Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements ! Bob. Bonjour,
Votre machine se connecte à un serveur IRC. Si effectivement vous n'êtes pas connecté à un serveur IRC, c'est un peu gênant... Utilisez le logiciel fport pour trouver le programme qui parle sur votre machine en utilisant le port 4009 et passez votre disque à votre antivirus.
Cordialement,
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements !
Bob.
Bonjour,
Votre machine se connecte à un serveur IRC. Si effectivement vous n'êtes
pas connecté à un serveur IRC, c'est un peu gênant...
Utilisez le logiciel fport pour trouver le programme qui parle sur votre
machine en utilisant le port 4009 et passez votre disque à votre antivirus.
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements ! Bob. Bonjour,
Votre machine se connecte à un serveur IRC. Si effectivement vous n'êtes pas connecté à un serveur IRC, c'est un peu gênant... Utilisez le logiciel fport pour trouver le programme qui parle sur votre machine en utilisant le port 4009 et passez votre disque à votre antivirus.
Cordialement,
xavier
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Don, si tu as un logiciel de P2P qui tourne en tâche de fond, c'est absolument normal
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Il y a des chances oui (sauf si vous avez un logiciel IRC ou apparenté qui tourne dès le démarrage).
Le port 6667 est souvent reservé aux serveurs IRC, qui sont aussi utilisé par les pirates afin de coordonner différentes attaques à partir d'un seul point (le serveur IRC).
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
Il y a des chances oui (sauf si vous avez un logiciel IRC ou apparenté
qui tourne dès le démarrage).
Le port 6667 est souvent reservé aux serveurs IRC, qui sont aussi
utilisé par les pirates afin de coordonner différentes attaques à partir
d'un seul point (le serveur IRC).
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Il y a des chances oui (sauf si vous avez un logiciel IRC ou apparenté qui tourne dès le démarrage).
Le port 6667 est souvent reservé aux serveurs IRC, qui sont aussi utilisé par les pirates afin de coordonner différentes attaques à partir d'un seul point (le serveur IRC).
Robert KOWALSKI , alias nous a fait l'honneur d'écrire:
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ? Plutot un truc genre spyware/dialer
remèdes - firewall. exemple zone alarm http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp - antispyware http://lavasoft.element5.com/software/adaware/ http://www.spybot.info/en/download/index.html et hijack this, si on le retouve... -- Oncle Dom * * * * * * * * http://perso.wanadoo.fr/oncle.dom/
Robert KOWALSKI , alias <robert.kowalski.no.spam@free.fr>
nous a fait l'honneur d'écrire:
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande
netstat -a, que mon micro se connectait régulièrement à l'adresse
mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un
virus ou autre, connu pour se connecter à cette adresse ?
Plutot un truc genre spyware/dialer
remèdes
- firewall. exemple zone alarm
http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp
- antispyware
http://lavasoft.element5.com/software/adaware/
http://www.spybot.info/en/download/index.html
et hijack this, si on le retouve...
--
Oncle Dom
* * * * * * * *
http://perso.wanadoo.fr/oncle.dom/
Robert KOWALSKI , alias nous a fait l'honneur d'écrire:
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ? Plutot un truc genre spyware/dialer
remèdes - firewall. exemple zone alarm http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp - antispyware http://lavasoft.element5.com/software/adaware/ http://www.spybot.info/en/download/index.html et hijack this, si on le retouve... -- Oncle Dom * * * * * * * * http://perso.wanadoo.fr/oncle.dom/
DROGER Jean-Paul
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements ! Bob.
tu établis une connexion auto au net dès le démarrage (très mauvaise habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en train de surfer?
-- Jean-Paul DROGER (enlever "anti." et remplacer "ptt" par "wanadoo" pour me joindre en perso; remove "anti." and replace "ptt" by "wanadoo" to answer me directly)
Bonjour,
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements !
Bob.
tu établis une connexion auto au net dès le démarrage (très mauvaise
habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en
train de surfer?
--
Jean-Paul DROGER (enlever "anti." et remplacer "ptt" par "wanadoo" pour
me joindre en perso; remove "anti." and replace "ptt" by "wanadoo" to
answer me directly)
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
Merci de vos éclaircissements ! Bob.
tu établis une connexion auto au net dès le démarrage (très mauvaise habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en train de surfer?
-- Jean-Paul DROGER (enlever "anti." et remplacer "ptt" par "wanadoo" pour me joindre en perso; remove "anti." and replace "ptt" by "wanadoo" to answer me directly)
joke0
Salut,
Robert KOWALSKI:
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
Ta machine héberge un serveur irc. Ton PC doit être vérolé par un ver irc du type spybot/agobot etc.
Le plus rapide:
Fait un rapport HijackThis: <URL:http://joke0.free.fr/ht.html> et publie-le ici.
Fais aussi immédiatement les mises à jour de windows et active le firewall de XP si tu es sous XP:
Va dans la console des services: panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets le en démarrage automatique afin qu'il se remette en route à chaque redémarrage.
-- joke0
Salut,
Robert KOWALSKI:
Voilà quelques jours, je me suis rendu compte, par la commande
netstat -a, que mon micro se connectait régulièrement à
l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667
ESTABLISHED
Ta machine héberge un serveur irc. Ton PC doit être vérolé par
un ver irc du type spybot/agobot etc.
Le plus rapide:
Fait un rapport HijackThis:
<URL:http://joke0.free.fr/ht.html> et publie-le ici.
Fais aussi immédiatement les mises à jour de windows et active
le firewall de XP si tu es sous XP:
Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a, que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
Ta machine héberge un serveur irc. Ton PC doit être vérolé par un ver irc du type spybot/agobot etc.
Le plus rapide:
Fait un rapport HijackThis: <URL:http://joke0.free.fr/ht.html> et publie-le ici.
Fais aussi immédiatement les mises à jour de windows et active le firewall de XP si tu es sous XP:
Va dans la console des services: panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets le en démarrage automatique afin qu'il se remette en route à chaque redémarrage.
-- joke0
Xavier Roche
Xavier HUMBERT wrote:
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Euh c'est pas plutôt IRC ?
Xavier HUMBERT wrote:
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Euh c'est pas plutôt IRC ?
Cedric Blancher
Le Fri, 16 Jul 2004 21:01:43 +0000, joke0 a écrit :
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED Ta machine héberge un serveur irc.
Non. Elle se connecte à un serveur IRC. Quand on fait un netstat, l'adresse de gauche est l'adresse locale et celle de droite l'adresse distante.
-- La réponse à ta question se trouve dans mon cours pour DUT INFO II - Option Réseaux. Oh, mais que vois-je, tu faisais parti de ce cours... -+- DT in Guide du linuxien pervers - "Mauvais prof, changer de prof ?"
Le Fri, 16 Jul 2004 21:01:43 +0000, joke0 a écrit :
TCP Krok:4009 mamoru.saiin.net:6667
ESTABLISHED
Ta machine héberge un serveur irc.
Non. Elle se connecte à un serveur IRC.
Quand on fait un netstat, l'adresse de gauche est l'adresse locale et
celle de droite l'adresse distante.
--
La réponse à ta question se trouve dans mon cours pour
DUT INFO II - Option Réseaux.
Oh, mais que vois-je, tu faisais parti de ce cours...
-+- DT in Guide du linuxien pervers - "Mauvais prof, changer de prof ?"
Le Fri, 16 Jul 2004 21:01:43 +0000, joke0 a écrit :
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED Ta machine héberge un serveur irc.
Non. Elle se connecte à un serveur IRC. Quand on fait un netstat, l'adresse de gauche est l'adresse locale et celle de droite l'adresse distante.
-- La réponse à ta question se trouve dans mon cours pour DUT INFO II - Option Réseaux. Oh, mais que vois-je, tu faisais parti de ce cours... -+- DT in Guide du linuxien pervers - "Mauvais prof, changer de prof ?"
Jerome T
"Xavier HUMBERT" wrote in message news:1gh190a.vnv50t1a0n1ogN%
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Ca ne serait pas plutôt le port pour IRC (Internet Relay Chat). Les backdoors l'utilisent parfois... mais certains P2P aussi donc... Ca serait intéressant de voir les processes qui tournent ou de sniffer le port 6667. Pour info, eMule c'est 4662 TCP.
"Xavier HUMBERT" <xavier@injep.fr> wrote in message
news:1gh190a.vnv50t1a0n1ogN%xavier@injep.fr...
Robert KOWALSKI <robert.kowalski.no.spam@free.fr> wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un
virus
ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Ca ne serait pas plutôt le port pour IRC (Internet Relay Chat). Les
backdoors l'utilisent parfois... mais certains P2P aussi donc... Ca serait
intéressant de voir les processes qui tournent ou de sniffer le port 6667.
Pour info, eMule c'est 4662 TCP.
"Xavier HUMBERT" wrote in message news:1gh190a.vnv50t1a0n1ogN%
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Ca ne serait pas plutôt le port pour IRC (Internet Relay Chat). Les backdoors l'utilisent parfois... mais certains P2P aussi donc... Ca serait intéressant de voir les processes qui tournent ou de sniffer le port 6667. Pour info, eMule c'est 4662 TCP.
TiChou
Dans le message <news:1gh190a.vnv50t1a0n1ogN%, *Xavier HUMBERT* tapota sur f.c.securite :
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Rien de tout ça. Vous confondez certainement avec le port 4667, un des ports effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur la machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce serveur IRC semble être la victime d'un cheval de troie, lequel, quand il a infecté une machine, crée de multpiles connexions (des clones bots dans le jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le channel #brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite possible car, certainement comme ces prédécesseurs (francophones) Sockets23 ou Pretty Park, il donne accès complet à la machine et aux informations personnelles à celui qui sait contrôler les clones bots sur ce serveur IRC.
-- TiChou
Dans le message <news:1gh190a.vnv50t1a0n1ogN%xavier@injep.fr>,
*Xavier HUMBERT* tapota sur f.c.securite :
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un
virus ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Rien de tout ça. Vous confondez certainement avec le port 4667, un des ports
effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur la
machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce
serveur IRC semble être la victime d'un cheval de troie, lequel, quand il a
infecté une machine, crée de multpiles connexions (des clones bots dans le
jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le channel
#brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite
possible car, certainement comme ces prédécesseurs (francophones) Sockets23
ou Pretty Park, il donne accès complet à la machine et aux informations
personnelles à celui qui sait contrôler les clones bots sur ce serveur IRC.
Dans le message <news:1gh190a.vnv50t1a0n1ogN%, *Xavier HUMBERT* tapota sur f.c.securite :
Robert KOWALSKI wrote:
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus ou autre, connu pour se connecter à cette adresse ?
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Rien de tout ça. Vous confondez certainement avec le port 4667, un des ports effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur la machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce serveur IRC semble être la victime d'un cheval de troie, lequel, quand il a infecté une machine, crée de multpiles connexions (des clones bots dans le jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le channel #brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite possible car, certainement comme ces prédécesseurs (francophones) Sockets23 ou Pretty Park, il donne accès complet à la machine et aux informations personnelles à celui qui sait contrôler les clones bots sur ce serveur IRC.
