serveur de courrier entrant et sortant à l'écoute sur ma machine ?

Bonjour *Bul* :

bonjour à toutes et à tous,
j'ai des difficultés à utiliser Rail sur mon micro.
après pas mal de pistes,recherches,messages... on me conseille
de poser une question ici.
si je ne suis pas sur le bon forum, vous voudrez bien m'en excuser
et me rediriger et/ou me dire où aller ?

S'il s'agit d'un problème relatif à la sécurité sous Windows,
vous êtes au bon endroit. :)

ce qui a motivé ce message ici :
....
1) lances une fenêtre de commande et que tu tapes 'netstat -ano'

Netstat est bugué...
Utilisez plutôt ceci:
http://www.sysinternals.com/Utilities/TcpView.html

2) ...
TCP 127.0.0.1:25 0.0.0.0:0 LISTENING 1716
TCP 127.0.0.1:110 0.0.0.0:0 LISTENING 1716

127.0.0.1 est l'adresse IP réservée au bouclage en local.
Les lignes présentées ici représentent un bouclage en local sur les ports
25 (smtp: simple mail transport protocol) et 110 (pop3: post office
protocol 3) ce qui signale sans doute un logiciel "proxy" qui filtre les
port mentionnés: un anti-spam ou un module de courriel d'un anti-virus...
ou
un serveur de courriel en écoute et ça ce n'est pas une bonne idée...

Les lignes que vous donnez ici n'indiquent pas de quel processus il
s'agit...

...Et tu dis que tu n'as pas d'anti-virus ?
3) j'ai eu norton qui était installé à l'achat du micro.
comme je trouvais ça particulièrement pénible, j'ai désinstallé,
mais il est coriace le bougre, il reste peut-être des traces ?

Pour supprimer Norton utilisez le script de désinstallation de Symantec:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
ou
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924?Open&src=&docid 051212114314905&nsf=support%5Cinter%5Cnavintl.nsf&view–cb2ae4bd842c2e8825709100264fe2&dtype=&prod=&ver=&osv=&osv_lvl

4) Oh que oui. Tu as un serveur de courrier entrant et sortant qui sont à
l'écoute sur ta machine, ce n'est pas normal du tout. A partir du
moment où il y a encore assez de traces de l'animal pour faire ça, on ne
peut pas dire ce que Norton fait encore dans ton dos.
...

mes questions donc : qu'est-ce que ces choses ?
ça pose quoi comme problèmes ?
peut-on éradiquer ? comment ?

Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

Je vais regarder et vous dire s'il y a qq chose à supprimer.

A+

--
Claude LaFrenière

Hello !

"Bul" <marcelBultez@pourriel.Tiscali.fr.invalid> wrote:

2) ...
TCP 127.0.0.1:25 0.0.0.0:0 LISTENING
1716
TCP 127.0.0.1:110 0.0.0.0:0 LISTENING
1716

mes questions donc : qu'est-ce que ces choses ?
ça pose quoi comme problèmes ?
peut-on éradiquer ? comment ?

Tape ceci:

netstat -abno

et tu devrais savoir quels sont les exe derrière chaque socket.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

merci de votre intervention claude,

Logfile of HijackThis v1.99.1
Scan saved at 15:40:39, on 23/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32slserv.exe
D:UtilitairesUPHCleanuphclean.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesAccélérateur de débit AliceAccAlice.exe
C:Program FilesAccélérateur de débit AliceAccAlice-gui.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINDOWSsystem32mshta.exe
C:WINDOWSslrundll.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINDOWSsystem32MDM.EXE
D:UtilitairesHiJackThisHijackThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkIdT729
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkIdU245&clcid={SUB_CLCID}
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http7.0.0.1:7500
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Favoris
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:UtilitairesFree Download Manageriefdmcks.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - D:UtilitairesInternet Explorer Developer
ToolbarIEDevToolbar.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - D:UtilitairesInternet Explorer Developer
ToolbarIEDevToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [SlipStream] "C:Program FilesAccélérateur de débit AliceAccAlice.exe"
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O8 - Extra context menu item: Afficher l'image originale. - res://C:Program FilesAccélérateur de débit Alicegui_resource.dll/328
O8 - Extra context menu item: Afficher toutes les images originales. - res://C:Program FilesAccélérateur de débit
Alicegui_resource.dll/327
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:UtilitairesFree Download Managerdlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:UtilitairesFree Download Managerdllink.htm
O8 - Extra context menu item: Télécharger le site avec Free Download Manager - file://D:UtilitairesFree Download
Managerdlpage.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://D:UtilitairesFree Download
Managerdlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_02binnpjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_02binnpjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .m1v: C:Program FilesInternet ExplorerPLUGINSnpqtplugin4.dll
O12 - Plugin for .wav: C:Program FilesInternet ExplorerPLUGINSnpqtplugin2.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -
http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130150581218
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) -
file://C:DRIVERSsnapsysHDDDiagbinnpseatools.cab
O17 - HKLMSystemCCSServicesTcpip..{F68F8BCD-C599-4B89-AFF9-72F2FD433552}: NameServer = 213.36.80.1
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe


j'avais déjà fait, mais ça ne me signalait rien de bien méchant ou douteux
à part O4 - HKLM..Run: [SlipStream] "C:Program FilesAccélérateur de débit AliceAccAlice.exe"
mais c'est "un compresseur" pour internet, avec mon pôvre modem 56k, ça améliore un peu.
j'ai peut-être raté des infos ! comme je n'y comprend pas grand chose !

je vais regarder : http://www.sysinternals.com/Utilities/TcpView.html

Pour supprimer Norton utilisez le script de désinstallation de Symantec

j'avais utilisé "désinstallateur" relativement caché dans les répertoires Norton
peut-être donné sur ce NG d'ailleurs ? désolé de ne pas avoir noté ce
que c'était !
je vais aussi regarder les liens donnés pour supprimer
et faire ?

mon site : http://bul.fr.nf
m'écrire : http://mas.keo.in?Code=Bul [Mail Anti Spam]

en parallèle avec les conseils de Claude Lafrenière
le résulat de netstat -abno

Connexions actives
Proto Adresse locale Adresse distante Etat
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 728
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
C:WINDOWSsystem32RPCRT4.dll
c:windowssystem32rpcss.dll
C:WINDOWSsystem32svchost.exe
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Système]
TCP 127.0.0.1:25 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:110 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:143 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:3000 0.0.0.0:0 LISTENING 1292
[ruby.exe]
TCP 127.0.0.1:7500 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:1037 127.0.0.1:1038 ESTABLISHED 1716
[AccAlice.exe]
TCP 127.0.0.1:1038 127.0.0.1:1037 ESTABLISHED 1716
[AccAlice.exe]
TCP 213.36.2.51:1040 213.36.100.67:7000 ESTABLISHED 1716
[AccAlice.exe]
TCP 213.36.2.51:2115 207.46.248.16:119 ESTABLISHED 1936
[msimn.exe]
TCP 213.36.2.51:2112 207.46.248.16:119 TIME_WAIT 0
TCP 213.36.2.51:2113 207.46.248.16:119 TIME_WAIT 0
TCP 213.36.2.51:2114 212.27.42.137:119 TIME_WAIT 0
UDP 0.0.0.0:500 *:* 504
[lsass.exe]
UDP 0.0.0.0:4500 *:* 504
[lsass.exe]
UDP 0.0.0.0:445 *:* 4
[Système]
UDP 0.0.0.0:1035 *:* 828
C:WINDOWSsystem32mswsock.dll
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
c:windowssystem32DNSAPI.dll
c:windowssystem32dnsrslvr.dll
C:WINDOWSsystem32RPCRT4.dll
[svchost.exe]
UDP 127.0.0.1:1900 *:* 860
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP 127.0.0.1:123 *:* 776
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
[svchost.exe]
UDP 213.36.2.51:1900 *:* 860
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP 213.36.2.51:123 *:* 776
C:PROGRA~1ACCLRA~1sliplsp.dll
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
[svchost.exe]


mais je ne sais pas quoi en faire, sinon vous le soumettre !

mon site : http://bul.fr.nf
m'écrire : http://mas.keo.in?Code=Bul [Mail Anti Spam]

Bonjour Bul,

3) j'ai eu norton qui était installé à l'achat du micro.
comme je trouvais ça particulièrement pénible, j'ai désinstallé,
mais il est coriace le bougre, il reste peut-être des traces ?

Pour finir d'extirper Norton :

www.symantec.com/symnrt

et tu cliques directement sur Run it now (step 2)

;o)

merci à toi aussi mario,

il y a des réponses, des pistes... ça rassure.

je vais attendre un tout petit poil avant de faire,
pour ne pas perturber les éventuelles recherches/réponses des
autres intervenants et leur possibles questions.

mon site : http://bul.fr.nf
m'écrire : http://mas.keo.in?Code=Bul [Mail Anti Spam]

( pas certain que mon problème ROR en sera résolu,
mais c'est une autre question, dans un autre NG !
finissons [ enfin, finissez surtout ! ] celui-ci )

Hello !

"Bul" <marcelBultez@pourriel.Tiscali.fr.invalid> wrote:

en parallèle avec les conseils de Claude Lafrenière
le résulat de netstat -abno

Connexions actives
Proto Adresse locale Adresse distante Etat

TCP 127.0.0.1:25 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:110 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:143 0.0.0.0:0 LISTENING 1716
[AccAlice.exe]
TCP 127.0.0.1:3000 0.0.0.0:0 LISTENING
1292
[ruby.exe]

À quoi correspondent AccAlice.exe et ruby.exe ?

En fait, l'adresse 127.0.0.1 c'est localhost d'est-à-dire toi-même.
Ceux qui utilisent cette adresse sont souvent les proxy, c'est-à-dire des programmes qui s'intercalent entre ton PC et l'extérieur pour filtrer.
Un antivirus est un Proxy, de même un programme qui fait des conversions de caractères sur le courrier.

Dans ton cas, il faut déterminer qui sont AccAlice.exe et ruby.exe. Ces programmes guettent ton courrier, et j'ai l'impression qu'ils peuvent émettre et recevoir des Mails.

Comme pare-feu, qu'emploies-tu?

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

salut Laurent,

il faut déterminer qui sont AccAlice.exe et ruby.exe.

AccAlice est un accélérateur pour connexion avec un modem 56k,
un "comprimeur" de données. ( utile quand même dans ce cas )

ruby c'est l'interpréteur du langage ruby
ici j'ai lancé WEBRick sur le port 3000 :
pour faire le "parallèle" avec PHP en local et easyphp
on peut dire = apache.

mon site : http://bul.fr.nf
m'écrire : http://mas.keo.in?Code=Bul [Mail Anti Spam]

je n'ai pas répondu à tout :

Comme pare-feu, qu'emploies-tu?

aucun, et aucun anti virus ( du moins en permanence, sauf Norton
qui fut installé au départ ! )
j'ai désactivé le pare-feu de Windows XP et arrêté les services correspondants.


mon site : http://bul.fr.nf
m'écrire : http://mas.keo.in?Code=Bul [Mail Anti Spam]

Bonjour *Bul* :

merci de votre intervention claude,

* Très suspect: supprimez ceci:*
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - D:UtilitairesInternet Explorer Developer ToolbarIEDevToolbar.dll

Refaites un scan avec HJT et cohez cette ligne puis "FIX" pour la
supprimer.


--
Claude LaFrenière