Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Accès POP bizarre

13 réponses
Avatar
PovTruffe
Bonjour,

Lorsque Outlook Express lit le courrier mon antivirus AVG affiche un
message d'accès POP en bas à droite de l'écran. Ca c'est normal.

Mais parfois lorsque Outlook n'est pas lancé j'ai parfois le même type
de message d'accès POP contenant "nnnnn.btcentralplus.com".
Le "nnnnn" étant une série de chiffres que je n'ai pas eu le temps de noter.

Vu que je ne pense pas avoir d'autre programme censé faire des accès
POP ce trouve ce message un peu inquiétant. Il me semble que ça ne se
produisait pas lorsque j'avais un routeur firewall externe en place.

Bien entendu je viens de faire une longue série de divers scans antivirus
et spyware et d'examiner soigneusement toutes les taches en cours sans
rien trouver.

Une idée ?

10 réponses

1 2
Avatar
NM
hello PovTruffe you wrote

Bonjour,

Lorsque Outlook Express lit le courrier mon antivirus AVG affiche un
message d'accès POP en bas à droite de l'écran. Ca c'est normal.

Mais parfois lorsque Outlook n'est pas lancé j'ai parfois le même type
de message d'accès POP contenant "nnnnn.btcentralplus.com".
Le "nnnnn" étant une série de chiffres que je n'ai pas eu le temps de
noter.
Vu que je ne pense pas avoir d'autre programme censé faire des accès
POP ce trouve ce message un peu inquiétant. Il me semble que ça ne se
produisait pas lorsque j'avais un routeur firewall externe en place.

Bien entendu je viens de faire une longue série de divers scans
antivirus et spyware et d'examiner soigneusement toutes les taches en
cours sans rien trouver.

Une idée ?


Oui, Bonjour, envoie dons un log HijackThis ici

A toute suite...

--

nm

Avatar
PovTruffe
"NM" a écrit
Une idée ?


Oui, Bonjour, envoie dons un log HijackThis ici


OK, le voici ci-dessous
Je viens d'avoir un nouvel accès POP et j'ai pu noter que j'avais comme
message "range86-134.btcentralplus.com" précédé d'une adresse IP.

J'avais aussi d'autres problèmes récemment comme un fichier autorun.ini
qui se créait à la racine de C: faisant référence à un setup.exe. Depuis que
j'ai viré un fichier d'imprimante DeskJet HP ça ne s'est plus produit.
Par contre j'ai toujours le service "hpdj00" qui essaye de s'installer si j'en
crois le log ci-dessous.


Logfile of HijackThis v1.99.1
Scan saved at 11:36:23, on 18/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesJavajre1.5.0_11binjusched.exe
C:Program FilesScreenPrint32 v3ScreenPrint32.exe
C:PROGRA~1GrisoftAVGFRE~1avgcc.exe
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe
C:Program FilesMicrosoft IntelliType Proitype.exe
C:Program FilesMicrosoft IntelliPointipoint.exe
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
C:WINDOWSsystem32mgabg.exe
C:WINDOWSSystem32svchost.exe
C:Documents and SettingsRagazzoBureauUtilitairesHijack Thisscanner.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkIdi157" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkIdT896" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkIdT896" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkIdi157" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_11binssv.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM..Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.5.0_11binjusched.exe"
O4 - HKLM..Run: [ScreenPrint32] C:Program FilesScreenPrint32 v3ScreenPrint32.exe -startup
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesFichiers communsAheadLibNeroCheck.exe
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [ISUSPM Startup] C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1ISUSPM.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [itype] "C:Program FilesMicrosoft IntelliType Proitype.exe"
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft IntelliPointipoint.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Startup: Check for TWS Updates.lnk = C:Program FilesTrader WorkStationWiseUpdt.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MI1933~1Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_11binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_11binssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file
missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network
Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120082796031
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup142f1.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -
http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers communsAdobe Systems
SharedServiceAdobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O23 - Service: hpdj00 - Unknown owner - C:DOCUME~1RagazzoLOCALS~1Temphpdj00.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers
communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:Program FilesFichiers communsMacromedia
SharedServiceMacromedia Licensing.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:WINDOWSsystem32mgabg.exe
O23 - Service: NBService - Nero AG - C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -
%ProgramFiles%WinPcaprpcapd.exe" -d -f "%ProgramFiles%WinPcaprpcapd.ini (file missing)


Avatar
Yves Lambert
PovTruffe wrote:
Bonjour,

Lorsque Outlook Express lit le courrier mon antivirus AVG affiche un
message d'accès POP en bas à droite de l'écran. Ca c'est normal.

Mais parfois lorsque Outlook n'est pas lancé j'ai parfois le même type
de message d'accès POP contenant "nnnnn.btcentralplus.com".
Est-ce que vous avez un compte chez british telecom ? Si c'est le cas

cet accès est normal : ce n'est pas parce que la fenêtre d'outlook
express est fermée que celui-ci ne fonctionne pas en démon et fais les
tâches que vous lui avez demandé de faire.
D'autant qu'AVG fonctionne lui en démon et sert sans doute de proxy pop
pour outlook. Vérifiez votre configuration :
est-ce qu'oulook se connecte à un serveur pop local ou bien, si le proxy
est transparent, comment est-il configuré ?
Il est étonnant que votre firewall ne vous dise pas quel programme
accède à ce port 110...

Le "nnnnn" étant une série de chiffres que je n'ai pas eu le temps de noter.


c'est probablement logué quelque part. Est-ce toujours la même série de
chiffre ?

Vu que je ne pense pas avoir d'autre programme censé faire des accès
POP ce trouve ce message un peu inquiétant. Il me semble que ça ne se
produisait pas lorsque j'avais un routeur firewall externe en place.


Il est possible mais peu probable que ce soit un cheval de Troie qui
accède depuis le port 110 de la machine qui prend le contrôle pour que
cet accès ne vous alerte pas outre mesure... enfin on voit ça surtout
avec le port 80...
ça peut être aussi un egg-dropper qui va chercher un trojan sur un
serveur mail...
faiutes éventuellement une analyse paranoïaque sur vos répertoires
temporaires.


Bien entendu je viens de faire une longue série de divers scans antivirus
et spyware et d'examiner soigneusement toutes les taches en cours sans
rien trouver.


Un log hijackthis, peut-être ? sauvegardez l'analyse sur le site
hijackthis.de et postez le lien ici pour que les spécialistes vous
disent s'il y a quelque chose de suspect...

Une idée ?


Plusieurs :

1. Avez vous un compte e-mail chez BT ?
2. comment fonctionne votre configuration mail+antivirus ? est-ce avg
qui accède aux serveurs pop ou imap et outlook-express qui accède
à localhost:110 ? Dans ce cas vérifiez la configuration d'avg dans le
cas contraire vérifiez la configuration d'outlook.
3. Essayez de déterminer quel programme accède à ce serveur pop3 (si
c'est bien un serveur pop3 et que c'est dû à un programme malicieux,
étant donné qu'avg est au courant de cet accès, rien de connu par lui ne
passera)
quand vous avez l'alerte faites dans une console (exécuter>cmd):
netstat /nr >log (help netstat ou netstat /help pour
choisir la bonne syntaxe pour avoir le maximum d'informations
pertinentes) et recherchez la chaîne :110 dans le
fichier log

Avatar
NM
hello PovTruffe you wrote

"NM" a écrit
Une idée ?


Bon, au premier abord, tu n'as pas de pare-feu ?



Pourquoi as tu AVG + Norton...

On va voir aprés la messe ;-)

A+

--

nm.



Avatar
PovTruffe
Bon, au premier abord, tu n'as pas de pare-feu ?


Seulement celui de Windows. Le firewall externe est temporairement en rade.

Pourquoi as tu AVG + Norton...


Norton ???
Je l'avais désinstallé pour mettre AVG. Il reste donc des traces de Norton ?

On va voir aprés la messe ;-)


Merci. Pour moi maintenant ce sera après la rando ;-)

Avatar
NM
hello PovTruffe you wrote

Bon, au premier abord, tu n'as pas de pare-feu ?


Seulement celui de Windows. Le firewall externe est temporairement en
rade.
Pourquoi as tu AVG + Norton...


Norton ???
Je l'avais désinstallé pour mettre AVG. Il reste donc des traces de
Norton ?


Oh rien de grave de Norton, juste la ligne à fixer je crois.


On va voir aprés la messe ;-)


Merci. Pour moi maintenant ce sera après la rando ;-)


Tiens, Tu peux te le faire analyser en automatic car il y a des progs que
je ne connais pas:

L'as tu installé volontairement ?

O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner

http://www.hijackthis.de/index.php#anl

;-)

A+

--
CrAzYbOb

Reply to valid.
It could be something, it might mean nothing.

Since I lost MD So, everything went wrong


Avatar
Nina Popravka
On Sun, 18 Mar 2007 14:00:58 +0100, "NM" wrote:

O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner


Rien de rare, et utilisé par les sniffers genre Wireshark.
Dont l'OP devrait se servir, ça permettrait de savoir ce que sa
machine raconte sur le port 110, plutôt que de faire de fumeuses
hypothèses.
Mais je suppose que c'est trop demander :-)
--
Nina

Avatar
PovTruffe
On Sun, 18 Mar 2007 14:00:58 +0100, "NM" wrote:

O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner


Rien de rare, et utilisé par les sniffers genre Wireshark.
Dont l'OP devrait se servir, ça permettrait de savoir ce que sa
machine raconte sur le port 110, plutôt que de faire de fumeuses
hypothèses.
Mais je suppose que c'est trop demander :-)


Ce qui veut dire ?
J'ai cherché un fichier log au niveau du firewall de Windows mais visiblement
je ne l'avais pas paramétré pour la création d'un journal (si c'est bien ça).

Quand au routeur / firewall externe j'attends de recevoir une alim de rechange.

Quand à rpcapd j'avais installé WinPcap il y a quelques années à cause d'un pb
de connexion ADSL fantome il me semble mais je ne me souviens de rien d'autre.

Sinon c'est Emule qui semble être à l'origine de l'accès POP. Le message
apparait peu après le démarrage du prog. J'aurais du m'en appercevoir avant...

Sinon j'en ai profité pour faire un peu de nettoyage avec le site d'analyse
de log d'Hijack. Merci à tous pour vos réponses.


Avatar
NM
hello PovTruffe you wrote

On Sun, 18 Mar 2007 14:00:58 +0100, "NM"
wrote:
O23 - Service: Remote Packet Capture Protocol v.0 (experimental)
(rpcapd) - Unknown owner


Rien de rare, et utilisé par les sniffers genre Wireshark.
Dont l'OP devrait se servir, ça permettrait de savoir ce que sa
machine raconte sur le port 110, plutôt que de faire de fumeuses
hypothèses.
Mais je suppose que c'est trop demander :-)


Ce qui veut dire ?
J'ai cherché un fichier log au niveau du firewall de Windows mais
visiblement je ne l'avais pas paramétré pour la création d'un journal
(si c'est bien ça).

Sinon c'est Emule qui semble être à l'origine de l'accès POP. Le
message apparait peu après le démarrage du prog. J'aurais du m'en
appercevoir avant...


Perso j'ai Emule et pas problème de ce genre...


Sinon j'en ai profité pour faire un peu de nettoyage avec le site
d'analyse de log d'Hijack. Merci à tous pour vos réponses.


Bein dis donc, ta ballade salutaire etait longue... ;-)

Moi je ne suis pas allé à la messe car c'etait fermé, j'avais oublié que
c'etait dimanche :-D

Cdlmt,

--

nm



Avatar
Nina Popravka
On Sun, 18 Mar 2007 18:13:49 +0100, "PovTruffe"
wrote:

Ce qui veut dire ?


Ce qui veut dire que si au lieu de regarder ce que vous disent des
trucs opaques genre votre AV, vous preniez des outils bien basiques,
genre un stupide netstat -b et un idiot wireshark, vous sauriez assez
rapidement quel process va causer, et ce qu'il dit :-)
--
Nina

1 2