 PAPA:1026 ESTABLISHED
TCP PAPA:44334 PAPA:1031 ESTABLISHED
TCP PAPA:netbios-ssn adultrental.com:0 LISTENING
UDP PAPA:microsoft-ds *:*
UDP PAPA:1027 *:*
UDP PAPA:1029 *:*
UDP PAPA:1032 *:*
UDP PAPA:1034 *:*
UDP PAPA:44334 *:*
UDP PAPA:netbios-ns *:*
UDP PAPA:netbios-dgm *:*
UDP PAPA:isakmp *:*
UDP PAPA:4500 *:*

====================================================
Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32 egsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:WINNTsystem32 askmgr.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilespalmOneHotsync.exe
I:Program FilesOpenOffice.org 3programsoffice.exe
I:Program FilesOpenOffice.org 3programsoffice.bin
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
I:Program FilesAviraAntiVir PersonalEdition Classicavscan.exe
I:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
I:Program FilesLavalysEVEREST Home Editioneverest.bin
I:WINNTsystem32svchost.exe
I:Program FilesVideoLANVLCvlc.exe
I:Program FilesMozilla Firefoxfirefox.exe
I:Documents and SettingspapaBureaussss.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:Program FilesJavajre6injp2ssv.dll
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [avgnt] "I:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [SunJavaUpdateSched] "I:Program FilesJavajre6injusched.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user')
O4 - Startup: HotSync Manager.LNK = I:Program FilespalmOneHotsync.exe
O4 - Startup: OpenOffice.org 3.0.lnk = I:Program FilesOpenOffice.org 3programquickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitechSetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:Program FilesFichiers communsMicrosoft SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://update.microsoft.com
O15 - Trusted Zone: www.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso ... 9208118406
O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - I:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - I:WINNTSystem32dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNTsystem32MGERunSC.exe
===================================
Bon, la machine parait clean, adultrental n'est pas connecté semble t il ( adultrental.com:0 c'est le 0 qui me rassure ?) sans doute parce que ce site est bloqué par openDNS et dans mon fichier host. Et pas de comportement anormal de la bécane. elle est pas belle, la vie ? :lol:

Ceci dit, ne pas comprendre m'agace au plus haut point, mébon, comme dirait le fiston, on s'y fait ! (il n'utilise pas ce PC, et le second seulement sous mon controle. Quand à la princesse, c'est uniquement le site diddle.net, alors....)

Voili voila, en tout cas merci de vos conseils !
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:11

Bonjour.

Je ne suis pas spécialiste de netstat mais cela me semble quand même suspect.

Tu confirmes connaître ces ips:

O17 - HKLMSystemCCSServicesTcpip..{3C09583B-7DF2-4D6D-AB0F-43DA53C6D26A}: NameServer = 208.67.222.222,208.67.222.220
O17 - HKLMSystemCCSServicesTcpip..{D58FB2A1-86CA-4138-AD5A-8199949654FB}: NameServer = 208.67.222.222,208.67.222.220


Parce que cela donne aux USA :roll:
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 05 Mai 2009 22:14

absolument. ce sont celles d"openDNS.

Tiens, je vais changer mes DNS dans mon routeur, et on va voir....

a tout de suite...

quelques mn plus tard, le revoici :P

Bon, je suis passé sur les DNS de club internet. Et ca ne change rien.
Je reste à openDNS pour le moment
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 22:29

Ah ben... re ;)

Bon, aucune idée pour le netstat, peut-être que Skynet ou autre saura quoi faire.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 05 Mai 2009 22:33

ceci dit, au vu des tests effectués, je ne crois pas qu'il y ait péril, non ?*
ah, au fait, openDNS ce sont les bonnes IPs
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 05 Mai 2009 23:36

jyl2803 a écrit:ah, au fait, openDNS ce sont les bonnes IPs


Pas de soucis de ce côté là alors.

Par contre, toujours ton site pour adulte. Ca craint pour un doc ;)
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 06 Mai 2009 20:56

pfuh...... moqueur... :P

J'ai refait ce soir un scan avec trend micro (en ligne): vraiment rien...

Bon, je reste zen, ma foi, la machine ne pose pas de pbm (visible ne tout cas).

Reste que les ports utilisés par ces connexions sont, avec TCPview, utilisés semble t il par kerio. Un comble.... De fait, en fermant kerio, les connexions disparaissent. Ma version de kerio 4 est la gratuite, clean, quoi....

Il doit y avoir une explication, mais bon, pas de prise de tête, j'ai d'autres choses à faire. :lol:

Merci de vos conseils, avisés comme d'hab.

Ah tiens, j'ai entendu parler d'ewido. (maintenant AVGantispy). Je fais un test de plus ????
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 710
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 06 Mai 2009 21:12

Bonjour.

Non, pas de test supplémentaire, Mbam est le plus à jour.

A la limite, rien ne t'empêche maintenant d'aller sur le fameux site en question, pareil tu as un accès libre & gratuit :lol:

[Mode sème le doute]

Merci fiston ;)

[/Mode]
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Suivante


Sujets similaires

Message [Réglé] Mauvaise performance SSD NVME
Bonjour, j'ai un WDC PC SN530 SDBPNPZ-512G, et quand je fais des benchmark où je ne comprends rien, ils m'indiquent dès résultat pas terrible, y a t'il moyen d'arranger ça ?https://www.userbenchmark.com/UserRun/68904129Merci de votre aide.
Réponses: 9

Message [Réglé] Mini PC pour la 4k HDR
Bonjour (et bonne année a tous ),Actuellement, j'ai mon bon vieux mini PC (I5-4210U) , fonctionnel mais hélas devenu trop limité en performance pour la 4K (j'arrive à lire des fichiers en H264 avec très peu voir pas de lags tout dépend le lecteur) et on parle même pas avec du H265 (saccadé à mort) ...
Réponses: 6

Message [Réglé] android auto
Bonjour Je possede un tel. samsung S7 . Je viens d'intaller android auto et chaque fois que je branche mon tel. sur mon vehicule , mon telephone me dit de mettre android à jour. En fouillant un peu sur le net j'ai cru voir que samsung avait arreté les mises à jour sur les S7 . Est ce vrai , sinon co ...
Réponses: 3

Message [Réglè] HELP
Bonjour a tous,j'ai voulu désinstaller les pilotes AMD high définition audio device dans le gestionnaire croyant que les pilotes realtek prendraient la place j'ai redémarré mon PC et depuis je n'ai plus de son l?icône est affublée d'une belle croix rouge (aucun haut parleur ou casque n'est branché) ...
Réponses: 7

Message Son 5.1 [Réglé]
Bonjour,J'ouvre un autre post concernant mon souci de sortie son qui est désespérément figé sur "Stéréo". Mon PC Assemblé par mes soins possède une Carte Mère Gigabyte B550M DS3H "affublée" d'une carte Graphique AMD RX6600 Pulse. Mon PC est relié de ma carte graphique à mon TV à ...
Réponses: 3

Message [Réglé] Fenêtre intempestive Powershell au démarrage
Bonjour,Je m'ajoute à la longue liste des victimes de la fenêtre pop-up bleue qui s'ouvre et qui se ferme à chaque connexion de session, et quelques fois après.J'ai passé les antimalware et ESET... mais rien à faire.Je possède un Lenovo TrigKey AZW S3 en AMD Ryzen 7 qui tourne sur W11 64bits.je vous ...
Réponses: 11

Message [Réglé] Suite de mon sujet Démarrage PC parfois difficile
Bonjour,j'avais ouvert un sujet suite au démarrage très lent de mon PC. Votre aide m'a permis d'améliorer la situation mais ce n'est pas parfait (plus de 2 minutes avant la fenêtre de saisie du code d'accès Windows).On m'a conseillé de demander une désinfection. J'ai suivi la procédure et je joins l ...
Réponses: 12


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.