Réseau privé virtuel non désiré

ehmicky · 30/08/2007, 21h38

Bonjour à tous,

Tout d'abord, je ne savais pas où mettre ce topic qui concerne ma connexion internet : je n'ai pas trouvé de telle catégorie, désolé !
Mon problème : depuis deux jours, j'ai deux connexions qui s'affiche sur cet onglet du Gestionnaire des tâches :

Il s'agit des connexions nommées "Wan (PPP/SLIP) Interface". Auparavant, elles étaient absentes et le réseau local était mort (je n'en ai pas).
Voici ce que j'ai dans Toutes les connexions, en cliquant sur Propriétés sur la connexion "The internet (2)" qui est apparue :

Enfin, si cela peur vous aider, en tapant ipconfig/all dans cmd.exe, j'ai cela pour le début du message :

puis une suite de "Carte tunnel automatic tunneling pseudo-interface".
J'ai tout essayé pour virer cette connexion suspecte : bloquer son IP par MacAfee (elle en possède deux), par le pare-feu Windows, renommer, changer ses propriétés, la supprimer ou la déconnecter : elle réapparaît automatiquement avec ses réglages par défaut. Norton Antivirus, Spybot et Ad-aware ne me signalent rien.
J'aimerais donc savoir de quoi il s'agit (ou comment le savoir) et comment supprimer cette chose !
Je vous remercie de votre patience, je sais que vous avez du boulot sur ce forum.

Merci d'avance

.

Lafab · 31/08/2007, 12h39

Il s'agit d'une connexion VPN. Quelqu'un établit un réseau privé chez toi.

A priori, un script exécuté à l'insu de ton plein gré s'éxécute ( au demarrage?) afin de rétablir la connexion si tu l as supprimé.

Tu as été tt simplement piraté.

regarde avec msconfig, tu vois pas un fichier suspect qui s'execute au demarrage

ehmicky · 02/09/2007, 18h12

Bonjour,

Excuse-moi d'avoir mis autant de tant à répondre. J'ai regardé les programmes au démarrage, les seuls programmes qui pourraient être suspects sont trois programmes sans nom...
J'ai alors regardé dans mon registre : HKLM/Software/Microsoft/Windows/Run et ait trouvé un programme suspect : Realtray. J'ai recherché les valeurs du registre ayant pour nom Realtray et ait fait une recherche de ce nom sur le disque dur. Sur internet, j'ai appris que realtray.exe fait partie du trojan Backdoor.Stanex : selon Symantec, "Backdoor.Stanex is a Backdoor Trojan horse that allows a hacker to control an infected computer. This Trojan is a Delphi application and is packed with UPX.". Je pense donc être sur la bonne voie, je vais essayer de me débarasser de cette *ù$#& (pour être poli) (déjà, je l'ai identifiée, c'est 50% du boulot de fait !). Je vous donne des nouvelles si je réussis et, si vous avez des idées, merci de me le dire ;-).

Edit : il semblerait que ce programme fasse partir de RealPlayer et que Realplayer ait eu un procès à cet effet.
Nouvel Edit : il semblerait aussi que les .exe à problème soient csrss.exe et lsass.exe, processus toujours en marche (mais absents de msconfig). En faisant "Terminer le Processus", j'ai "Ceci est un processus système critique. Le gestionnaire des tâches ne peut pas arrêter ce processus.". Décidément, c'est un coriace

. Si vous avez une idée pour supprimer ces satanés processus...

30/08/2007, 21h38	#1
ehmicky Invité régulier Inscription : août 2007 Messages : 39 Détails du profil Informations forums : Inscription : août 2007 Messages : 39 Points : 7 Points : 7	Réseau privé virtuel non désiré Bonjour à tous, Tout d'abord, je ne savais pas où mettre ce topic qui concerne ma connexion internet : je n'ai pas trouvé de telle catégorie, désolé ! Mon problème : depuis deux jours, j'ai deux connexions qui s'affiche sur cet onglet du Gestionnaire des tâches : Il s'agit des connexions nommées "Wan (PPP/SLIP) Interface". Auparavant, elles étaient absentes et le réseau local était mort (je n'en ai pas). Voici ce que j'ai dans Toutes les connexions, en cliquant sur Propriétés sur la connexion "The internet (2)" qui est apparue : Enfin, si cela peur vous aider, en tapant ipconfig/all dans cmd.exe, j'ai cela pour le début du message : puis une suite de "Carte tunnel automatic tunneling pseudo-interface". J'ai tout essayé pour virer cette connexion suspecte : bloquer son IP par MacAfee (elle en possède deux), par le pare-feu Windows, renommer, changer ses propriétés, la supprimer ou la déconnecter : elle réapparaît automatiquement avec ses réglages par défaut. Norton Antivirus, Spybot et Ad-aware ne me signalent rien. J'aimerais donc savoir de quoi il s'agit (ou comment le savoir) et comment supprimer cette chose ! Je vous remercie de votre patience, je sais que vous avez du boulot sur ce forum. Merci d'avance .
	00

31/08/2007, 12h39	#2
Lafab Futur Membre du Club Inscription : décembre 2006 Messages : 85 Détails du profil Informations forums : Inscription : décembre 2006 Messages : 85 Points : 19 Points : 19	Il s'agit d'une connexion VPN. Quelqu'un établit un réseau privé chez toi. A priori, un script exécuté à l'insu de ton plein gré s'éxécute ( au demarrage?) afin de rétablir la connexion si tu l as supprimé. Tu as été tt simplement piraté. regarde avec msconfig, tu vois pas un fichier suspect qui s'execute au demarrage
	00

02/09/2007, 18h12	#3
ehmicky Invité régulier Inscription : août 2007 Messages : 39 Détails du profil Informations forums : Inscription : août 2007 Messages : 39 Points : 7 Points : 7	Bonjour, Excuse-moi d'avoir mis autant de tant à répondre. J'ai regardé les programmes au démarrage, les seuls programmes qui pourraient être suspects sont trois programmes sans nom... J'ai alors regardé dans mon registre : HKLM/Software/Microsoft/Windows/Run et ait trouvé un programme suspect : Realtray. J'ai recherché les valeurs du registre ayant pour nom Realtray et ait fait une recherche de ce nom sur le disque dur. Sur internet, j'ai appris que realtray.exe fait partie du trojan Backdoor.Stanex : selon Symantec, "Backdoor.Stanex is a Backdoor Trojan horse that allows a hacker to control an infected computer. This Trojan is a Delphi application and is packed with UPX.". Je pense donc être sur la bonne voie, je vais essayer de me débarasser de cette *ù$#& (pour être poli) (déjà, je l'ai identifiée, c'est 50% du boulot de fait !). Je vous donne des nouvelles si je réussis et, si vous avez des idées, merci de me le dire ;-). Edit : il semblerait que ce programme fasse partir de RealPlayer et que Realplayer ait eu un procès à cet effet. Nouvel Edit : il semblerait aussi que les .exe à problème soient csrss.exe et lsass.exe, processus toujours en marche (mais absents de msconfig). En faisant "Terminer le Processus", j'ai "Ceci est un processus système critique. Le gestionnaire des tâches ne peut pas arrêter ce processus.". Décidément, c'est un coriace . Si vous avez une idée pour supprimer ces satanés processus...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email