Bonjour à tous,
 
J'aurai besoin de votre aide car je pense avoir un pb sur mon PC    En effet, lorsque je lance ma machine et que je fais un netstat -a (alors que je n'ai pas IE ou d'autres programmes d'ouverts), j'ai pas mal de connexions d'actives et un flux de données !! J'ai fait un Ad-aware, un spybot, un Kaspersky...rien trouvé !!  
Quand je met mon firewall en protection haute et en mode invisible, les connexions disparaissent...dès que je décoche le mode invisible, les connexions actives reviennent   J'ai vraiment besoin de votre aide car là je ne sais plus quoi faire    
J'ai fiat un HiJackThis et je vous met le résultat dessous :
 
Logfile of HijackThis v1.99.1
Scan saved at 22:57:26, on 26/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\FlashGet\flashget.exe
G:\Internet\Hijackthis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3680654781
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
 
Pour info, j'ai XP SP2 (antivirus et firewall désactivés) et Kaspersky en firewall et antivirus !! Je viens de voir que le log de Hijackthis comportait une ligne sur FileZilla Server alors que je ne l'ai pas lancé en mémoire...y a t il un rapport je ne sais pas !!
 
En vous remerciant par avance pour votre aide  
 
De plus, quand je fais netstat -a je retrouve certaines IP dans le log de mon firewall qui me dit qu'il a repoussé des attaques venant de ces IP. Ci joint qq lignes du log car il est assez long :
 
26/04/2005 21:16:14  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:16:17  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:16:21  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:16:51  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:17:31  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:15  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:17  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:23  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:33  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:47  Votre ordinateur a été attaqué depuis juv34-2-82-226-154-137.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:49  Votre ordinateur a été attaqué depuis juv34-2-82-226-154-137.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:28:54  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:29:04  Votre ordinateur a été attaqué depuis juv34-2-82-226-154-137.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:29:24  Votre ordinateur a été attaqué depuis juv34-2-82-226-154-137.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:29:35  Votre ordinateur a été attaqué depuis rameau-7-82-226-14-26.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:30:04  Votre ordinateur a été attaqué depuis juv34-2-82-226-154-137.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:31:50  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:31:53  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:31:58  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:32:08  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:32:28  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:33:08  Votre ordinateur a été attaqué depuis men75-4-82-226-69-249.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 21:46:25  Votre ordinateur a été attaqué depuis DELL. Attaque - Helkern. Attaque refoulée.
26/04/2005 22:24:46  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:24:48  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:24:54  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:25:04  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:25:25  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:26:07  Votre ordinateur a été attaqué depuis paillade-3-82-226-199-148.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 22:54:54  Votre ordinateur a été attaqué depuis INCARTOO-BAK. Attaque - Helkern. Attaque refoulée.
26/04/2005 23:12:10  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:12:12  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:12:17  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:12:27  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:12:47  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:13:27  Votre ordinateur a été attaqué depuis put92-3-82-226-89-206.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:26  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:29  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:33  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:43  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:50  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:53  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:17:58  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:18:02  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:18:08  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:18:28  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:18:40  Votre ordinateur a été attaqué depuis pla93-2-82-226-7-209.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.
26/04/2005 23:18:58  Votre ordinateur a été attaqué depuis mirail-3-82-225-29-158.fbx.proxad.net. Attaque - Lovesan. Attaque refoulée.

Je m'y connait pas beaucoup mais je voit rien de particulier
 
ton firewaall fait son boulot en boquant tout ca.
 
si t'est a jour en correctifs windows, tu craint pas grand chose
 
au pire tu laisse ton firewall en mode eleve si tu dit que il se passe rien dans ce cas.
 
maintenant attendos l'avis d'experts pour ton log HJT

Merci déjà pour ton avis...si un expert pouvait se pencher qq secondes (non pas sur mon berceau   ) mais sur mon cas, cela serait super sympa  
 
Je sais pas si je l'avais déjà dit, mais devant les connexions actives (non désirées), il y a marqué EPMAP :
 
Connexions actives
 
  Proto  Adresse locale         Adresse distante       Etat
  TCP    XXXXX:epmap           XXXXX:0               LISTENING
  TCP    XXXXX:microsoft-ds    XXXXX:0               LISTENING
  TCP    XXXXX:1110            XXXXX:0               LISTENING
  TCP    XXXXX:1125            XXXXX:0               LISTENING
  TCP    XXXXX:epmap           rameau-7-82-226-14-26.fbx.proxad.net:3456  TIME_WAIT
  TCP    XXXXX:epmap           rameau-7-82-226-14-26.fbx.proxad.net:3462  ESTABLISHED
  TCP    XXXXX:epmap           mutualite-5-82-226-72-52.fbx.proxad.net:2406  TIME_WAIT
  TCP    XXXXX:epmap           mutualite-5-82-226-72-52.fbx.proxad.net:2420  FIN_WAIT_1
  TCP    XXXXX:netbios-ssn     XXXXX:0               LISTENING
  TCP    XXXXX:1028            XXXXX:0               LISTENING
  UDP    XXXXX:microsoft-ds    *:*
  UDP    XXXXX:1035            *:*
  UDP    XXXXX:netbios-ns      *:*
  UDP    XXXXX:netbios-dgm     *:*
  UDP    XXXXX:1900            *:*
  UDP    XXXXX:1900            *:*
 
Encore merci pour votre aide  

UP  

Je crois avoir identifié la source du problème...d'après mon firewall, le service qui serait à l'origine de ces connexions serait "Generic Host Process for Win32" avec un portlocal de 135 et qui correspondrait au programme RpcSs...enfin je crois.
J'ai refusé toutes connexions à ce service et depuis je ne constate plus de connexions actives bizarres   Je voulais savoir à quoi correspondait ce service et si en l'empêchant de se connecter cela avait une qquonque conséquence : pour le moment je n'ai rien vu qui ne marche plus    
Merci de votre aide  

rentre le nom exact et lance la recherche ;-)
 
http://www.bleepingcomputer.com/st [...] -8046.html

Merci pour le lien    
Voila ce que cela me dit quand je rentre le terme "Generic Host Process for Win32". Je n'ai trouvé aucun des fichiers donnés   Je ne sais plus trop quoi penser maintenant !!! J'ai plus de connexions mais je ne sais pas pourquoi    
 
 
Name                                                Filename      Status           Description
 
Generic Host Process for Win32 Services  bazzi.exe       X     Added by the W32/Ahker-E WORM, from an email attachment.
                                                                                First added to the Startup folder as   BADO.EXE and MICHO.EXE,  
                                                                                it copies itself to bazzi.exe. Uses P2P to spread, and modifies the HOST file.
 
Generic Host Process for Win32 Services  intspvc.exe     X     Added by the DINFOR.D WORM!
 
Generic Host Process for Win32 Services  ntspcv.exe     X     Added by the SDBOT.S TROJAN!
 
Generic Host Process for Win32 Services  winsvc.exe     X     Added by the SDBOT-O WORM!

par contre ton rpcss.......... est a verifier en rentrant le nom correct pasque y'a 1 chance/2 que ce soit une merde

A priori, il semble bon...il me mets ceci :
 
Remote Procedure Call. Required by windows for programs to communicate with each other on networks/different machines. Originally for NT only but now installed with Win98/98se. Under Win98/98se, a program may need it to communicate with other components of itself. You could delete the program but if any abnormalities occur soon after then reinstall. Under NT, deleting this critical system component will disable the OS. For a more detailed explanation see here.
 
Je vais devenir fou   en tout cas merci pour ton aide !!