"downloads.aaa1screensavers.com" ?????

Fermé
reloudchérelou - 9 mai 2005 à 20:57
 isthgo - 5 juil. 2005 à 17:59
tout est dans le titre. Cette connection s'établie sur ma bécane et aucun outil ne me permet d'y mettre fin (testé: ad-aware, a squared, scanspyware, microsoft antispyware (!), panda online scan, KAV en interne, ProPort, trend, symantec...).
Je précise que j'utilise kerio comme pare-feu et qu'il n'affiche même pas ces connexions comme ouvertes alors que netstat les affiche.
autre étrangeté l'adresse ip (distante et locale !) est 127.0.0.1 !
je me mord la queue là !

Si qqn peut m'aider, parce que là je ne sais plus.
d'autre part il semble que ce soit relativement nouveau car je ne trouve rien sur le net de concret et efficace face à ce pb et très peu de forums en parlent (via google et altavista)

16 réponses

Utilisateur anonyme
9 mai 2005 à 21:29
dernier recour:
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum.
0
reloudchérelou
9 mai 2005 à 21:55
Logfile of HijackThis v1.99.1
Scan saved at 21:56:57, on 09/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\...\Mes documents\Downloads\Compressed\ProPort.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\...\Mes documents\Downloads\Programs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - (no file)
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
0
Utilisateur anonyme
10 mai 2005 à 14:33
re,
fix ceci:
O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

par contre pour ce qui est de ceci:
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe <tu connais?
0
reloudchérelou
10 mai 2005 à 16:46
merci régis pour ton aide.
tu pointes tous les trucs qui me paraissaient louchent à moi aussi...
Pour ce qui est des lignes sur Nvidia je ne sais pas non mais j'ai un firewall integré sur ma carte mère qui embarque un chipset nvidia (nforce 3) c'est peut-être ça ?
je n'ai jamais pris le temps de me pencher sur la doc pour le parametrer mais j'ai installé les drivers puis laissé tomber...je bosse moi hihihi (lol !)
je crois que je vais en venir à la solution radicale...
j'ai oublié de préciser que j'ai mon écran qui saute comme quand on en change la résolution et je ne sais même pas si c'est lié car j'ai changé de carte graphique il y a peu mais visiblement ça ne chauffe pas (ma carte)... sinon à part un ralentissement de ma bécane dû au tintouin qui tourne et me bouffe de la BP rien de spécial mais je n'aime pas qd je ne contrôle pas...
format c:...

en tout cas ce truc a fait le tour de mon firewall et bluffé tous les antivirus et anti troyens/spyware... et je n'arrive pas à lui faire taire sa bouche...
AAARRRGGGGHHHHHHH !
je vous tiens au courant... des fois qu'il résiste au formatage là je ris jaune...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
10 mai 2005 à 16:53
effectivement nvidia a ne pas touché !
mais en tout cas c est bizarre est screensavers je suis pas anglissiste mais se refere au ecran non? enfin la je bug lol mais tiens moi au courant
0
reloudchérelou
11 mai 2005 à 15:57
J'ai trouvé !

je suis victime d'une "LAND ATTACK"

à noter que kerio s'est fait bouffer completement par cette attaque !
je viens d'installer Look'n'Stop comme firewall et tout s'éclaire !

lui a bloqué immédiatement cette saloperie et encore mieux, il m'a permis de mettre un nom sur cette saloperie !
voici pour ceux qui veulent comprendre:

"Un faille des systèmes Windows vieille de huit ans, colmatée dans toutes les versions de l'époque, a fait sa réapparition tout récemment sur Windows 2003 et Windows XP service pack 2. Des mauvaises langues iraient même jusqu' à dire que la vulnérabilité en question aurait fait sa réapparition à la suite de l'initiative "Trustworthy Computing" de la société ."
source : abc de la sécurité: http://abcdelasecurite.free.fr/html/modules.php?name=News&file=article&sid=741

ou ici:
Land attack :
C'est une attaque axée réseaux, faisant partie de la grande famille des Refus De Service (DOS : Denial Of Service). Les systèmes visés sont Win32.
Ce procédé est décomposé en trois étapes:
La première est de récupérer l'adresse IP de la cible par spoofing.
La seconde est de scanner tous les ports ouverts de l'ordinateur victime.
La dernière est d'envoyer un packet à chaque port ouvert. Mais ces packets ont deux caractéristiques : Ils ont le flag SYN positionné, et les adresses source et destination du packet est la même : Celle de l'ordinateur cible.

http://www.securiteinfo.com/attaques/hacking/land.shtml

Voilà. C'est grave ce truc et je pense être une des premières victimes.
Demain je formate, je vire SP2. On m'avait bien dit de ne pas l'installer mais j'ai voulu l'essayer...
quelle masturbation qd même!
quand je pense aux nombre de gugusses bardés de diplomes et prétentieux qui doivent bosser cher Bill pour pondre de telles m**des !
oui je sais la critique est facile et l'art est difficile mais qd même !
0
Utilisateur anonyme
11 mai 2005 à 16:01
ok merci pour la precision mais c est vrai j ai ete stupide sur ce coup la vu ton 1er poste....
0
reloudchérelou
11 mai 2005 à 16:15
salut régis

ah parce que tu connaissais ça ?

en tout cas ce firewall m'a l'air bien foutu.
ma bécane a retrouver sa vélocité c'est un bonheur !
mais va falloir formatter qd même, je tiens à virer sp2
on m'a parlé de LSD c'est bien ça ?
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
11 mai 2005 à 16:52
Salut les amis Regis et reloudchérelou,

est ce que tu as reussi à le virer??

Si oui comment? 9à peut toujours servir

Jean
0
Utilisateur anonyme
11 mai 2005 à 16:56
salut mon ami Jean,
en fait le pare feu bloque l acces maintenant si j ai bien compris
0
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
11 mai 2005 à 17:14
J'ai compris pareil mais quid de celui qui l'a gobbé??
0
reloudchérelou
11 mai 2005 à 17:16
oui c'est ça mais comme c'est une faille de sécurité de l'os bah je vois pas ce que je peux virer. C'est une attaque réseau donc je dois fermer la porte et look'n'stop a l'air de bien le faire.
je vais essayer lsd 3 je pense. Des retours d'expérience là dessus ?
voici une petite capture d'écran de l'onglet "filtrage internet" du pare feu:
http://img171.echo.cx/my.php?image=look1zr.gif
c'est sur la première ligne, je pouvais pas le rater !
0
j'ai eter infecter par ce truc moi aussis et je crois que ca date de quelque jours déja j'utilisait kerio personal firewall aussis et je suis tomber sur ce forum en tentant de regler ce trouble

merci des conseils






Je suis un lezard et vous?
0
Utilisateur anonyme
11 mai 2005 à 21:02
salut

Apparement, la toolbar azesearch ou peut etre ces restes dans le registre pourrait etre responsable.

resolu ici (voir dernier post)
http://www.bullguard.com/forum/9/Downloadsaa1screensaverscom-TC_10560.html

si ca peut aider...

a+
0
isthgo Messages postés 6 Date d'inscription lundi 4 juillet 2005 Statut Membre Dernière intervention 24 juillet 2011
4 juil. 2005 à 20:48
bonjour à tous j'ai moi aussi un probleme avec land attack bien que j'ai windows 98 j'avais deja look n stop (il filtre quelque chose toutes les 8 secondes mais ça n'empeche pas des plantages de temps en temps vu que je suis une pauvre novice quelqu'un peut-il m'aider à me sortir de à ; il y a quelque chose à faire à part reformater ou pas
merci d'avance
je vous joins le log
Logfile of HijackThis v1.99.1
Scan saved at 20:29:48, on 04/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\SOFT4EVER\LOOKNSTOP\LOOKNSTOP.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FR\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.giswmpyeay.com/MHHju3OVboJSSihuD45xK6weScceulBWp3kSeaFrD04gYvdLFa0QqIKvloG6U6xJ.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\SPONSORADULTO.DLL (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: &eBay Search - res://C:\PROGRAM FILES\EBAY\EBAY TOOLBAR2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {6F6E3A5E-4A75-45F0-BDDE-21B6C4496E2B} (LAInstaller Class) - http://www.cantoche.com/Player/V12/LAinstall.cab

0
je reactive un peu ce message pour voir si quelqu'un peut interpreter mon log et me donner un coup de main
0