Serveur SMTP indésirable
1 connu
D�sol� si je ne suis pas sur le forum.
En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails partent
correctement.
Ceci a ma grande surprise puisque je n'ai, � ma connaissance, aucun serveur SMTP install� sur mon poste.
Je subodore qu'un virus ou autre trojan a install� ceci dans mon dos.
Comment puis je savoir quel process fait tourn� ce serveur et comment m'en d�barrasser ?
D'avance merci pour votre aide.
Xavier Roche
> Comment puis je savoir quel process fait tourn� ce serveur et comment m'en d�barrasser ?
Syst�me d'exploitation ?
Sous Linux/Unix:
netstat -anp | grep ':25 ' | grep LISTEN
Windows:
netstat -a -b -n
(en administrateur)
1 connu
"Xavier Roche" <xro...@free.fr.NOSPAM.invalid> a �crit dans le message de news: hi28me$cn1$1...@news.httrack.net...
Voici le resultat. Je ne vois rien sur le port 25.
Merci pour votre aide.
>netstat -a -b -n
Connexions actives
Proto Adresse locale Adresse distante Etat
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1436
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- composants inconnus --
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Syst�me]
TCP 0.0.0.0:2453 0.0.0.0:0 LISTENING 492
[nmserver.exe]
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING 212
[mysqld-nt.exe]
TCP 85.218.44.117:139 0.0.0.0:0 LISTENING 4
[Syst�me]
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING 3812
[alg.exe]
TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 1600
[jqs.exe]
TCP 127.0.0.1:8888 0.0.0.0:0 LISTENING 976
[JBuilder.exe]
TCP 127.0.0.1:30523 0.0.0.0:0 LISTENING 1880
[klnagent.exe]
TCP 127.0.0.1:5152 127.0.0.1:4331 CLOSE_WAIT 1600
[jqs.exe]
TCP 85.218.44.117:4362 129.195.254.222:110 TIME_WAIT 0
TCP 85.218.44.117:4364 209.85.135.138:80 TIME_WAIT 0
TCP 85.218.44.117:4365 209.85.135.99:80 TIME_WAIT 0
TCP 85.218.44.117:4366 209.85.135.105:80 TIME_WAIT 0
TCP 85.218.44.117:4370 209.85.135.113:80 TIME_WAIT 0
TCP 85.218.44.117:4371 67.221.32.209:80 TIME_WAIT 0
TCP 85.218.44.117:50065 222.164.167.249:2211 TIME_WAIT 0
TCP 127.0.0.1:3122 127.0.0.1:3121 TIME_WAIT 0
UDP 0.0.0.0:500 *:* 1188
[lsass.exe]
UDP 0.0.0.0:7657 *:* 492
[nmserver.exe]
UDP 0.0.0.0:15000 *:* 1880
[klnagent.exe]
UDP 0.0.0.0:445 *:* 4
[Syst�me]
UDP 0.0.0.0:4500 *:* 1188
[lsass.exe]
UDP 0.0.0.0:7656 *:* 492
[nmserver.exe]
UDP 85.218.44.117:137 *:* 4
[Syst�me]
UDP 85.218.44.117:123 *:* 1628
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 85.218.44.117:138 *:* 4
[Syst�me]
UDP 127.0.0.1:123 *:* 1628
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Az Sam
1e0cd$4b4498c4$55da2c75$28...@news.hispeed.ch...
> Bonjour,
>
> D�sol� si je ne suis pas sur le forum.
> En testant un programme envoyant des e-mails. Je me suis rendu compte
> qu'en utilisant localhost comme serveur SMTP les mails partent
> correctement.
> serveur SMTP install� sur mon poste.
> Je subodore qu'un virus ou autre trojan a install� ceci dans mon dos.
> Comment puis je savoir quel process fait tourn� ce serveur et comment m'en
> d�barrasser ?
>
> D'avance merci pour votre aide.
>
>
Avast sur la machine ?
--
Cordialement,
Az Sam.
1 connu
"Az Sam" <m...@home.net> a �crit dans le message de news: 4b44c24f$0$17837$426a...@news.free.fr...
> "1 connu" <inco...@bluewin.ch> a �crit dans le message de news: 1e0cd$4b4498c4$55da2c75$28...@news.hispeed.ch...
>> Bonjour,
>>
>> D�sol� si je ne suis pas sur le forum.
>> En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails
>> partent correctement.
>> Je subodore qu'un virus ou autre trojan a install� ceci dans mon dos.
>> Comment puis je savoir quel process fait tourn� ce serveur et comment m'en d�barrasser ?
>>
>> D'avance merci pour votre aide.
>>
>>
>
> Avast sur la machine ?
>
> --
> Cordialement,
> Az Sam.
Az Sam
13eec$4b44cc34$55da2c75$10...@news.hispeed.ch...
>>
>> Avast sur la machine ?
> Non Kaspersky. Pourquoi ?
Car ca pourrait etre l'AV qui surveille les mails sortant qui s'intercale.
Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est
un netstat mais un peu plus agreable je trouve.
--
Cordialement,
Az Sam.
Christophe Bachmann
> "Az Sam"<m...@home.net> a ï¿œcrit dans le message de news: 4b44c24f$0$17837$426a...@news.free.fr...
>> "1 connu"<inco...@bluewin.ch> a ï¿œcrit dans le message de news: 1e0cd$4b4498c4$55da2c75$28...@news.hispeed.ch...
>>> Bonjour,
>>>
>>> Dᅵsolᅵ si je ne suis pas sur le forum.
>>> En testant un programme envoyant des e-mails. Je me suis rendu compte qu'en utilisant localhost comme serveur SMTP les mails
>>> partent correctement.
>>> Je subodore qu'un virus ou autre trojan a installᅵ ceci dans mon dos.
>>> Comment puis je savoir quel process fait tournᅵ ce serveur et comment m'en dᅵbarrasser ?
>>>
>>> D'avance merci pour votre aide.
>>>
>>>
>>
>> Avast sur la machine ?
> Non Kaspersky. Pourquoi ?
>
courrier, qui gï¿œnï¿œrent en douce un serveur de relai de courrier et
modifient les rï¿œglages des lecteurs pour les renvoyer vers le serveur de
l'antivirus, dont l'adresse est souvent 127.0.0.1 ᅵtant donnᅵ qu'elle ne
peut pas ï¿œtre accï¿œdï¿œe de l'extï¿œrieur...
--
Greetings, Salutations,
Guiraud Belissen, Chï¿œteau du Ciel, Drachenwald,
Chris CII, Rennes, France
1 connu
"Az Sam" <m...@home.net> a �crit dans le message de news: 4b44ce04$0$8249$426a...@news.free.fr...
> "1 connu" <inco...@bluewin.ch> a �crit dans le message de news: 13eec$4b44cc34$55da2c75$10...@news.hispeed.ch...
>
>>>
>>> Avast sur la machine ?
>> Non Kaspersky. Pourquoi ?
>
> Car ca pourrait etre l'AV qui surveille les mails sortant qui s'intercale.
>
> Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.
>
Maintenant si c'est Kaspersky, il n'y a pas lieu de s'inqui�ter ....
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1440 -> 135 TCP
4 System -> 139 TCP
4 System -> 445 TCP
3396 -> 1031 TCP
0 System -> 1062 TCP
0 System -> 1069 TCP
0 System -> 1077 TCP
0 System -> 1078 TCP
0 System -> 1079 TCP
0 System -> 1080 TCP
0 System -> 1081 TCP
228 nmserver -> 2453 TCP C:\Apple\Library\System\nmserver.exe
1972 mysqld-nt -> 3306 TCP c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-n
t.exe
1580 jqs -> 5152 TCP C:\Program Files\Java\jre6\bin\jqs.exe
1944 klnagent -> 30523 TCP C:\Program Files\Kaspersky Lab\NetworkAgent
\klnagent.exe
0 System -> 50065 TCP
0 System -> 123 UDP
0 System -> 137 UDP
0 System -> 138 UDP
1440 -> 445 UDP
4 System -> 500 UDP
228 nmserver -> 4500 UDP C:\Apple\Library\System\nmserver.exe
1972 mysqld-nt -> 7656 UDP c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-n
t.exe
4 System -> 7657 UDP
0 System -> 15000 UDP
> --
> Cordialement,
> Az Sam.
Christophe Bachmann
> "Az Sam"<m...@home.net> a ï¿œcrit dans le message de news: 4b44ce04$0$8249$426a...@news.free.fr...
>> [C]a pourrait etre l'AV qui surveille les mails sortant qui s'intercale.
>>
>> Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.
>>
> Voila le resultat. Je ne vois rien de plus.
> Maintenant si c'est Kaspersky, il n'y a pas lieu de s'inquiï¿œter ....
>
As-tu tout simplement ᅵtᅵ voir les rᅵglages dans ton lecteur de courrier
habituel pour voir si qqch n'avait pas subrepticement dᅵtournᅵ tes
serveurs entrant et sortants ?
D'autre-part as-tu bᅵtement tentᅵ un telnet sur ton port 25 pour voir la
chaine de rï¿œponse qui te donnera peut-ï¿œtre une indication ?
Enfin as-tu vᅵrifiᅵ dans la doc si le programme de mailing n'aurait pas
un rï¿œglage par dï¿œfaut qui remplacerait localhost par son serveur favori,
encore que je ne vois pas trop pourquoi ?
1 connu
"Christophe Bachmann" <Chri...@JMVD.Info> a �crit dans le message de news: 4b45016f$0$17508$ba4a...@news.orange.fr...
> Le 06/01/2010 22:09, 1 connu a �crit :
>> "Az Sam"<m...@home.net> a �crit dans le message de news: 4b44ce04$0$8249$426a...@news.free.fr...
>
>>> [C]a pourrait etre l'AV qui surveille les mails sortant qui s'intercale.
>>>
>>> Regarde avec http://www.foundstone.com/us/resources/proddesc/fport.htm c'est un netstat mais un peu plus agreable je trouve.
>>>
>> Voila le resultat. Je ne vois rien de plus.
>>
> As-tu tout simplement �t� voir les r�glages dans ton lecteur de courrier habituel pour voir si qqch n'avait pas subrepticement
> d�tourn� tes serveurs entrant et sortants ?
>
> D'autre-part as-tu b�tement tent� un telnet sur ton port 25 pour voir la chaine de r�ponse qui te donnera peut-�tre une indication
> ?
>
> Enfin as-tu v�rifi� dans la doc si le programme de mailing n'aurait pas un r�glage par d�faut qui remplacerait localhost par son
Effectivement, tu as 100% raison. Pas de reponse sur le 25.
Et effectivement c'est le programme qui redirige vers un vrai serveur SMTP.
Le plus fort, c'est que le couillon qui a fait ce programme c'est moi !
D�sol� pour le bruit inutil et merci � toi et tout ceux qui ont pris le temps de m'aider
Pierre
> --
> Greetings, Salutations,
> Guiraud Belissen, Ch�teau du Ciel, Drachenwald,
> Chris CII, Rennes, France