Serveur SMTP indésirable

Le
1 connu
Bonjour,

Désolé si je ne suis pas sur le forum.
En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails partent
correctement.
Ceci a ma grande surprise puisque je n'ai, à ma connaissance, aucun serveur SMTP installé sur mon poste.
Je subodore qu'un virus ou autre trojan a installé ceci dans mon dos.
Comment puis je savoir quel process fait tourné ce serveur et comment m'en débarrasser ?

D'avance merci pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Roche
Le #20911561
1 connu a écrit :
Comment puis je savoir quel process fait tourné ce serveur et comment m'en débarrasser ?



Système d'exploitation ?

Sous Linux/Unix:
netstat -anp | grep ':25 ' | grep LISTEN

Windows:
netstat -a -b -n
(en administrateur)
1 connu
Le #20911871
"Xavier Roche"
1 connu a écrit :
Comment puis je savoir quel process fait tourné ce serveur et comment m'en débarrasser ?



Système d'exploitation ?

Sous Linux/Unix:
netstat -anp | grep ':25 ' | grep LISTEN

Windows:
netstat -a -b -n
(en administrateur)


Je suis sur Windows.
Voici le resultat. Je ne vois rien sur le port 25.
Merci pour votre aide.

netstat -a -b -n



Connexions actives

Proto Adresse locale Adresse distante Etat
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1436
c:windowssystem32WS2_32.dll
C:WINDOWSsystem32RPCRT4.dll
c:windowssystem32rpcss.dll
C:WINDOWSsystem32svchost.exe
-- composants inconnus --
[svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Système]

TCP 0.0.0.0:2453 0.0.0.0:0 LISTENING 492
[nmserver.exe]

TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING 212
[mysqld-nt.exe]

TCP 85.218.44.117:139 0.0.0.0:0 LISTENING 4
[Système]

TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING 3812
[alg.exe]

TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 1600
[jqs.exe]

TCP 127.0.0.1:8888 0.0.0.0:0 LISTENING 976
[JBuilder.exe]

TCP 127.0.0.1:30523 0.0.0.0:0 LISTENING 1880
[klnagent.exe]

TCP 127.0.0.1:5152 127.0.0.1:4331 CLOSE_WAIT 1600
[jqs.exe]

TCP 85.218.44.117:4362 129.195.254.222:110 TIME_WAIT 0
TCP 85.218.44.117:4364 209.85.135.138:80 TIME_WAIT 0
TCP 85.218.44.117:4365 209.85.135.99:80 TIME_WAIT 0
TCP 85.218.44.117:4366 209.85.135.105:80 TIME_WAIT 0
TCP 85.218.44.117:4370 209.85.135.113:80 TIME_WAIT 0
TCP 85.218.44.117:4371 67.221.32.209:80 TIME_WAIT 0
TCP 85.218.44.117:50065 222.164.167.249:2211 TIME_WAIT 0
TCP 127.0.0.1:3122 127.0.0.1:3121 TIME_WAIT 0
UDP 0.0.0.0:500 *:* 1188
[lsass.exe]

UDP 0.0.0.0:7657 *:* 492
[nmserver.exe]

UDP 0.0.0.0:15000 *:* 1880
[klnagent.exe]

UDP 0.0.0.0:445 *:* 4
[Système]

UDP 0.0.0.0:4500 *:* 1188
[lsass.exe]

UDP 0.0.0.0:7656 *:* 492
[nmserver.exe]

UDP 85.218.44.117:137 *:* 4
[Système]

UDP 85.218.44.117:123 *:* 1628
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]

UDP 85.218.44.117:138 *:* 4
[Système]

UDP 127.0.0.1:123 *:* 1628
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
Az Sam
Le #20912151
"1 connu" 1e0cd$4b4498c4$55da2c75$
Bonjour,

Désolé si je ne suis pas sur le forum.
En testant un programme envoyant des e-mails. Je me suis rendu compte
qu'en utilisant localhost comme serveur SMTP les mails partent
correctement.
Ceci a ma grande surprise puisque je n'ai, à ma connaissance, aucun
serveur SMTP installé sur mon poste.
Je subodore qu'un virus ou autre trojan a installé ceci dans mon dos.
Comment puis je savoir quel process fait tourné ce serveur et comment m'en
débarrasser ?

D'avance merci pour votre aide.





Avast sur la machine ?

--
Cordialement,
Az Sam.
1 connu
Le #20912501
"Az Sam"
"1 connu"
Bonjour,

Désolé si je ne suis pas sur le forum.
En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails
partent correctement.
Ceci a ma grande surprise puisque je n'ai, à ma connaissance, aucun serveur SMTP installé sur mon poste.
Je subodore qu'un virus ou autre trojan a installé ceci dans mon dos.
Comment puis je savoir quel process fait tourné ce serveur et comment m'en débarrasser ?

D'avance merci pour votre aide.





Avast sur la machine ?


Non Kaspersky. Pourquoi ?


--
Cordialement,
Az Sam.


Az Sam
Le #20912701
"1 connu" 13eec$4b44cc34$55da2c75$


Avast sur la machine ?


Non Kaspersky. Pourquoi ?



Car ca pourrait etre l'AV qui surveille les mails sortant qui s'intercale.

Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est
un netstat mais un peu plus agreable je trouve.

--
Cordialement,
Az Sam.
Christophe Bachmann
Le #20912691
Le 06/01/2010 18:47, 1 connu a écrit :
"Az Sam"
"1 connu"
Bonjour,

Désolé si je ne suis pas sur le forum.
En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails
partent correctement.
Ceci a ma grande surprise puisque je n'ai, à ma connaissance, aucun serveur SMTP installé sur mon poste.
Je subodore qu'un virus ou autre trojan a installé ceci dans mon dos.
Comment puis je savoir quel process fait tourné ce serveur et comment m'en débarrasser ?

D'avance merci pour votre aide.





Avast sur la machine ?


Non Kaspersky. Pourquoi ?



Par ce que pas mal d'antivirus modernes ont des modules de filtrage de
courrier, qui génèrent en douce un serveur de relai de courrier et
modifient les réglages des lecteurs pour les renvoyer vers le serveur de
l'antivirus, dont l'adresse est souvent 127.0.0.1 étant donné qu'elle ne
peut pas être accédée de l'extérieur...
--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France
1 connu
Le #20914731
"Az Sam"
"1 connu"

Avast sur la machine ?


Non Kaspersky. Pourquoi ?



Car ca pourrait etre l'AV qui surveille les mails sortant qui s'intercale.

Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.



Voila le resultat. Je ne vois rien de plus.
Maintenant si c'est Kaspersky, il n'y a pas lieu de s'inquiéter ....

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
1440 -> 135 TCP
4 System -> 139 TCP
4 System -> 445 TCP
3396 -> 1031 TCP
0 System -> 1062 TCP
0 System -> 1069 TCP
0 System -> 1077 TCP
0 System -> 1078 TCP
0 System -> 1079 TCP
0 System -> 1080 TCP
0 System -> 1081 TCP
228 nmserver -> 2453 TCP C:AppleLibrarySystemnmserver.exe
1972 mysqld-nt -> 3306 TCP c:wampbinmysqlmysql5.0.51bbinmysqld-n
t.exe
1580 jqs -> 5152 TCP C:Program FilesJavajre6binjqs.exe
1944 klnagent -> 30523 TCP C:Program FilesKaspersky LabNetworkAgent
klnagent.exe
0 System -> 50065 TCP

0 System -> 123 UDP
0 System -> 137 UDP
0 System -> 138 UDP
1440 -> 445 UDP
4 System -> 500 UDP
228 nmserver -> 4500 UDP C:AppleLibrarySystemnmserver.exe
1972 mysqld-nt -> 7656 UDP c:wampbinmysqlmysql5.0.51bbinmysqld-n
t.exe
4 System -> 7657 UDP
0 System -> 15000 UDP





--
Cordialement,
Az Sam.


Christophe Bachmann
Le #20914911
Le 06/01/2010 22:09, 1 connu a écrit :
"Az Sam"


[C]a pourrait etre l'AV qui surveille les mails sortant qui s'intercale.

Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.



Voila le resultat. Je ne vois rien de plus.
Maintenant si c'est Kaspersky, il n'y a pas lieu de s'inquiéter ....



As-tu tout simplement été voir les réglages dans ton lecteur de courrier
habituel pour voir si qqch n'avait pas subrepticement détourné tes
serveurs entrant et sortants ?

D'autre-part as-tu bêtement tenté un telnet sur ton port 25 pour voir la
chaine de réponse qui te donnera peut-être une indication ?

Enfin as-tu vérifié dans la doc si le programme de mailing n'aurait pas
un réglage par défaut qui remplacerait localhost par son serveur favori,
encore que je ne vois pas trop pourquoi ?
--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France
1 connu
Le #20916791
"Christophe Bachmann"
Le 06/01/2010 22:09, 1 connu a écrit :
"Az Sam"


[C]a pourrait etre l'AV qui surveille les mails sortant qui s'intercale.

Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.



Voila le resultat. Je ne vois rien de plus.
Maintenant si c'est Kaspersky, il n'y a pas lieu de s'inquiéter ....



As-tu tout simplement été voir les réglages dans ton lecteur de courrier habituel pour voir si qqch n'avait pas subrepticement
détourné tes serveurs entrant et sortants ?

D'autre-part as-tu bêtement tenté un telnet sur ton port 25 pour voir la chaine de réponse qui te donnera peut-être une indication
?

Enfin as-tu vérifié dans la doc si le programme de mailing n'aurait pas un réglage par défaut qui remplacerait localhost par son
serveur favori, encore que je ne vois pas trop pourquoi ?



Effectivement, tu as 100% raison. Pas de reponse sur le 25.
Et effectivement c'est le programme qui redirige vers un vrai serveur SMTP.
Le plus fort, c'est que le couillon qui a fait ce programme c'est moi !
Désolé pour le bruit inutil et merci à toi et tout ceux qui ont pris le temps de m'aider


Pierre

--
Greetings, Salutations,
Guiraud Belissen, Château du Ciel, Drachenwald,
Chris CII, Rennes, France


Publicité
Poster une réponse
Anonyme