Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus messages d'alerte en connexion

messages d'alerte en connexion

10 réponses
Avatar
docanski
Bonsoir,

Depuis quelques semaines, chacune de mes connexions (que ce soit par
logiciel de messagerie ou par navigateur) fait l'objet d'intrusions par
l'affichage de fenêtres d'alerte.
Celles-ci sont d'origine diverses (différentes URL "à contacter") et
affichent un message (en anglais) du genre "base de registre infectée"
ou "vous êtes infecté par un trojan, ou un spyware", etc. et invitent à
activer une URL qui permettra de "désinfecter". Dans un premier temps,
ce message était occasionnel et mes connexions étant généralement très
courtes (de 1 mn à 30 mn), j'y échappais le plus souvent. Depuis ces
derniers jours, il suffit bien souvent d'être depuis 1 minute en
connexion pour qu'une fenêtre de ce genre apparaisse ! Pendant un
téléchargement d'une dizaine de minutes, j'ai été assailli à 4 reprises
par des messages différents mais dont le but est toujours le même :
proposer une connexion sur un site destiné à réparer mes problèmes d'OS
! Problèmes que je n'ai pas (en principe ...) : j'utilise Antivir et
Spybot en les mettant régulièrement à jour.
J'utilise un second PC dans les mêmes conditions, avec le même
abonnement, sur la même ligne, et n'ai pas ces problèmes ! J'ajoute
enfin que j'ai une bête connexion RTC.
Que faire pour éviter ces intrusions devenues maintenent systématiques ?
- Dernière expérience après avoir préparé ce message : en l'espace d'une
minute, nouvelle intrusion mais avec un texte en français sans bouton de
connexion (mais avec invitation à s'y rendre) et signé easy-security.net.

PS : désolé si un sujet identique a déjà été abordé ici. J'ai lu les 100
derniers messages de ce groupe sans en trouver une trace éventuelle et
ma connexion RTC étant des plus souffreteuses, je renonce à remonter
plus haut. Merci pour votre compréhension.

Cordialement,
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
~Jean-Marc~
Salutations *docanski* !
Dans <news:42a492a7$0$30590$
tu nous disais :

Depuis quelques semaines, chacune de mes connexions (que ce soit par
logiciel de messagerie ou par navigateur) fait l'objet d'intrusions
par l'affichage de fenêtres d'alerte.


Pas compliqué, il s'agit du service d'affichage des messages qui est utilisé
pour te spammer. Le bon côté de la chose, c'est que ça t'alerte sur
l'absence de pare-feu de ta connexion internet.

Dans ce cas de figure, la meilleure solution est d'activer le pare-feu, si
tu es sous XP ou d'en installer un.

Une solution de dépannage est de désactiver le service d'affichage des
messages.

@+

--
~Jean-Marc~
Contact : http://msmvps.com/docxp/contact.aspx
Site : http://perso.wanadoo.fr/doc.jm/ http://docxp.mvps.org
WebLog : http://msmvps.com/docxp/

Avatar
docanski
Eleveurs et agriculteurs polluent encore et toujours la Bretagne alors
que ~Jean-Marc~ nous narre ce qui suit en ce 6/06/2005 21:16 :

Le bon côté de la chose, c'est que ça t'alerte sur
l'absence de pare-feu de ta connexion internet.


Ça, je le savais déjà : j'avais essayé ZoneAlarm et Kerio, il y a
quelques mois, sans parvenir à la configurer correctement de manière
satisfaisante. Quoiqu'ayant suivi les paramétrages conseillés sur
certains sites (http://babin.nelly.free.fr/kerio.htm et
http://kerio215.free.fr/ pour Kerio) ou configuré par défaut pour
ZoneAlarm (en fonction de leur FAQ), je ne suis jamais arrivé à un
résultat satisfaisant : blocage presque systématique de mes connexions
ou lenteurs abominables.
En RTC, c'est la galère !
J'ai donc abandonné, d'autant que mes temps de connexion très brefs ne
paraissent pas justifier de tels outils.

Une solution de dépannage est de désactiver le service d'affichage des
messages.


Je ne trouve rien de tel dans mon OS ni dans le navigateur par défaut
(IE 6) ou le second (Firefox 1.0.4) ni dans le logiciel de messagerie
(Thunderbird 1.0.2). L'OS est Win2k.
Le fait que ces intrusions sont devenues de plus en plus fréquentes et
rapprochées me font davantage penser à une "bestiole" présente dans l'OS
qui se manifeste lors de chaque connexion. Spybot ne trouve pourtant
rien ...
Par ailleurs, mes connexions sont généralement très brèves : 1 à 3
minutes puis fermeture du port.

Cordialement,
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr

Avatar
eric G.
docanski a exprimé avec précision :
Le fait que ces intrusions sont devenues de plus en plus fréquentes et
rapprochées me font davantage penser à une "bestiole" présente dans l'OS qui
se manifeste lors de chaque connexion. Spybot ne trouve pourtant rien ...


bonjour,
telecharges hijackthis
(http://www.spywareinfo.com/~merijn/downloads.html) et postes les logs
ici... ;o)

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click below to answer
http://cerbermail.com/?tVjLN6N0wM

Avatar
Pascal Legrand
En ce qui me concerne, j'ai déjà eut ce problème. Il ne s'agissait pas du service d'affichage des
messages mais d'une sale bestiole. (about:blank)
Pour l'éradiquer, quelques liens :
http://www.securiteam.com/securityreviews/5RP0L0UD5U.html
http://www.pchell.com/support/aboutblank.shtml
Sur le lien suivant on peut télécharger un petit utilitaire qui pour moi avait bien marché :
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

bon courage
Avatar
JB
~Jean-Marc~ wrote:
Salutations *docanski* !
Dans <news:42a492a7$0$30590$
tu nous disais :

Depuis quelques semaines, chacune de mes connexions (que ce soit par
logiciel de messagerie ou par navigateur) fait l'objet d'intrusions
par l'affichage de fenêtres d'alerte.



Pas compliqué, il s'agit du service d'affichage des messages qui est
utilisé
pour te spammer. Le bon côté de la chose, c'est que ça t'alerte sur
l'absence de pare-feu de ta connexion internet.

Dans ce cas de figure, la meilleure solution est d'activer le pare-feu, si
tu es sous XP ou d'en installer un.

Une solution de dépannage est de désactiver le service d'affichage des
messages.

@+

Bonjour,

j'en ai capturé un et "décortiqué",
l'@IP étè de Chine, au vu de l'heure je me pose des questions,

@IP 61.152.158.124
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 61.162.0.0 - 61.162.255.255
netname: CNCGROUP-SD
descr: CNCGROUP Shandong province network
country: CN
admin-c: CH444-AP
tech-c: XZ14-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-SD
remarks: transferred 20021224
status: ASSIGNED NON-PORTABLE
changed: 20021224
changed: 20040927
source: APNIC

person: CNCGroup Hostmaster
nic-hdl: CH444-AP
e-mail:
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
phone: +86-10-82993155
fax-no: +86-10-82993144
country: CN
changed: 20041220
mnt-by: MAINT-CNCGROUP
source: APNIC

person: XIAOFENG ZHANG
nic-hdl: XZ14-AP
e-mail:
address: Jinan,Shandong P.R China
phone: +86-531-6666666
fax-no: +86-531-6666666
country: CN
changed: 20050330
mnt-by: MAINT-ZXF
source: APNIC

Protocole utilisé : Microsoft Messager Service port 1026 (?)
Info : NetrSendMessage
un extrait du texte capturé :
SYSTEM ALERT SECURITE
ALERT on le saura pourquoi 2 fois!
Windows has detected registry errors on your computer!.
Registry errors can cause potential data loss.
Microsoft recommands an immediate system scan
Visit : www.windowsreg.com for FREE registry scan

[ root]# nslookup www.windowsreg.com
Server: 193.252.19.3
Address: 193.252.19.3#53

Non-authoritative answer:
Name: www.windowsreg.com
Address: 66.150.161.134
Name: www.windowsreg.com
Address: 66.150.161.136
Name: www.windowsreg.com
Address: 66.150.161.140
Name: www.windowsreg.com
Address: 66.150.161.141
Name: www.windowsreg.com
Address: 69.25.27.170
Name: www.windowsreg.com
Address: 69.25.27.171
Name: www.windowsreg.com
Address: 69.25.27.172
Name: www.windowsreg.com
Address: 69.25.27.173

[ root]#

[ root]# whois 69.25.27.171
[Requête en cours whois.arin.net]
[whois.arin.net]
Internap Network Services PNAP-12-2002 (NET-69-25-0-0-1)
69.25.0.0 - 69.25.255.255
Dotster.com PNAP-WDC-DOTSTE-DC-08 (NET-69-25-27-160-1)
69.25.27.160 - 69.25.27.191

# ARIN WHOIS database, last updated 2005-06-04 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
[ root]#


ma question : quel relation avec Microsoft?
c'est la 2° fois que je vois cela,
la 1° une passerelle M$ chez un autre FAI,
la 2° sur une machine passerelle OS alternatif avec client M$


Je pense que tout cela essayé d'atteindre une machine M$ derrière une
passerelle, pb : l'initiateur ne peut être que la machine M$
architecture locale:
modem/routeur fonction routeur abaandonnée (non validée, pas confiance)
machine passerelle dans un OS altenatif avec parefeu et gestion du NAT
machines clientes derrière cette passerelle avec leurs parefeu respectifs

A+
JB


Avatar
docanski
Eleveurs et agriculteurs polluent encore et toujours la Bretagne alors
que Cyrius nous narre ce qui suit en ce 7/06/2005 1:09 :

Allez pour une fois !


Heu ... pourquoi "pour une fois" ?

http://a.vouillon.free.fr/faq-winxp.htm#183


Bon, j'ai désactivé les "service affichage des messages" comme dit pour XP.
Je suis sous Win2k mais je présume que le résultat sera le même ...
Je le verrai dans les prochaines heures.

Il n'a pas fallu attendre bien longtemps ... 10 minutes plus tard, je
reprends ce message pour le compléter : 45 secondes de connexion et paf
! rebelote !
Cette manipulation n'a servi à rien ...
J'essaye les autres solutions proposées.

Cordialement,
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr

Avatar
docanski
Eleveurs et agriculteurs polluent encore et toujours la Bretagne alors
que eric G. nous narre ce qui suit en ce 7/06/2005 0:59 :

bonjour,
telecharges hijackthis
(http://www.spywareinfo.com/~merijn/downloads.html) et postes les logs
ici... ;o)


Re,
Voici le résultat :
-------------------------------
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.wanadoo.fr/bin/frame2.cgi?u=http%3A//services.wanadoo.fr/wanadoo_et_moi/compte/bin/compte.cgi
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
G:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
G:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
G:WINNTSystem32msdxm.ocx
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [ATIPTA] G:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [MBM 5] "G:Program FilesMotherboard Monitor 5MBM5.EXE"
O4 - HKLM..Run: [NeroFilterCheck] G:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [InCD] G:Program FilesAheadInCDInCD.exe
O4 - HKLM..Run: [PinnacleDriverCheck] G:WINNTsystem32PSDrvCheck.exe
-CheckReg
O4 - HKLM..Run: [AVGCtrl] "G:Program FilesAVPersonalAVGNT.EXE" /min
O4 - Startup: Démarrage d'Office.lnk = G:Program FilesMicrosoft
OfficeOfficeOSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = G:Program
FilesMicrosoft OfficeOfficeFINDFAST.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = G:Program
FilesPinnacleShared FilesProgramsSchedulerPCLEScheduler.exe
O4 - Global Startup: NkvMon.exe.lnk = G:Program
FilesNikonNkView5NkvMon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk =
G:WINNTsystem32spooldriversw32x863E_SRCV03.EXE
O4 - Global Startup: hyperappel.lnk = G:Program FilesLarousseEUL
2002binhyperappel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
G:WINNTwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:WINNTwebrelated.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - G:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner -
G:WINNTSystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:WINNTsystem32ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - G:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - VERITAS Software Corp. - G:WINNTSystem32dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:Program
FilesAheadInCDInCDsrv.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware -
G:Program FilesSiSoftwareSiSoftware Sandra Lite 2005.SR1RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - G:Program
FilesSiSoftwareSiSoftware Sandra Lite 2005.SR1RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default))
- Analog Devices, Inc. - G:Program FilesAnalog
DevicesSoundMAXSMAgent.exe
---------------------------------------------------
J'en enlevé la liste des programmes résidents pour ne pas faire trop
long : ils correspondent aux logiciels installés.
En fait, je ne vois rien dans cette liste qui puisse faire soupçonner le
problème ... , du moins d'après le lien de securiteam.com.

Cordialement,
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr

Avatar
docanski
Eleveurs et agriculteurs polluent encore et toujours la Bretagne alors
que Pascal Legrand nous narre ce qui suit en ce 7/06/2005 9:09 :
Sur le lien suivant on peut télécharger un petit utilitaire qui pour moi
avait bien marché :
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


Téléchargé et utilisé ... mais le scan n'a rien donné.
Résultat du log :

-------------------------------------------
(6/8/05 17:18:23) SPSeHjFix started v1.1.2
(6/8/05 17:18:23) OS: Win2000 Service Pack 4 (5.0.2195)
(6/8/05 17:18:23) Language: français
(6/8/05 17:18:23) Win-Path: G:WINNT
(6/8/05 17:18:23) System-Path: G:WINNTsystem32
(6/8/05 17:18:23) Temp-Path: G:DOCUME~1ADMINI~1LOCALS~1Temp
(6/8/05 17:18:25) Disinfection started
(6/8/05 17:18:25) Bad-Dll(IEP): (not found)
(6/8/05 17:18:25) Bad-Dll(IEP) in BHO: (not found)
(6/8/05 17:18:25) UBF: 4 - UBB: 2 - UBR: 7
(6/8/05 17:18:25) UBF: 4 - UBB: 2 - UBR: 7
(6/8/05 17:18:25) Bad IE-pages: (none)
(6/8/05 17:18:25) Stealth-String not found
(6/8/05 17:18:25) Not infected->END
-------------------------------------------

bon courage


Il m'en faudra : je ne suis pas encore sorti de ce problème ...
Les autres liens se croisent avec ce qui a été proposé par ailleurs.

Merci pour la tentative de coup de pouce !
Cordialement
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr

Avatar
eric G.
docanski a couché sur son écran :
J'en enlevé la liste des programmes résidents pour ne pas faire trop long :
ils correspondent aux logiciels installés. En fait, je ne vois rien dans
cette liste qui puisse faire soupçonner le problème ... , du moins d'après le
lien de securiteam.com.


non en effet rien de particulier dans ce que tu as envoyé...
...si ce n'est
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
qui, à priori ne sert po... Gozilla i presumed...

...et
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
G:WINNTwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:WINNTwebrelated.htm
...mais tu dois savoir à quoi cela correspond...i supposed...


--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click below to answer
http://cerbermail.com/?tVjLN6N0wM

Avatar
docanski
Eleveurs et agriculteurs polluent encore et toujours la Bretagne alors
que eric G. nous narre ce qui suit en ce 8/06/2005 17:49 :

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
qui, à priori ne sert po... Gozilla i presumed...



Probablement, mais de toute façon inactivable ... puisqu'inexistant.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
G:WINNTwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:WINNTwebrelated.htm
....mais tu dois savoir à quoi cela correspond...i supposed...



C'est un fichier créé par Spybot.

Suis toujours em....
S'il y avait d'autres pistes ?

Cordialement,
--
docanski

Nature, histoire et légendes en
- Côtes du nord de la Bretagne
- Vallée de la Rance maritime
Memento des champignons
http://armorance.free.fr