Alerte Malwarebyte Cheval de troie [Résolu]

Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
- - Dernière réponse : Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
- 3 mai 2019 à 11:13
Bonjour,

J'aurais besoin d'aide , j'ai malwarebyte (en ce moment version d'essai avec la protection en temps réel) qui m'ouvre des notification a priori de façon aléatoire qui disent:
Motif blocage de site web : cheval de troie m'indique une adresse IP 188.165.200.156 ... type : en sortie ... a chaque fois le message d'erreur est le même mis a part le port qui est différent a chaque fois.


Merci d'avance a celui qui aurait le temps de me donner un coup de main


Configuration: Windows / Firefox 65.0
Afficher la suite 

7 réponses

Meilleure réponse
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643
1
Merci
Salut,

Sur cette IP, il y a des serveurs Counter Strike, GitLab et autre.
Donc je doute que ce soit vraiment malveillant.

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 63477 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
546
Commenter la réponse de Docteur Gonzo
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643
0
Merci
Pas l'air infecté.
Si tu as installé Avast! pour l'occasion, tu peux le désinstaller.
Tu peux aussi désinstaller CCleaner pas très utile.

Tu as mis un truc qui va sur cette IP, surement lié à un jeu ?
Commenter la réponse de Malekal_morte-
Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
546
0
Merci
Ok ,

Avast et CCleaner poubelle ok !
Edit : en relisant je suis pas sur d'avoir bien compris AVAST je l'utilise depuis longtemps pas uniquement pour l'occasion, du coup je le conserve ? ca doit bien avoir une utilité même minime nan ^^

Malwarebyte je garde, par contre je profite de tes conseils : avoir la version payante avec la protection en temps réel c'est intéressant ? (même si pour le coup je sais bien qu'un "antivirus" va pas tous solutionner et que c'est le comportement sur le net/download....vis a vis de la sécurité qui prime).

Pour en revenir a la question de cette IP , a moins qu'un jeu ai modifié ça tout seul je pense pas que ce soit moi qui ai changé quoique ce soit !
Est ce qu'il existe un moyen qui me permettrait de savoir, quel est le logiciel/jeu de mon pc qui pointe vers cette IP ?
Au pire par acquis de conscience je vais me faire une petite réinstallation complète du système d'ici quelque temps ça fait jamais de mal ^^.

Autre petite question par curiosité, comment fais-tu pour savoir a quoi correspond une adresse IP ? j'avais regardé un peu avant juste via un moteur de recherche rien de très concluant j'étais tombé sur qqchose qui rapportais un site hébergé chez OVH apparement ...
Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643 -
Utilise ce site pour les IPs : http://en.utrace.de

Pour la version payante à toi de voir.
Si tu ne fais pas n'importe quoi, tu ne devrais pas en avoir besoin.
Après c'est plus pour te rassurer.

Faut aussi bien comprendre que plus tu mets de trucs sur le PC, plus t'as des chances d'avoir des problèmes.
Docteur Gonzo
Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
546 -
ok merci pour cette adresse ^^
Et merci encore pour ton temps et le partage de ton expertise !!
Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643 > Docteur Gonzo
Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
-
de rien :)
Commenter la réponse de Docteur Gonzo
Messages postés
5662
Date d'inscription
dimanche 27 septembre 2009
Statut
Membre
Dernière intervention
14 février 2019
546
0
Merci
Au finale ca venait de avast apparement j'ai eu un message d'alerte tjr de malwarebyte pour la même IP mais au lieu d'un port ca donne un fichier C:\Program Files\AVAST Software\Avast\Avastsvc.exe



Du coup c'est un peu bizarre nan ?
Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643 -
Cela m'étonnerait que ce soit Avast! qui émette la connexion.
Après tu as deux protections WEB, ça peut générer des interférences.
Commenter la réponse de Docteur Gonzo
0
Merci
Je viens d'avoir exactement le même symptôme.

Tout se passait comme si tout mon trafic réseau était redirigé vers cette IP (188.165.200.156), car lorsque le blocage Malwarebytes était actif, je n'avais plus de données (HTTP, SMTP etc) ! Un peu comme si je n'avais plus de réseau.

De plus, cette IP a un signalement d'attaque DDoS en septembre 2018. Pas très rassurant ! https://www.abuseipdb.com/check/188.165.200.156

Par ailleurs un scan Malwarebytes ne détectait rien côté virus/malware...

Après un moment de panique, j'ai décidé d'utiliser Wireshark pour voir ce qui passait comme données... c'était tout bêtement duDNS. J'avais mis mes IP de DNS "en dur" (connexion Free) il y a quelques mois/années et cette IP en faisait partie. Malheureusement, elle apparaît comme "trojan" pour Malwarebytes.

J'ai donc sélectionné l'option permettant de récupérer automatiquement les adresses des DNS plutôt que de les définir en dur, et Malwarebytes est devenu silencieux, plus rien n'est bloqué :-)
Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643 -
Tu peux donner l'alerte malwarebytes ?
Exemple d'alerte (export) :

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'événement de protection: 02/05/2019
Heure de l'événement de protection: 11:32
Fichier journal: 29fb3ee6-6cbd-11e9-838a-847beb5456f3.json

-Informations du logiciel-
Version: 3.7.1.2839
Version de composants: 1.0.586
Version de pack de mise à jour: 1.0.10428
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 17134.706)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: System

-Détails du site Web bloqué-
Site Web malveillant: 1
, , Bloqué, [-1], [-1],0.0.0

-Données du site Web-
Catégorie: Cheval de Troie
Domaine:
Adresse IP: 188.165.200.156
Port: [53355]
Type: En sortie
Fichier:



(end)
Commenter la réponse de MaximeP.
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643
0
Merci
Bha tu les as mis comme DNS (serveurs de noms) ....
Surement pour cacher ché pas quoi... ou pour accéder genre à Piratebay.
ou un malware a fait cela mais j'en doute car on trouve ces IP dans des listes de DNS...

Tcpip\..\Interfaces\{d67855ec-6367-45b0-877d-d35b2e7c40cc}: [DhcpNameServer] 188.165.200.156 5.135.183.146

Donc forcément si Malwarebytes coupe le flux vers cette IP, tu n'as plus de résolution DNS et donc internet;

~~

Remets les DNS par défaut en attribution automatique, voir cette page : https://www.malekal.com/comment-changer-les-dns/

Merci pour ta réponse ; si tu relis mon premier message, tu verras que c'est exactement ce que j'ai fait (passer en recherche de DNS automatique) :-)

De mémoire c'était une IP de serveur DNS que j'avais trouvée sur une page support Free ou un forum type Univers Freebox, lorsque j'ai eu des soucis de DNS.
Malekal_morte-
Messages postés
171058
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 octobre 2019
17643 > MaximeP. -
donc c'est bon :)
Commenter la réponse de Malekal_morte-