"downloads.aaa1screensavers.com" ?????

reloudchérelou -  
 isthgo -
tout est dans le titre. Cette connection s'établie sur ma bécane et aucun outil ne me permet d'y mettre fin (testé: ad-aware, a squared, scanspyware, microsoft antispyware (!), panda online scan, KAV en interne, ProPort, trend, symantec...).
Je précise que j'utilise kerio comme pare-feu et qu'il n'affiche même pas ces connexions comme ouvertes alors que netstat les affiche.
autre étrangeté l'adresse ip (distante et locale !) est 127.0.0.1 !
je me mord la queue là !

Si qqn peut m'aider, parce que là je ne sais plus.
d'autre part il semble que ce soit relativement nouveau car je ne trouve rien sur le net de concret et efficace face à ce pb et très peu de forums en parlent (via google et altavista)

16 réponses

  1. reloudchérelou
     
    Logfile of HijackThis v1.99.1
    Scan saved at 21:56:57, on 09/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
    C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\SLEE503.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\...\Mes documents\Downloads\Compressed\ProPort.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\...\Mes documents\Downloads\Programs\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - (no file)
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
    0
  2. Utilisateur anonyme
     
    re,
    fix ceci:
    O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - (no file)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

    par contre pour ce qui est de ceci:
    C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe <tu connais?
    0
  3. reloudchérelou
     
    merci régis pour ton aide.
    tu pointes tous les trucs qui me paraissaient louchent à moi aussi...
    Pour ce qui est des lignes sur Nvidia je ne sais pas non mais j'ai un firewall integré sur ma carte mère qui embarque un chipset nvidia (nforce 3) c'est peut-être ça ?
    je n'ai jamais pris le temps de me pencher sur la doc pour le parametrer mais j'ai installé les drivers puis laissé tomber...je bosse moi hihihi (lol !)
    je crois que je vais en venir à la solution radicale...
    j'ai oublié de préciser que j'ai mon écran qui saute comme quand on en change la résolution et je ne sais même pas si c'est lié car j'ai changé de carte graphique il y a peu mais visiblement ça ne chauffe pas (ma carte)... sinon à part un ralentissement de ma bécane dû au tintouin qui tourne et me bouffe de la BP rien de spécial mais je n'aime pas qd je ne contrôle pas...
    format c:...

    en tout cas ce truc a fait le tour de mon firewall et bluffé tous les antivirus et anti troyens/spyware... et je n'arrive pas à lui faire taire sa bouche...
    AAARRRGGGGHHHHHHH !
    je vous tiens au courant... des fois qu'il résiste au formatage là je ris jaune...
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    effectivement nvidia a ne pas touché !
    mais en tout cas c est bizarre est screensavers je suis pas anglissiste mais se refere au ecran non? enfin la je bug lol mais tiens moi au courant
    0
  6. reloudchérelou
     
    J'ai trouvé !

    je suis victime d'une "LAND ATTACK"

    à noter que kerio s'est fait bouffer completement par cette attaque !
    je viens d'installer Look'n'Stop comme firewall et tout s'éclaire !

    lui a bloqué immédiatement cette saloperie et encore mieux, il m'a permis de mettre un nom sur cette saloperie !
    voici pour ceux qui veulent comprendre:

    "Un faille des systèmes Windows vieille de huit ans, colmatée dans toutes les versions de l'époque, a fait sa réapparition tout récemment sur Windows 2003 et Windows XP service pack 2. Des mauvaises langues iraient même jusqu' à dire que la vulnérabilité en question aurait fait sa réapparition à la suite de l'initiative "Trustworthy Computing" de la société ."
    source : abc de la sécurité: http://abcdelasecurite.free.fr/html/modules.php?name=News&file=article&sid=741

    ou ici:
    Land attack :
    C'est une attaque axée réseaux, faisant partie de la grande famille des Refus De Service (DOS : Denial Of Service). Les systèmes visés sont Win32.
    Ce procédé est décomposé en trois étapes:
    La première est de récupérer l'adresse IP de la cible par spoofing.
    La seconde est de scanner tous les ports ouverts de l'ordinateur victime.
    La dernière est d'envoyer un packet à chaque port ouvert. Mais ces packets ont deux caractéristiques : Ils ont le flag SYN positionné, et les adresses source et destination du packet est la même : Celle de l'ordinateur cible.

    http://www.securiteinfo.com/attaques/hacking/land.shtml

    Voilà. C'est grave ce truc et je pense être une des premières victimes.
    Demain je formate, je vire SP2. On m'avait bien dit de ne pas l'installer mais j'ai voulu l'essayer...
    quelle masturbation qd même!
    quand je pense aux nombre de gugusses bardés de diplomes et prétentieux qui doivent bosser cher Bill pour pondre de telles m**des !
    oui je sais la critique est facile et l'art est difficile mais qd même !
    0
  7. Utilisateur anonyme
     
    ok merci pour la precision mais c est vrai j ai ete stupide sur ce coup la vu ton 1er poste....
    0
  8. reloudchérelou
     
    salut régis

    ah parce que tu connaissais ça ?

    en tout cas ce firewall m'a l'air bien foutu.
    ma bécane a retrouver sa vélocité c'est un bonheur !
    mais va falloir formatter qd même, je tiens à virer sp2
    on m'a parlé de LSD c'est bien ça ?
    0
  9. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Salut les amis Regis et reloudchérelou,

    est ce que tu as reussi à le virer??

    Si oui comment? 9à peut toujours servir

    Jean
    0
  10. Utilisateur anonyme
     
    salut mon ami Jean,
    en fait le pare feu bloque l acces maintenant si j ai bien compris
    0
  11. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    J'ai compris pareil mais quid de celui qui l'a gobbé??
    0
  12. reloudchérelou
     
    oui c'est ça mais comme c'est une faille de sécurité de l'os bah je vois pas ce que je peux virer. C'est une attaque réseau donc je dois fermer la porte et look'n'stop a l'air de bien le faire.
    je vais essayer lsd 3 je pense. Des retours d'expérience là dessus ?
    voici une petite capture d'écran de l'onglet "filtrage internet" du pare feu:
    http://img171.echo.cx/my.php?image=look1zr.gif
    c'est sur la première ligne, je pouvais pas le rater !
    0
  13. Azathoth
     
    j'ai eter infecter par ce truc moi aussis et je crois que ca date de quelque jours déja j'utilisait kerio personal firewall aussis et je suis tomber sur ce forum en tentant de regler ce trouble

    merci des conseils

    Je suis un lezard et vous?
    0
  14. isthgo Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    bonjour à tous j'ai moi aussi un probleme avec land attack bien que j'ai windows 98 j'avais deja look n stop (il filtre quelque chose toutes les 8 secondes mais ça n'empeche pas des plantages de temps en temps vu que je suis une pauvre novice quelqu'un peut-il m'aider à me sortir de à ; il y a quelque chose à faire à part reformater ou pas
    merci d'avance
    je vous joins le log
    Logfile of HijackThis v1.99.1
    Scan saved at 20:29:48, on 04/07/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\LEXBCES.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\LEXPPS.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRAM FILES\SOFT4EVER\LOOKNSTOP\LOOKNSTOP.EXE
    C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
    C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
    C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\FR\MSNAPPAU.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\PROGRAM FILES\WINRAR\WINRAR.EXE
    C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.giswmpyeay.com/MHHju3OVboJSSihuD45xK6weScceulBWp3kSeaFrD04gYvdLFa0QqIKvloG6U6xJ.jpg
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
    O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\SPONSORADULTO.DLL (file missing)
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\FR\MSNTB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
    O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O8 - Extra context menu item: &eBay Search - res://C:\PROGRAM FILES\EBAY\EBAY TOOLBAR2\eBayTb.dll/RCSearch.html
    O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
    O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
    O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O16 - DPF: {6F6E3A5E-4A75-45F0-BDDE-21B6C4496E2B} (LAInstaller Class) - http://www.cantoche.com/Player/V12/LAinstall.cab

    0
  15. isthgo
     
    je reactive un peu ce message pour voir si quelqu'un peut interpreter mon log et me donner un coup de main
    0