détection des connections pirates établies sur mon pc

[jolebarbare]

Bonjour,

Avec le logiciel antipirate fayetracker, j'ai pu detecter que mon navigateur internet explorer, meme etant fermé etablit une connection toutes les heures vers un pc que le logiciel antipirate fayetracker
situe au venezuela.
Quelqu'un aurait il deja été confronté à ce probleme?

merci d'avance

[JML19]

Bonjour

Le navigateur IE cela m'étonne es tu sur du coup ?

Peut être la partie réseau du PC mais le navigateur je ne vois pas pourquoi il ne sert à rien avec un Virus type Ver ou cheval de troie

Les vers
Un ver est un programme autonome capable de se dupliquer sans intervention humaine, d'ordinateur en ordinateur, en utilisant les capacités et faiblesses d'un réseau (faille de sécurité de Windows par exemple). La principale fonctionnalité d'un ver n'est pas d'être destructeur mais avant tout de se reproduire. Les méthodes de propagation les plus courantes sont la messagerie ainsi que l'utilisation de protocoles réseaux. L'impact principal d'un ver est la surcharge de l'ordinateur infecté ainsi que du réseau auquel celui-ci est connecté. Les impacts secondaires peuvent être malveillants et modifier fortement le comportement de votre ordinateur. Le terme anglais est "worm".

Exemple type de ver
Le ver Blaster, apparu le 11 août 2003, qui sature les réseaux, a pour principale manifestation de redémarrer automatiquement les ordinateurs toutes les deux minutes.

Les chevaux de Troie
Un cheval de Troie (Trojan, Troyen) est un programme qui tout en se cachant derrière une application utile va infecter discrètement un système et pourra permettre d'en prendre le contrôle à distance (à la manière du cheval de la mythologie grecque). Un cheval de Troie ne peut pas en tant que tel se reproduire ; il est généralement conçu pour une action ciblée.

Les effets d'un cheval de Troie sont divers. Il peut permettre :

la récupération de mots de passe ou toute autre donnée confidentielle sur le poste infecté ;
de rebondir pour attaquer une autre machine sans se faire soupçonner mais en engageant votre responsabilité ;
d'utiliser la machine infectée comme serveur de données piratées (jeux, films ...).
Enfin, un cheval de Troie non détecté peut rapidement transformer votre ordinateur en zombie.

[sevyc64]

Il n'est pas forcé que ce soit IE qui accède à Internet. Beaucoup de "petits" logiciels (gadget windows, lecteur rss, etc) utilise le moteur de IE pour se connecter

[JML19]

Oui mais ce qui m'étonne c'est que IE est un exécutable constitué d'un bloc unique.

[jolebarbare]

Merci pour vos réponses

mais c'est bizarre quand meme car cette connection établie par internet explorer (que je ne demarre meme pas) dure environ "30 s" le nom du processus "system" et se produit tous les "60 mn" vers une machine que FAYETRACKER localise au venezuela???

Le nom du processus "system" ne m'inquiete pas, mais c'est la localisation de la machine distante qui est louche : Venezuela. Car je crois pas que crosoft ait un serveur la bas!!

de plus, le navigateur internet explorer n'est meme pas lancé, alors que fayetracker me dit que le processus "system" est lancé par internet explorer??

[jolebarbare]

Citation:

Envoyé par sevyc64

Il n'est pas forcé que ce soit IE qui accède à Internet. Beaucoup de "petits" logiciels (gadget windows, lecteur rss, etc) utilise le moteur de IE pour se connecter

Je m'oriente plus vers cette voie sevyc64 car je viens de confirmer qu'il n'y a aucun serveur actif microsoft au venezuela

[sevyc64]

Citation:

Envoyé par JML19

Oui mais ce qui m'étonne c'est que IE est un exécutable constitué d'un bloc unique.

IE n'est pas constitué d'un bloc unique même si Microsoft a fait quelques progrès sur ce point là. L’exécutable n'est quasiment qu'une interface graphique, le logiciel complet est dissiminé en différents modules au coeur du système, modules étant utilisés bien souvent par toutes autres fonctions du système.

C'est la raison pour laquelle il est impossible de désinstaller complètement IE de Windows car Windows ne fonctionnerait tout simplement plus. Et c'est pour la même raison qu'il est impossible de désinstaller une mise à jour de IE après l'application d'un SP si cette maj a été faite avant l'installation du SP.

Que le processus soit System, ça peut être tout est n'importe quoi, processus légitime ou malveillant, utilisant les composants du système (un activeX Webbrowser par exemple, basé sur IE) pour acceder au net.

LAnce un scan avec un antivirus à jour, puis avec un antispyware à jour style Malware Antibytes ou Spybot ou autre.

[PhiberOptik]

J'ajoute que les logiciels de traçage des IP et qui déterminent la localisation d'une telle IP se trompent à merveille avec les connexion 3G.
il se peut qu'il n y a aucune Venezuela qui traine, c'est tout simplement mal tracé

[jolebarbare]

merci pour vos réponses

j'ai lancé un scan avec Malwarebytes et Spybot, tout a l'air correct;
Mon antivirus aussi ne trouve rien; je vais finir par croire que c'est un processus normal de windows

j'ai l'impression que mon IE se comporte bizarrement mais je dois surement me faire des films.

[hackoofr]

Tu peux aussi jetter un coup d'oeil ici

[jolebarbare]

Citation:

Envoyé par hackoofr

Tu peux aussi jetter un coup d'oeil ici

Merci pour ces precisions

[jolebarbare]

Pour JML19:

Voila un des soucis que j'ai eu:
une capture d’écran l'expliquera mieux:



Noter que l'un des processus "iexplore.exe" d'internet explorer établit une connexion de mon ordinateur vers internet sur un serveur ayant une adresse IP 69.171.228.14 ; lorsque je fais un nslookup de cet adresse, il se trouve qu'il correspond en réalité à un serveur facebook situé en Californie. Le problème, c'est que je suis en train de surfer sur un site qui n'a rien a voir avec facebook. Et la page de facebook n'est pas ouvert sur mon ordinateur!!!

En fait, je ne comprend pas pourquoi lorsque je surfe sur un site web A, internet explorer, en plus du processus "iexplore.exe" qui pointe sur le bon site web, lance d'autres processus nommés tous "iexplore.exe" et qui établissent des connections sur des serveurs B, C, ou D que j'ai pas demandé.

[hackoofr]

Citation:

Envoyé par jolebarbare

Pour JML19:

Voila un des soucis que j'ai eu:
une capture d’écran l'expliquera mieux:

Noter que l'un des processus "iexplore.exe" d'internet explorer établit une connexion de mon ordinateur vers internet sur un serveur ayant une adresse IP 69.171.228.14 ; lorsque je fais un nslookup de cet adresse, il se trouve qu'il correspond en réalité à un serveur facebook situé en Californie. Le problème, c'est que je suis en train de surfer sur un site qui n'a rien a voir avec facebook. Et la page de facebook n'est pas ouvert sur mon ordinateur!!!

En fait, je ne comprend pas pourquoi lorsque je surfe sur un site web A, internet explorer, en plus du processus "iexplore.exe" qui pointe sur le bon site web, lance d'autres processus nommés tous "iexplore.exe" et qui établissent des connections sur des serveurs B, C, ou D que j'ai pas demandé.

Sniff les protocoles Http et FTP avec Wireshark

[JML19]

Bonjour

Essais Ccleaner pour faire un nettoyage des fichiers et du registre.

[sevyc64]

Citation:

Envoyé par jolebarbare

Noter que l'un des processus "iexplore.exe" d'internet explorer établit une connexion de mon ordinateur vers internet sur un serveur ayant une adresse IP 69.171.228.14 ; lorsque je fais un nslookup de cet adresse, il se trouve qu'il correspond en réalité à un serveur facebook situé en Californie. Le problème, c'est que je suis en train de surfer sur un site qui n'a rien a voir avec facebook. Et la page de facebook n'est pas ouvert sur mon ordinateur!!!

En fait, je ne comprend pas pourquoi lorsque je surfe sur un site web A, internet explorer, en plus du processus "iexplore.exe" qui pointe sur le bon site web, lance d'autres processus nommés tous "iexplore.exe" et qui établissent des connections sur des serveurs B, C, ou D que j'ai pas demandé.

Cela n'a rien de surprenant. Il suffit, par exemple, que la page en question ait un des modules de facebook, comme le fameux bouton "J'aime" par exemple, pour qu'il y ait une connexion à un des serveurs de Facebook au chargement de la page.
De même tu dois avoir un certain nombre de connexions sur des serveurs de pub, des serveurs de statistiques comme statcounter, xiti ou autres, etc, .....

[jolebarbare]

ok, je regarde tout ça