internet & fixe ma connexion

Voir tous les sujets internet & fixe

bonjour @jonathan451 

@fredolerouge @PhilDur 

si le mail ne vient pas de 

abuse@orange.fr

ce n'est pas la bonne cellule

d'autre par le message dit

Cette adresse IP est actuellement utilisée pour forcer brutalement les identifiants de connexion des serveurs exécutant SSH (Secure Shell)

essaye de renouveler ton IP de livebox

https://livebox-news.com/tutoriel/changer-adresse-ip-orange#:~:text=L%27adresse%20IP%20de%20votre%20....

cdt

bonjour , merci de votre reponse 

le mail viens bien de chez abuse@orange.fr 

ils m'ont fait un premier signalement le 21 decembre par mail ( mail orange mais je ne me sert pas de cette boite )

et ils viennent de me recontacter aujourd'hui avec un nouveau signalement a mon encontre , par telephone ce coups ci c'est comme ca que j'ai été mit au courant , ils m'ont envoyé une copie sur une adresse mail que je me sert .

voila l'incident rencontré 

https://incident.netcraft.com/c8c2947d8e58/

j'ai par securité fait un reboot pour changer l Ip , mais vu que la box fonctionne tellement bien c'est une galere à chaque fois 

en fait a chaque reboot de la box ( que ca soit  par moi ou par elle meme ) elle ne reboot plus systematiquement , elle reste figé sur le logo orange et ne fait plus rien , il faut alors faire un reset sur le bouton rouge (je sais meme pas si ca le fait vraiment ) , eteindre et rallumer et là enfin elle reboot. penible de se lever le matin et de devoir refaire toute la manip car elle a planté la nuit .

re bonjour @jonathan451 

@Daniel35 @PhilDur @JuanLucas38 @fredolerouge @sic29 @Le_Novice 

en effet ce n'est pas evident

d'autre part tu met

 elle ne reboot plus systematiquement , elle reste figé sur le logo orange et ne fait plus rien 

peut etre un changement de livebox s'imposerait il

dans tous les cas je vais voir ce que preconisent les confrères

cdt

Bonjour @jonathan451 

@black-ice 

Ça ne sent pas bon ton affaire.

Pour changer d'IP, le reboot marche/arrêt électrique ne suffit pas.

Au choix:

• soit via l'administration de ta livebox et Redémarrer (l'arrêt/marche électrique ne suffit pas)
• soit via ton Espace client/Service internet/Internet/Renouveler votre adresse IP
• soit via l'appli Ma Livebox / Paramètres / Redémarrer

Mais si tu as un malware qui a transformé ton PC en PC zombie qui fait des acrobaties d'attaques SSH, la nouvelle IP sera blacklistée dans la foulée.

Passe un coup d'adwcleaner en mode sans échec.

Sans doute pas suffisant. Si pas mieux, regarde via le gestionnaire de tâches, si un process bizarre ne consomme pas du temps d'UC "au repos", en mode sans échec aussi, alors que le PC "ne fait rien". Onglet Processus. Clique en haut de la colonne Processeur une fois ou 2 pour avoir en tête les processus avec les % les plus élevés. Si oui, il faudra traquer la bête. Mais toutes les "véroles" n'apparaissent pas dans le gestionnaire de tâches hélas.

Fais-toi aider sur un forum spécialisé ou par un ami qui connait la musique. Ça dépasse mes compétences.

Cordialement
Daniel35
.

je comptais justement en effet contacter le service client pour faire changer la box. mais pas eu le temps .

pour l'analyse 

j'ai passé un coups de ZHPcleaner , il n'a pas trouvé grand chose , est ce que c'est ce qu'il a trouvé je ne sais pas .

~ ZHPCleaner v2022.12.29.91 by Nicolas Coolman (2022/12/29)
~ Run by Jonathan (Administrator)  (30/12/2022 17:50:49)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\Jonathan\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Jonathan\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 22000)


---\\  ALTERNATE DATA STREAM (ADS). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  SERVICE. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  NAVIGATEUR INTERNET. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  FICHIER HÔTE. (1)
~ Le fichier hôte est légitime. (23)


---\\  TÂCHE PLANIFIÉE. (1)
SUPPRIMÉ tâche: [Adobe Flash Player Updater] [C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe]  =>Riskware.FlashPlayer


---\\  EXPLORATEUR  ( Dossiers, Fichiers ). (3)
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>Préférences Chromium
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences    =>Préférences Chromium
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>Préférences Chromium


---\\  BASE DE REGISTRES ( Clés, Valeurs, Données ). (4)
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\459fc68c-eb53-59f8-8957-9913bc627af3 []  =>Adware.CrossRider
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-904407761-4236605266-571989376-1001\SOFTWARE\Classes\AppXq0pwa73vfcn2qdexp8cexcc6qk87xh1r []  =>Adware.Navipromo
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-904407761-4236605266-571989376-1001\SOFTWARE\Classes\discord-712465656758665259 [URL:Run game 712465656758665259 protocol]  =>.SUP.Discord
SUPPRIMÉ clé^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater []  =>Riskware.FlashPlayer


---\\  RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (5)
https://nicolascoolman.eu/forum/Topic/flashplayer-logiciel-a-risque-riskware/  =>Riskware.FlashPlayer
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Préférences Chromium
https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/  =>Adware.CrossRider
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Adware.Navipromo
https://nicolascoolman.eu/forum/Topic/Discord-logiciel-potentiellement-superflu-lps/  =>.SUP.Discord


---\\  NETTOYAGE ADDITIONNEL. (21)
~ Suppression des Clés de registre Tracing. (19)
~ Suppression des anciens rapports ZHPCleaner. (2)


---\\ BILAN DE LA REPARATION
~ Réparation réalisée avec succès.
~ Google Chrome OK
~ Internet Explorer OK
~ Le système a été redémarré.


---\\ STATISTIQUES
~ Items scannés : 1732
~ Items trouvés : 0
~ Items annulés : 0
~ Gain de place (Octets) : 0
~ Items options : 9/17


---\\ OPTIONS DESACTIVÉES
~ Analyse et suppression des fichiers temporaires
~ Analyse et suppression des répertoires temporaires
~ Recherche et suppression des répertoires CLSID vides
~ Recherche et suppression des autres répertoires vides
~ Recherche et suppression des répertoires vides de LocalLow
~ Recherche et suppression des répertoires vides de Local
~ Recherche et suppression des fichiers obsolètes
~ Initialiser les navigateurs avec suppression des extensions





~ End of clean in 00h00mn17s

---\\  LISTE DES RAPPORTS (2)
ZHPCleaner-[S]-30122022-17_48_02.txt
ZHPCleaner-[R]-30122022-17_51_06.txt

Bonjour @jonathan451 

Puisque l'alerte est légitime et ne fait plus de doute (mail + appel), il faut la traiter avec diligence au risque de subir des conséquences possiblement désagréables (suspension ou restriction d'accès prévues au contrat).

Pour commencer, changer d'IP ne présente aucun intérêt pratique ici, bien au contraire, chaque nouvelle adresse verra sa réputation dégradée tant que le problème perdurera, ce qui ne peut qu'augmenter la probabilité de mesures conservatoires venant d'Orange et d'autre part, j'aurais bien scanné ton IP pour voir si un truc inhabituel était en écoute, mais tu en as changé entre temps.

Ce que tu peux faire pour faire cesser la nuisance immédiatement c'est modifier le pare feu de la box et le passer en mode élevé en interdisant les connexions SSH sortantes au moins le temps d'isoler la source du problème et si tu n'en as pas l'utilité.

Ensuite, il faut investiguer TOUS les périphériques connectés à la box et pas seulement ton PC, il me semblerait assez surprenant qu'il n'y ait que ton PC et pas de téléphones, NAS, portables, consoles, etc.

Tu peux même faire des règles pare feu par équipement connecté et en suivre l’efficacité sur le site que tu as communiqué.

Une fois l'équipement source de ces attaques identifié, il faudra le nettoyer d'une manière ou d'une autre.

Bonne dernière journée de l'année.

Bonjour @jonathan451 

Effectivement c'est du sérieux.

Il y a dans ton ordi un processus résident qui travaille pour un pirate et qui pourrait se révéler dangereux.

---

@matrixbx  a écrit :

Bonjour @jonathan451 

Puisque l'alerte est légitime et ne fait plus de doute (mail + appel), il faut la traiter avec diligence au risque de subir des conséquences possiblement désagréables (suspension ou restriction d'accès prévues au contrat).

Pour commencer, changer d'IP ne présente aucun intérêt pratique ici, bien au contraire, chaque nouvelle adresse verra sa réputation dégradée tant que le problème perdurera, ce qui ne peut qu'augmenter la probabilité de mesures conservatoires venant d'Orange et d'autre part, j'aurais bien scanné ton IP pour voir si un truc inhabituel était en écoute, mais tu en as changé entre temps.

Ce que tu peux faire pour faire cesser la nuisance immédiatement c'est modifier le pare feu de la box et le passer en mode élevé en interdisant les connexions SSH sortantes au moins le temps d'isoler la source du problème et si tu n'en as pas l'utilité.

Ensuite, il faut investiguer TOUS les périphériques connectés à la box et pas seulement ton PC, il me semblerait assez surprenant qu'il n'y ait que ton PC et pas de téléphones, NAS, portables, consoles, etc.

Tu peux même faire des règles pare feu par équipement connecté et en suivre l’efficacité sur le site que tu as communiqué.

Une fois l'équipement source de ces attaques identifié, il faudra le nettoyer d'une manière ou d'une autre.

Bonne dernière journée de l'année.

---

Effectivement changer d'IP n'a aucun sens, le pirate est chez toi, et de plus, rien ne prouve qu'il soit dans ton ordi : tous les appareils connectés à internet par ta box sont vus comme possédant l'adresse de ta box.

Commence par désinstaller tout logiciel qui serait une "copie d'original" de tous tes appareils programmables : tel, tablette, console.

Perso j'aurais tendance à incriminer la ou les consoles de jeu, c'est là où on trouve le plus de téléchargements douteux.

Pour le PC il existe des sites avec des experts formés qui aident au diagnostique et à la désinfection comme celui de Nicolas Coolman.

Le changement de box n'est pas une option, tu récupérerais la même box avec les mêmes paramètres.

L'activité vient de chez toi, elle y a été introduite par un logiciel probablement "non officiel", il fut le localiser et le virer.

Ensuite il faut réinitialiser la machine qui l'hébergeait à son état sortie d'usine.

Cordialement

PhilDur

Bonjour @jonathan451 @juste 

Avec l ' adresse ip :

Installe un autre programme plus performant que le gestionnaire des taches qui va regarder le traffic entrant et sortant de ta connexion ( ethernet ou autre )et  tu dois pouvoir trouver le coupable .

https://www.malekal.com/alternative-au-gestionnaire-de-taches-de-windows/#Process_Hacker

Tu peux aussi utiliser la commande : msconfig dans executer et désactiver au fur et à mesure le programme qui tourne .

Avant de faire ces essais , fait une sauvegarde de ta machine ( restauration du système ).

Après si le problème persiste voir tous les autres appareils connectés sur ta Livebox et peut-être même commencer par cette opération afin de cibler la source de ton problème .

Cordialement 

Oui Juste

Sauf si ça vient d'une console de jeu avec un jeu "téléchargé"