Détecter un programme espion avec wireshark
Fermé
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
-
27 janv. 2015 à 23:51
cencen49 Messages postés 123 Date d'inscription jeudi 7 août 2008 Statut Membre Dernière intervention 18 décembre 2015 - 29 janv. 2015 à 21:37
cencen49 Messages postés 123 Date d'inscription jeudi 7 août 2008 Statut Membre Dernière intervention 18 décembre 2015 - 29 janv. 2015 à 21:37
A voir également:
- Détecter un programme espion avec wireshark
- Wireshark - Télécharger - Divers Réseau & Wi-Fi
- Programme demarrage windows 10 - Guide
- Fichier ouvert dans un autre programme - Guide
- Desinstaller un programme - Guide
- Programme démarrage windows 10 - Guide
4 réponses
Tomy2e
Messages postés
816
Date d'inscription
jeudi 21 février 2013
Statut
Membre
Dernière intervention
18 août 2016
858
28 janv. 2015 à 00:28
28 janv. 2015 à 00:28
Bonjour, Wireshark n'est pas trop le programme adapté pour détecter les programmes espions, je vous recommande plutôt Malwarebytes: https://fr.malwarebytes.com/
Salut,
Tu regardes s'il y a des connexions sortantes, donc vers des IP internet, quand les navigateurs sont éteints.
Evidemment, si tu as des logiciels de la marque de ton PC d'activés au démarrage, il ne faut pas en tenir compte, également sous Windows 8 explorer.exe communique beaucoup avec Microsoft (port 80 et 443), c'est donc normal.
Donc si tu vois de façon systématique du TCP vers une IP étrangère, avec un port pas très utilisé, du genre 3567, alors que tu n'es pas sur internet, inquiète toi.
Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
Tu regardes s'il y a des connexions sortantes, donc vers des IP internet, quand les navigateurs sont éteints.
Evidemment, si tu as des logiciels de la marque de ton PC d'activés au démarrage, il ne faut pas en tenir compte, également sous Windows 8 explorer.exe communique beaucoup avec Microsoft (port 80 et 443), c'est donc normal.
Donc si tu vois de façon systématique du TCP vers une IP étrangère, avec un port pas très utilisé, du genre 3567, alors que tu n'es pas sur internet, inquiète toi.
Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
brupala
Messages postés
109458
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 624
28 janv. 2015 à 08:23
28 janv. 2015 à 08:23
Salut,Attention! en wifi il ne faut pas rester trop longtemps sur wireshark, sauf dans une ferme isolée...
d'où sors tu ça ?
Je serais intéressé par une explication complète.... ;-)
Jusqu'à preuve du contraire tu ne peux capturer que le réseau où tu es connecté et encore que les trames destinées à ta machine ou qui en sont issues, car la plupart des cartes wifi ne passent pas en mode promiscuous.
d'où sors tu ça ?
Je serais intéressé par une explication complète.... ;-)
Jusqu'à preuve du contraire tu ne peux capturer que le réseau où tu es connecté et encore que les trames destinées à ta machine ou qui en sont issues, car la plupart des cartes wifi ne passent pas en mode promiscuous.
Raoul
>
brupala
Messages postés
109458
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
28 janv. 2015 à 09:40
28 janv. 2015 à 09:40
Je m'en doutais... et sans payer évidemment, fréquente un peu plus certains sites, la chose est notoire depuis déjà un certain temps.
Tu sais, il y a de la place pour plusieurs ici...
Tu sais, il y a de la place pour plusieurs ici...
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
10
>
Raoul
28 janv. 2015 à 10:01
28 janv. 2015 à 10:01
et vous,vous en pensez quoi de malwarebytes pour un mail infecté en cliquant sur une photo?
Raoul
>
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
28 janv. 2015 à 11:47
28 janv. 2015 à 11:47
Moi je pense qu'il te faut un bon antivirus et pas de malwarebytes,
http://www.av-test.org/fr/
Il faut prévenir et pas guérir.
http://www.av-test.org/fr/
Il faut prévenir et pas guérir.
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
10
>
Raoul
28 janv. 2015 à 12:35
28 janv. 2015 à 12:35
En attendant je vien de m'achetter une licence malwarebytes a 2,8 euro.Ca va peu etre m'aider a trouver le trèfle a quatre feuilles.
phil2k
Messages postés
10854
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
24 janvier 2023
2 323
28 janv. 2015 à 11:50
28 janv. 2015 à 11:50
Bonjour
Comment savez-vous que vous etes infecté ?
Comment savez-vous que vous etes infecté ?
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
10
28 janv. 2015 à 21:24
28 janv. 2015 à 21:24
AVG a marqué le pas.
Je crois que j'ai trouvé mon rat:
626700 desti.173.194.45.68 prot.TCP Length 54 Info 51035-443 [fin,ack] seq=471 ACK=4300 WIN=17160 len=0
Je crois que j'ai trouvé mon rat:
626700 desti.173.194.45.68 prot.TCP Length 54 Info 51035-443 [fin,ack] seq=471 ACK=4300 WIN=17160 len=0
Tomy2e
Messages postés
816
Date d'inscription
jeudi 21 février 2013
Statut
Membre
Dernière intervention
18 août 2016
858
Modifié par Tomy2e le 28/01/2015 à 23:00
Modifié par Tomy2e le 28/01/2015 à 23:00
Euh non, il s'agit d'une adresse ip qui pointe vers les serveurs de Google..
https://www.infobyip.com/index.php?ip=173.194.45.68
https://www.infobyip.com/index.php?ip=173.194.45.68
brupala
Messages postés
109458
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 avril 2024
13 624
>
Tomy2e
Messages postés
816
Date d'inscription
jeudi 21 février 2013
Statut
Membre
Dernière intervention
18 août 2016
Modifié par brupala le 29/01/2015 à 00:48
Modifié par brupala le 29/01/2015 à 00:48
oui,
tout à fait, le whois:
whois 173.194.45.68
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=173.194.45.68?showDetails=true&showARIN=false&ext=netref2
#
NetRange: 173.194.0.0 - 173.194.255.255
CIDR: 173.194.0.0/16
NetName: GOOGLE
NetHandle: NET-173-194-0-0-1
Parent: NET173 (NET-173-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS15169
Organization: Google Inc. (GOGL)
RegDate: 2009-08-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-173-194-0-0-1
OrgName: Google Inc.
OrgId: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
RegDate: 2000-03-30
Updated: 2013-08-07
Ref: http://whois.arin.net/rest/org/GOGL
OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc
OrgTechPhone: +1-650-253-0000
OrgTechEmail: arin-contact@google.com
OrgTechRef: http://whois.arin.net/rest/poc/ZG39-ARIN
OrgAbuseHandle: ZG39-ARIN
OrgAbuseName: Google Inc
OrgAbusePhone: +1-650-253-0000
OrgAbuseEmail: arin-contact@google.com
OrgAbuseRef: http://whois.arin.net/rest/poc/ZG39-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
Après,
tout le monde sait que Google est un espion, ce n'est pas une découverte :-(
tout à fait, le whois:
whois 173.194.45.68
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=173.194.45.68?showDetails=true&showARIN=false&ext=netref2
#
NetRange: 173.194.0.0 - 173.194.255.255
CIDR: 173.194.0.0/16
NetName: GOOGLE
NetHandle: NET-173-194-0-0-1
Parent: NET173 (NET-173-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS15169
Organization: Google Inc. (GOGL)
RegDate: 2009-08-17
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-173-194-0-0-1
OrgName: Google Inc.
OrgId: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
RegDate: 2000-03-30
Updated: 2013-08-07
Ref: http://whois.arin.net/rest/org/GOGL
OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc
OrgTechPhone: +1-650-253-0000
OrgTechEmail: arin-contact@google.com
OrgTechRef: http://whois.arin.net/rest/poc/ZG39-ARIN
OrgAbuseHandle: ZG39-ARIN
OrgAbuseName: Google Inc
OrgAbusePhone: +1-650-253-0000
OrgAbuseEmail: arin-contact@google.com
OrgAbuseRef: http://whois.arin.net/rest/poc/ZG39-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://account.arin.net/public/whoisinaccuracy/index.xhtml
#
Après,
tout le monde sait que Google est un espion, ce n'est pas une découverte :-(
Paulo
>
Tomy2e
Messages postés
816
Date d'inscription
jeudi 21 février 2013
Statut
Membre
Dernière intervention
18 août 2016
29 janv. 2015 à 11:12
29 janv. 2015 à 11:12
Le problème est : pourquoi son PC envoie du FIN ACK à Google ? Le contraire je veux bien mais là ce n'est pas vraiment normal.
phil2k
Messages postés
10854
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
24 janvier 2023
2 323
29 janv. 2015 à 11:20
29 janv. 2015 à 11:20
il faudrait avoir une partie plus importante du dialogue pour en tirer des conclusions .......
phil2k
Messages postés
10854
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
24 janvier 2023
2 323
29 janv. 2015 à 10:07
29 janv. 2015 à 10:07
Je cite :
AVG a marqué le pas.
Ca veut dire que AVG a détecté quelque chose ?
Quoi ?
Il n'a pas pu le corriger ?
Et avez vous essayé Malwarebytes, adwcleaner, ZHPdiag ?
AVG a marqué le pas.
Ca veut dire que AVG a détecté quelque chose ?
Quoi ?
Il n'a pas pu le corriger ?
Et avez vous essayé Malwarebytes, adwcleaner, ZHPdiag ?
cencen49
Messages postés
123
Date d'inscription
jeudi 7 août 2008
Statut
Membre
Dernière intervention
18 décembre 2015
10
29 janv. 2015 à 11:41
29 janv. 2015 à 11:41
oui,avg a marqué le pas sur une photo,la renvoyé pour analyse,et a continuer comme si de rien n' etait.
Si le grand pubique avais acces a des programmes defencif de dernier cri,et tres éfficace,ce
serais une revolution.
malwarebyte analyse mon systeme en ce moment.
Si le grand pubique avais acces a des programmes defencif de dernier cri,et tres éfficace,ce
serais une revolution.
malwarebyte analyse mon systeme en ce moment.
29 janv. 2015 à 21:37
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 29/01/2015
Heure de l'examen: 20:41:09
Fichier journal: raport malwarebyte.txt
Administrateur: Oui
Version: 2.00.4.1028
Base de données Malveillants: v2015.01.29.09
Base de données Rootkits: v2015.01.14.01
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Auto-protection: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: john
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 376456
Temps écoulé: 27 min, 8 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(Aucun élément malicieux detecté)
Modules: 0
(Aucun élément malicieux detecté)
Clés du Registre: 0
(Aucun élément malicieux detecté)
Valeurs du Registre: 0
(Aucun élément malicieux detecté)
Données du Registre: 0
(Aucun élément malicieux detecté)
Dossiers: 13
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d, , [0726aa532d5c37ff3ec080fbe91a46ba],
Fichiers: 26
PUP.Optional.Softpulse, C:\Users\Visitor\Downloads\Non confirmé 326347.crdownload, , [939a51acafdab680c2c069923ec3d12f],
PUP.Optional.DomaIQ, C:\Users\Visitor\Downloads\Non confirmé 498630.crdownload, , [8f9eb8459fea9d998789d32bdf22f20e],
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData\Config.bin, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.PicColor.A, C:\ProgramData\PicColorData\Config.bin.bus, , [2b021ae3f693d95d5b00ff8129da2cd4],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\upmbot_fr_332.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\user_profil.cyp, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\cnf.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\john\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\eorezo.cyl, , [8f9eca33d5b445f14efcfe676c97a060],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\cnf.cyl, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Users\Visitor\AppData\Local\mbot_fr_332\mbot_fr_332\1.20\eorezo.cyl, , [66c79766a1e8eb4b32185015a85b47b9],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert10.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert13.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert14.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert4.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert5.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert6.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\qwert9.txt, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\unins000.dat, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.MBot.A, C:\Program Files (x86)\mbot_fr_332\unins000.msg, , [ed407786ccbd81b5f655cc99e61d1ae6],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles\downloader.exe, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.SimpleFiles, C:\Program Files (x86)\SimpleFiles\Uninstall.exe, , [71bcca335336989e3c90f86e659e09f7],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d.log, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL\Salus CA.cer, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.Salus.A, C:\Program Files (x86)\f552dd4c52e3\b786bdb3c67d\SSL\Salus CA.pvk, , [d558f30af4957fb7e98299e1679c04fc],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d\bde9a3642b8c.json, , [0726aa532d5c37ff3ec080fbe91a46ba],
PUP.Optional.UniversalUpdater.A, C:\Program Files (x86)\0ca45c95134d\cf3e08d747e4.log, , [0726aa532d5c37ff3ec080fbe91a46ba],
Secteurs physiques: 0
(Aucun élément malicieux detecté)
(end)