[Résolu]Ordinateur distant tente de communiquer

[lan29]

bonjour,

depuis quelques jours, Eset S.S. (8.0.319.1) m'avertit :
"un ordinateur distant tente de communiquer avec une application s'exécutant sur cet ordinateur. Voulez-vous autoriser cette communication?"
Cette annonce arrive plusieurs fois dans la journée (lorsque pc en marche, bien sûr)

L'adresse se présente ainsi :
- HINET-IP.hinet.net (114.32.228.222 ..par exemple). L'ip est toujours différente.
- Par deux fois : sparqnet suivi d'une IP (122.146.46.155)
- Une fois : Static-86.125.18.204.craiova.rdsnet.ro

Bien sûr, je refuse l'entrée.

Je fais une recherche sur DNSlookup :
- provenance Taïwan pour HINET,....
- Roumanie pour Static,.....
- Chili pour sparqnet.

-W7 à jour
- UAC activé
- scan Malwarebytes : 0
- scan Eset : 0
- scan AdwareCleaner : 0
- scanZHPcleaner : 0
- scan en ligne F-secure : 0
- scan en ligne Trend Micro : 0
- pas de crack, pas de sites douteux
- Firefox : noscript, ublock origine,

Donc, apparemment, pas d'infection, le pc fonctionne très bien, comme d'habitude.

Aucune installation de logiciel depuis plus de 2 ans.


Merci d'avance si quelqu'un a une idée.

[Malekal_morte]

Salut,

oui pas l'air infecté, vu tous les scans.
Est-ce que tu as un port qui est donné sur ces connexions ?
Ca le fait aussi si le navigateurs WEB est fermé ?

Pour voir :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[lan29]

merci de me répondre.

Comment je peux savoir quel port est donné sur ces connexions ?
Firefox est quasiment toujours en route .... donc je ne peux pas répondre à la 2ème question. Mais je vais essayer pour voir.
Je me penche sur FRST.



Voilà les liens, j'espère que j'ai fait correctement:
* http://pjjoint.malekal.com/files.php?id ... 9b12d13t14
* http://pjjoint.malekal.com/files.php?id ... 10x12c15p5
* http://pjjoint.malekal.com/files.php?id ... 5z10x15o13
merci d'avance

je ne pourrai pas repasser avant demain.

[Malekal_morte]

Il faut voir les informations données sur les alertes ou dans les journaux.
Peut-être qu'il ne donne que l'adresse IP sans plus d'informations.

Tu te connectes comment à internet, box FAI ou routeur, si c'est un routeur, c'est quel modèle ?

[lan29]

Je suis connecté avec un modem D-Link 320-T. Pas d'aujourd'hui, mais ça me suffit. J'avais acheté un routeur Netgear que je n'ai jamais réussi à comprendre et faire marcher. Donc, retour au D-Link.

J'ai regardé le journal du pare-feu. Aujourd'hui il y a une seule attaque par balayage de port détectée.
Sinon, je ne vois pas les adresses que j'ai refusées; Au moins 6 fois aujourd'hui.
Je ferai attention la prochaine fois, s'il me donne un port (sur mon pc, je suppose ?)

A propos de ports, je viens de faire une analyse sur le site https://www.grc.com/x/ne.dll?bh0bkyd2 .
Résultat :
"Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice."

Donc, pas de port ouvert.

[Malekal_morte]

il y a beaucoup de piratage de routeurs depuis 1 an... les routeurs D-Link sont assez visés... D-Link attaqué aux USA pour des raisons de sécurité.

Dans le doute, je t'invite à :
- procéder à un reset usine du routeur
- effectuer une mise à jour du firmware : http://support.dlink.com/ProductInfo.aspx?m=DNS-320L

et voir si NOD32 arrête les alertes.

Par curiosité avant cela, ouvre une invite de commandes et dedans passe un coup de :

Code : Tout sélectionner

nslookup www.google.com

nslookup www.yahoo.com

pour voir, ce qui est retourné comme résultat.

[lan29]

bonjour,

voilà le résultat de la commande :

nslookup.jpg

Suite à un problème de DNS Orange au mois de novembre 2016, j'avais changé ceux-ci par ceux de FDN. Trouvé ici :
http://www.journaldugeek.com/2016/11/16 ... n-changer/
Le D-Link 320-T n'est pas un routeur mais un simple modem qui date de 2006.
Quant au changement de firmware, il y a longtemps que j'ai abandonné. Je n'ai jamais réussi à entrer dans l'interface admin où se trouve "tool" donc, je suppose la possibilité de changer de firmware ou de faire un reset usine.

J'avais tenté un Netgear, mais là aussi, j'ai abandonné. Je ne réussissais pas à avoir une connexion. Pas doué dans le domaine ? oui, je sais.
Est-il possible d'interdire un domaine dans Eset ? Une IP, ça ne sert à rien car elle change à chaque fois. Si oui, serait-ce trop demander d'avoir un exemple de "formule" à mettre dans Eset ?

Au fait, rien de suspect dans les rapports FRST ?
Avant de fermer le fichier shorcut, j'ai vu une ligne en chinois que j'ai trouvé étrange :
(Shortcut: C:\Users\al\Links\RecentPlaces.lnk -> L ᐁ À 䘀 耟穭⊇㞡䘚낑�깚馼 ė ꀀŠ 匱卐뜥䟯ယ怂麌곫=
ἀ ᔀ 䔀洀瀀氀愀挀攀洀攀渀琀猀 爀挀攀渀琀猀 ㄀ Ѐ Dossier système  匱卐檦⡣锽ᇒ횵쀀�퀘e ἀ ⤀ 㨀㨀笀㈀㈀㠀㜀㜀䄀㘀䐀ⴀ㌀㜀䄀㄀ⴀ㐀㘀㄀䄀ⴀ㤀㄀䈀　ⴀ䐀䈀䐀䄀㔀䄀䄀䔀䈀䌀㤀㤀紀 )

[Malekal_morte]

Pfff il est con ce forum, il a ajouté http devant les adresses dans les commandes ... j'avais pas vu, j'ai corrigé.
Mais bon, ton routeur interroge un serveur DNS en Allemagne et tu es chez Orange ... :

inetnum: 88.67.48.0 - 88.67.255.255
netname: ARCOR-DSL-NET16
descr: ARCOR AG
descr: Alfred-Herrhausen-Allee 1
descr: D-65760 Eschborn

country: DE
admin-c: ANOC1-RIPE
tech-c: ANOC1-RIPE
mnt-by: ARCOR-MNT
mnt-lower: ARCOR-MNT
mnt-routes: ARCOR-MNT
status: ASSIGNED PA
created: 2007-01-16T08:03:31Z
last-modified: 2007-07-23T08:02:16Z
source: RIPE

Donc là c'est certains qu'il a été piraté.
Faut absolument le sécuriser en suivant les indications que je t'ai donnés.
Si tu n'y arrives pas, il se fera pirater à nouveau tôt ou tard.

[lan29]

pour voir, j'ai remis les DNS d'Orange. Voilà le résultat:

nslookup.jpg

Sinon, dans les rapports de FRST, il n'y avait pas de problèmes malgré la ligne en chinois dans le fichier shortcut ?

[Malekal_morte]

Là c'est bon, les DNS.
Pour FRST non, c'est bon.

Eset arrête ses alertes?

[lan29]

Je garde donc les DNS Orange.

J'attends un peu avant de répondre sur les alertes d'Eset.

Autre modem-routeur commandé.

[Malekal_morte]

Sauf que si le routeur est à nouveau piraté les DNS vont être à nouveau modifiés.
Il est aussi possible d'uploader un pogramme malveillant.

nslookup te permet de vérifier déjà, si les DNS sont corrects.

[lan29]

Sauf que si le routeur est à nouveau piraté les DNS vont être à nouveau modifiés.
Il est aussi possible d'uploader un pogramme malveillant.

nslookup te permet de vérifier déjà, si les DNS sont corrects.

C'est moi qui avait changé les DNS avec ceux donnés à l'adresse dont j'ai parlé plus haut. J'ai fait ça au moment où Orange avait des problèmes. Je l'ai expliqué plus haut.
(http://www.journaldugeek.com/2016/11/16 ... n-changer/)

J'ai donc remis les DNS d'Orange et vérifié si ce sont bien ceux d'Orange sur dnslookup.
Mais ce matin, j'ai eu à nouveau 3 requêtes provenant d'HINET.

Je deviens parano avec cette histoire.

Je ne trouve pas d'autres exemples de ce cas sur le net.

[Malekal_morte]

d'ac et si tu resets le routeur ?

[lan29]

je ferai ça tranquillement demain.
Là, je viens d'avoir une requête avec seulement une IP (114.35.249.81), pas d'autre détail. Pas de précision HINET.

Vérification sur DnslookUp : IP d'HINET et blacklistée.

En général, la requête dit que "l'ordi distant tente de communiquer avec une application du pc".
S'il y avait un virus ou autre malware dans mon pc, il serait normalement découvert avec toutes les analyses faites,non ?




[edit le 9/01] reset du modem fait ce matin. Je viendrai aux nouvelles plus tard.

[re-edit] malgré le reset, je viens d'avoir une nouvelle requête. Encore une IP sans précision HINET

[re-re-edit] 6 heures sur un autre pc (même modem) sans requête. Le pb viendrait donc du pc et non du modem, non ?
Je ne sais plus quoi faire.