"DROGER Jean-Paul" a écrit dans le message de news:
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
tu établis une connexion auto au net dès le démarrage (très mauvaise habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en train de surfer?
Ben en fait de connexion, c'est mon routeur qui est toujours connecté... Mon micro ne l'est que lorsque je l'allume... ;) - et seulement à MSN Messenger...
Sinon, c'est une install à peu près propre - récente en tout cas (deux mois). Ad-aware ne trouve pas de spyware, je n'ai pas de logiciel de P2P qui tourne, et Trend Pc-Cillin 11 (à jour bien sûr) ne m'a pas trouvé de virus, après un scan complet de la machine... Et, pas d'IRC depuis très, très longtemps !
Le firewall du routeur ne peut rien me dire, malheureusement... Je vais essayer un autre anti-spyware, et vous tiens au courant...
Les autres micros du réseau n'ont pas ce symptôme de "connexion fantôme"... Bizarre !
Bob.
"DROGER Jean-Paul" <anti.droger.jean-paul@ptt.fr> a écrit dans le message de
news:mn.84887d47e492765f.4824@ptt.fr...
Voilà quelques jours, je me suis rendu compte, par la commande
netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un
virus
ou autre, connu pour se connecter à cette adresse ?
tu établis une connexion auto au net dès le démarrage (très mauvaise
habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en
train de surfer?
Ben en fait de connexion, c'est mon routeur qui est toujours connecté... Mon
micro ne l'est que lorsque je l'allume... ;) - et seulement à MSN
Messenger...
Sinon, c'est une install à peu près propre - récente en tout cas (deux
mois). Ad-aware ne trouve pas de spyware, je n'ai pas de logiciel de P2P qui
tourne, et Trend Pc-Cillin 11 (à jour bien sûr) ne m'a pas trouvé de virus,
après un scan complet de la machine... Et, pas d'IRC depuis très, très
longtemps !
Le firewall du routeur ne peut rien me dire, malheureusement... Je vais
essayer un autre anti-spyware, et vous tiens au courant...
Les autres micros du réseau n'ont pas ce symptôme de "connexion fantôme"...
Bizarre !
"DROGER Jean-Paul" a écrit dans le message de news:
Voilà quelques jours, je me suis rendu compte, par la commande netstat -a,
que mon micro se connectait régulièrement à l'adresse mamoru.saiin.net ;
TCP Krok:4009 mamoru.saiin.net:6667 ESTABLISHED
et ceci même sans surfer, et dès l'ouverture de session. Y'a-t'il un virus
ou autre, connu pour se connecter à cette adresse ?
tu établis une connexion auto au net dès le démarrage (très mauvaise habitude) ou est ce après une connexion manuelle?
quel est ta page par défaut?
tu as un fire wall qui marche et qui peut te dire quelq softs sont en train de surfer?
Ben en fait de connexion, c'est mon routeur qui est toujours connecté... Mon micro ne l'est que lorsque je l'allume... ;) - et seulement à MSN Messenger...
Sinon, c'est une install à peu près propre - récente en tout cas (deux mois). Ad-aware ne trouve pas de spyware, je n'ai pas de logiciel de P2P qui tourne, et Trend Pc-Cillin 11 (à jour bien sûr) ne m'a pas trouvé de virus, après un scan complet de la machine... Et, pas d'IRC depuis très, très longtemps !
Le firewall du routeur ne peut rien me dire, malheureusement... Je vais essayer un autre anti-spyware, et vous tiens au courant...
Les autres micros du réseau n'ont pas ce symptôme de "connexion fantôme"... Bizarre !
Bob.
Robert KOWALSKI
"TiChou" a écrit dans le message de news:
Rien de tout ça. Vous confondez certainement avec le port 4667, un des ports
effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur la
machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce serveur IRC semble être la victime d'un cheval de troie, lequel, quand il a
infecté une machine, crée de multpiles connexions (des clones bots dans le jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le channel
#brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite possible car, certainement comme ces prédécesseurs (francophones) Sockets23
ou Pretty Park, il donne accès complet à la machine et aux informations personnelles à celui qui sait contrôler les clones bots sur ce serveur IRC.
Bon, après quelques recherches, un scan avec BitDefender en ligne, il s'avèrait que j'étais infecté par un Trojan, situé dans l'exécutable WIN.EXE...
Après élimination du processus, suppression de WIN.EXE et nettoyage de la BdR, plus de connexion... Tout a l'air de fonctionner !
Je n'ai pas pu voir le nom précis de ce virus... Dommage. Merci à vous en tout cas !!!
Bob.
"TiChou" <gro.uohcit@uohcit.news.free.fr> a écrit dans le message de
news:bzium.20040716220059@florizarre.tichou.org...
Rien de tout ça. Vous confondez certainement avec le port 4667, un des
ports
effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur
la
machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce
serveur IRC semble être la victime d'un cheval de troie, lequel, quand il
a
infecté une machine, crée de multpiles connexions (des clones bots dans le
jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le
channel
#brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite
possible car, certainement comme ces prédécesseurs (francophones)
Sockets23
ou Pretty Park, il donne accès complet à la machine et aux informations
personnelles à celui qui sait contrôler les clones bots sur ce serveur
IRC.
Bon, après quelques recherches, un scan avec BitDefender en ligne, il
s'avèrait que j'étais infecté par un Trojan, situé dans l'exécutable
WIN.EXE...
Après élimination du processus, suppression de WIN.EXE et nettoyage de la
BdR, plus de connexion... Tout a l'air de fonctionner !
Je n'ai pas pu voir le nom précis de ce virus... Dommage. Merci à vous en
tout cas !!!
Rien de tout ça. Vous confondez certainement avec le port 4667, un des ports
effectivement utilisé pour le P2P.
Le port 6667 est le port irc (Internet Relay Chat). Et effectivement sur la
machine mamoru.saiin.net tourne un serveur IRC japonais.
Faut-il alors s'inquiéter de cette connexion ? Il semble que oui, car ce serveur IRC semble être la victime d'un cheval de troie, lequel, quand il a
infecté une machine, crée de multpiles connexions (des clones bots dans le jargon IRC) vers ce serveur. On peut retrouver ces connexions sur le channel
#brainstew.aol.
Bref, un cheval de troie de plus qu'il vaut mieux éradiquer le plus vite possible car, certainement comme ces prédécesseurs (francophones) Sockets23
ou Pretty Park, il donne accès complet à la machine et aux informations personnelles à celui qui sait contrôler les clones bots sur ce serveur IRC.
Bon, après quelques recherches, un scan avec BitDefender en ligne, il s'avèrait que j'étais infecté par un Trojan, situé dans l'exécutable WIN.EXE...
Après élimination du processus, suppression de WIN.EXE et nettoyage de la BdR, plus de connexion... Tout a l'air de fonctionner !
Je n'ai pas pu voir le nom précis de ce virus... Dommage. Merci à vous en tout cas !!!
Bob.
Ie Brown
On Fri, 16 Jul 2004 21:01:44 +0000, Xavier Roche wrote:
Xavier HUMBERT wrote:
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Euh c'est pas plutôt IRC ?
Je crois sur le logiciel Check Point FireWall-1, il y a un objet service P2P (je ne sais plus son nom) qui est défini avec ce numéro de port. Peut-être que la confusion vient de là.
Donc un jour mes admin ayant mis des règles anti-P2P, ne m'autorisent plus à faire de l'IRC :-(
On Fri, 16 Jul 2004 21:01:44 +0000, Xavier Roche wrote:
Xavier HUMBERT wrote:
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Euh c'est pas plutôt IRC ?
Je crois sur le logiciel Check Point FireWall-1, il y a un objet service
P2P (je ne sais plus son nom) qui est défini avec ce numéro de port.
Peut-être que la confusion vient de là.
Donc un jour mes admin ayant mis des règles anti-P2P, ne m'autorisent
plus à faire de l'IRC :-(
On Fri, 16 Jul 2004 21:01:44 +0000, Xavier Roche wrote:
Xavier HUMBERT wrote:
6667, c'est un port P2P eMule ou Gnutella, je ne sais plus.
Euh c'est pas plutôt IRC ?
Je crois sur le logiciel Check Point FireWall-1, il y a un objet service P2P (je ne sais plus son nom) qui est défini avec ce numéro de port. Peut-être que la confusion vient de là.
Donc un jour mes admin ayant mis des règles anti-P2P, ne m'autorisent plus à faire de l'IRC :-(
