Traffic sortant vers 82.101.8.42 (port 138) sous win98
Traffic sortant vers 82.101.8.42 (port 138) sous win98 - Sécurité - Windows & Software
Marsh Posté le 12-06-2005 à 17:46:13
J'ai installé en plus la suite panda en doublon avec zone alarm.
Pas de virus de la part de panda, mais le plus étrange c'est que le programme apvxdwin.exe de la suite panda essaye aussi de se connecter sur la meme adresse en process HTTP.
SGDA
Message édité par joel_ejc le 13-06-2005 à 17:18:08
Marsh Posté le 13-06-2005 à 22:07:58
complément - up
j'ai installé ad-aware lors de la mise à jour il a fait une tentative de connection http sur cet IP 82.101.8.42 (bloquée).
On dirait que le truc est opportuniste et dès qu'une connection se crée, il tente sa chance avant.
SGDA
Marsh Posté le 15-06-2005 à 09:46:08
J'ai tenté une capture sous ethereal mais comme les paquets sont bloqués par zonealarm j'ai rien eu.
Hier soir une tentative toutes les 5 min sur le port 138 protocole netbios
SGDA
Message édité par joel_ejc le 15-06-2005 à 10:00:52
Marsh Posté le 15-06-2005 à 22:26:37
Ca progresse, j'ai trouvé un clé de registre liée à MSN
Autoproxy avec la valeur
http://82.101.8.42/wpad.dat
Vous pouvez participer aussi :-)
Voic le détail de la clé
[HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\AutoProxyCache]
[HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\AutoProxyCache\LAN]
"AutodiscoveryFlags"=dword:20000004
"DetectedInterfaceIpCount"=dword:00000001
"LastDetectHighDateTime"=dword:01c56749
"LastDetectLowDateTime"=dword:a446bce0
"LastDetectTime"="06/02/2005, 08:04:03 UTC"
"DetectedInterfaceIps"="0x501a8c0;"
"LastDetectUrl"="http://82.101.8.42/wpad.dat"
Je l'ai supprimé mais il fait toujours des appels Netbios (backup list) vers l'adresse.
Je n'ai jamais sollicité ce proxy
SGDA
Message édité par joel_ejc le 16-06-2005 à 09:56:04
Marsh Posté le 17-06-2005 à 09:09:18
Je continue mon feuilleton solitaire
hier soir c'était causerie sur le port TCP 139 mais j'ai pas eu le temps de faire la capture des paquets.
Si quelqu'un qui a installé et utiliser la dernière version de MSN peut vérifier si il a les clés listées ci-dessus dans sa base de registre c'est me ferait plaisir.
Les encore plus curieux ou collaboratifs peuvent me rapporter ce qu'il obtiennent à l'URL
http://82.101.8.42
Merci d'avance
SGDA
Message édité par joel_ejc le 18-06-2005 à 12:12:20
Marsh Posté le 18-06-2005 à 08:12:45
Bjr
Je ne sais pas si ça peut te servir, mais avec NeoTrace, sur le 88.101.8.42, j'obtiens ceci:
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 88.0.0.0 - 88.255.255.255
CIDR: 88.0.0.0/8
NetName: 88-RIPE
NetHandle: NET-88-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS.LACNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2004-04-01
Updated: 2004-04-06
Marsh Posté le 18-06-2005 à 13:51:44
Merci pour cette première contribution mais dans mon dernier il y avait une faute de frappe c'est
http://82.101.8.42/
très étrange cet IP
chez CI
nslookup www.globene.net => 82.101.8.42
nslookup 82.101.8.42 => rien
avec serveurs universitaires
nslookup 82.101.8.42 => Host42-CMS-Hostingb3g-telecom.com
telnet 82.101.8.42 80 =>
qsdqsd
<html>
<head>
<meta http-equiv="Content-Language" content="fr">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Votre requete ne peut aboutir</title>
</head>
<body>
<p>
<!-- [imageurl] -->
<!-- http://82.101.8.49 -->
<p>
<h2><font face="Arial,Helvetica,Geneva,Swiss,SunSans-Regular"><b>Aide à la navigation</b></font></h2>
<p>Le site Internet que vous recherchez est actuellement indisponible. Le site Web rencontre peut-être des difficultés techniques. Cliquez sur le bouton "Actualiser" ou recommencez ultérieurement.</p>
<p>Si vous avez entré l'adresse de cette page dans la barre d'adresses, vérifiez qu'elle est correcte.</p>
<p>Impossible de trouver le serveur ou erreur DNS.</p>
</body>
</html>
SGDA
Marsh Posté le 28-05-2006 à 17:30:53
Pour aller sur ton adressetu rentre:
login : root
pass : clubadmin
en faite tu arrives sur ton routeur club internet ...
Si tu as reussi a vire ton probleme demande moi.
Sujets relatifs:
- Fermer le port 135 = pb?
- Pb de migration NT vers 2003 server
- ouverture de port sur serveur 2003 ( pour MySQL)
- MAJ vers SP2 impossible
- w98fe vers w98se
- acces aux partages win98 depuis win xp
- Fonction "envoyer vers" > destinataire indisponible sous word 2000?
- Réseau possible autre port qu'Ethernet ?
- impossible d'ouvrir mon port 80 (et d'autres...)
- [Win98] Compte utilisateurs et programmmes
Marsh Posté le 11-06-2005 à 20:47:57
J'ai un PC sous Win98 protégé par ZoneAlarm (free version). Il me signale depuis hier soir qu'il bloque du traffic sortant vers l'IP 82.101.8.42 depuis mes ports UDP 138, TCP 1192 et 1559 vers les ports 138 et 139 de cette IP ( Host42-CMS-Hostingb3g-telecom.com).(période environ 10 mn)
Depuis ce matin, jai passé spy&Bot, antivirus, sypware, hijackthis. Rien trouvé.
Qui a une idée ?
merci d'avance
SGDA
Message édité par joel_ejc le 13-06-2005 à 10:48:39