Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Bizare : Virus ou intrusion

Bonjours , j'ai trouvé ce site en faisant la recherche d'une IP sur google.

Je tiens a m'excusé d'avance si je me trompe d'endroit pour exposer mon "probleme".

Depuis 2 jours je recois des emails "Undelivered mail" , que j'ai en fait
jamais envoyé (y'en a un paquet quand meme).

j'ai donc compris que j'avais un probleme (virus ou autre) seulement c'est
encore plus etrange...

Je commence par scaner mon PC avec mon antivirus (panda) rien donc
j'essaie avec d'autres solutions en ligne (Kaspersky,Norton, Mcafee) et toujours rien.

Je me mets donc a la recherche de connection sur mon PC (netstat -nb) et
la je tombe sur une IP (80.15.236.*)
Mais ce qui est surprenant c'est que c'est l'application "APVXDWIN.exe" (app de mon antivirus panda)qui se connect a cette ip.
Pour en etre sur je verifie avec le log TCPview et la je m'apercois que certaines de mes application qui utilisent internet (Firefox , Babylon translator) quand elles sont lancés se connect aussi a cette IP sur le port 80

En attendant j'ai bloqué la "tranche" d'ip mais j'aimerais bien comprendre
comment c'est possible que des programmes soient utilisés comme ca.

PS :: dsl pour le romain 🙂 si ce post a pas sa place sur le forum effacez
le.
C'est fun ça.
Et maintenant, tu arrives à faire les mises à jour d'antivirus ? 😉

Parceque çà ressemble fort à ta machine qui se connecte au site de panda pour se mettre à jour...
J'aurais bien aimé que ce soit ca mais en fait non 🙂

Cette adresse IP utilise ce processus panda je sais pas comment d'alleurs
mais pas seulement celui la si je desinstall panda c'est mon application
Babylon translator qui se connect a cette ip sur le port 80 toujours.

Quand j'ouvre Firefox pareil.

d'ailleurs http://80.15.236.167.com ca ressemble pas trop a panda.

Enfin ej comprends vraiment pas :/
http://80.15.236.167.com <- ca veut rien dire

Le serveur d'update n'a pas forcément de serveur internet (IIS/Apache ou autre) => Si tu accèdes via http://80.15.236.167

Dans tous les cas, c'est une ip FT, donc je te conseille de la bloquer dans un premier temps.

Deuxième astuce, si tu as télécharger panda je ne sais pas ou, je te conseille de desinstaller et de reinstaller plutot un kaspersky (ORIGINAL du site de l'éditeur).

Dernier conseil, cherche un rootkit detector, style [url=http://www.gmer.net/gmer.zip]gmer[/url] (ces derniers ne sont pas detectés par les AV actuels...)
j'ai eu une infection de ce genre avec une ip commencant par 80...
je penses que t'es infecté par un rootkit detecté rarement, utilise un antirootkit comme iceword,
bonne continuation