Détecter un programme espion avec wireshark
cencen49
Messages postés
122
Date d'inscription
Statut
Membre
Dernière intervention
-
cencen49 Messages postés 122 Date d'inscription Statut Membre Dernière intervention -
cencen49 Messages postés 122 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai du cliquer sur un mail qui fallais pas,comme me l'a dit le mec dechez free.Mais je tente de retrouver sa trace avec wireshark et je ne sais meme pas quel type chercher.
Merci de vos connseils,je me coucherais moin bete ce soir.
J'ai du cliquer sur un mail qui fallais pas,comme me l'a dit le mec dechez free.Mais je tente de retrouver sa trace avec wireshark et je ne sais meme pas quel type chercher.
Merci de vos connseils,je me coucherais moin bete ce soir.
A voir également:
- Détecter un programme espion avec wireshark
- Comment détecter un traceur sur téléphone - Accueil - Confidentialité
- Wireshark download - Télécharger - Divers Réseau & Wi-Fi
- Programme demarrage windows - Guide
- Camera espion salle de bain - Accueil - Confidentialité
- Mettre en veille un programme - Guide
4 réponses
Bonjour, Wireshark n'est pas trop le programme adapté pour détecter les programmes espions, je vous recommande plutôt Malwarebytes: https://fr.malwarebytes.com/
Salut,
Tu regardes s'il y a des connexions sortantes, donc vers des IP internet, quand les navigateurs sont éteints.
Evidemment, si tu as des logiciels de la marque de ton PC d'activés au démarrage, il ne faut pas en tenir compte, également sous Windows 8 explorer.exe communique beaucoup avec Microsoft (port 80 et 443), c'est donc normal.
Donc si tu vois de façon systématique du TCP vers une IP étrangère, avec un port pas très utilisé, du genre 3567, alors que tu n'es pas sur internet, inquiète toi.
Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
Tu regardes s'il y a des connexions sortantes, donc vers des IP internet, quand les navigateurs sont éteints.
Evidemment, si tu as des logiciels de la marque de ton PC d'activés au démarrage, il ne faut pas en tenir compte, également sous Windows 8 explorer.exe communique beaucoup avec Microsoft (port 80 et 443), c'est donc normal.
Donc si tu vois de façon systématique du TCP vers une IP étrangère, avec un port pas très utilisé, du genre 3567, alors que tu n'es pas sur internet, inquiète toi.
Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
Salut,Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
d'où sors tu ça ?
Je serais intéressé par une explication complète.... ;-)
Jusqu'à preuve du contraire tu ne peux capturer que le réseau où tu es connecté et encore que les trames destinées à ta machine ou qui en sont issues, car la plupart des cartes wifi ne passent pas en mode promiscuous.
d'où sors tu ça ?
Je serais intéressé par une explication complète.... ;-)
Jusqu'à preuve du contraire tu ne peux capturer que le réseau où tu es connecté et encore que les trames destinées à ta machine ou qui en sont issues, car la plupart des cartes wifi ne passent pas en mode promiscuous.
Bonjour
Comment savez-vous que vous etes infecté ?
Comment savez-vous que vous etes infecté ?
Euh non, il s'agit d'une adresse ip qui pointe vers les serveurs de Google..
https://www.infobyip.com/index.php?ip=173.194.45.68
https://www.infobyip.com/index.php?ip=173.194.45.68
oui,
tout à fait, le whois:
whois 173.194.45.68
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=173.194.45.68?showDetails=true&showARIN=false&ext=netref2
#
NetRange: 173.194.0.0 - 173.194.255.255
CIDR: 173.194.0.0/16
NetName: GOOGLE
NetHandle: NET-173-194-0-0-1
Parent: NET173 (NET-173-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS15169
Organization: Google Inc. (GOGL)
RegDate: 2009-08-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-173-194-0-0-1
OrgName: Google Inc.
OrgId: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
RegDate: 2000-03-30
Updated: 2013-08-07
Ref: http://whois.arin.net/rest/org/GOGL
OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc
OrgTechPhone: +1-650-253-0000
OrgTechEmail: arin-contact@google.com
OrgTechRef: http://whois.arin.net/rest/poc/ZG39-ARIN
OrgAbuseHandle: ZG39-ARIN
OrgAbuseName: Google Inc
OrgAbusePhone: +1-650-253-0000
OrgAbuseEmail: arin-contact@google.com
OrgAbuseRef: http://whois.arin.net/rest/poc/ZG39-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
Après,
tout le monde sait que Google est un espion, ce n'est pas une découverte :-(
tout à fait, le whois:
whois 173.194.45.68
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=173.194.45.68?showDetails=true&showARIN=false&ext=netref2
#
NetRange: 173.194.0.0 - 173.194.255.255
CIDR: 173.194.0.0/16
NetName: GOOGLE
NetHandle: NET-173-194-0-0-1
Parent: NET173 (NET-173-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS15169
Organization: Google Inc. (GOGL)
RegDate: 2009-08-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-173-194-0-0-1
OrgName: Google Inc.
OrgId: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
RegDate: 2000-03-30
Updated: 2013-08-07
Ref: http://whois.arin.net/rest/org/GOGL
OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc
OrgTechPhone: +1-650-253-0000
OrgTechEmail: arin-contact@google.com
OrgTechRef: http://whois.arin.net/rest/poc/ZG39-ARIN
OrgAbuseHandle: ZG39-ARIN
OrgAbuseName: Google Inc
OrgAbusePhone: +1-650-253-0000
OrgAbuseEmail: arin-contact@google.com
OrgAbuseRef: http://whois.arin.net/rest/poc/ZG39-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
Après,
tout le monde sait que Google est un espion, ce n'est pas une découverte :-(
Je cite :
AVG a marqué le pas.
Ca veut dire que AVG a détecté quelque chose ?
Quoi ?
Il n'a pas pu le corriger ?
Et avez vous essayé Malwarebytes, adwcleaner, ZHPdiag ?
AVG a marqué le pas.
Ca veut dire que AVG a détecté quelque chose ?
Quoi ?
Il n'a pas pu le corriger ?
Et avez vous essayé Malwarebytes, adwcleaner, ZHPdiag ?
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 29/01/2015
Heure de l'examen: 20:41:09
Fichier journal: raport malwarebyte.txt
Administrateur: Oui
Version: 2.00.4.1028
Base de données Malveillants: v2015.01.29.09
Base de données Rootkits: v2015.01.14.01
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Auto-protection: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: john
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 376456
Temps écoulé: 27 min, 8 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(Aucun élément malicieux detecté)
Modules: 0
(Aucun élément malicieux detecté)
Clés du Registre: 0
(Aucun élément malicieux detecté)
Valeurs du Registre: 0
(Aucun élément malicieux detecté)
Données du Registre: 0
(Aucun élément malicieux detecté)
Dossiers: 13
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d, , [0726aa532d5c37ff3ec080fbe91a46ba],
Fichiers: 26
PUP.Optional.Softpulse, C:\Users\Visitor\Downloads\Non confirmé 326347.crdownload, , [939a51acafdab680c2c069923ec3d12f],
PUP.Optional.DomaIQ, C:\Users\Visitor\Downloads\Non confirmé 498630.crdownload, , [8f9eb8459fea9d998789d32bdf22f20e],
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData\Config.bin, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData\Config.bin.bus, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\upmbot_fr_332.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\user_profil.cyp, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\cnf.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\eorezo.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\cnf.cyl, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\eorezo.cyl, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert10.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert13.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert14.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert4.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert5.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert6.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert9.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\unins000.dat, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\unins000.msg, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles\downloader.exe, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles\Uninstall.exe, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d.log, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL\Salus CA.cer, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL\Salus CA.pvk, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d\bde9a3642b8c.json, , [0726aa532d5c37ff3ec080fbe91a46ba],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d\cf3e08d747e4.log, , [0726aa532d5c37ff3ec080fbe91a46ba],
Secteurs physiques: 0
(Aucun élément malicieux detecté)
(end)