Messages

Un peu de lecture : https://www.malekal.com/kmspico-trojan

Merci pour la lecture H3RV3.

En plus, KMSPico n'est pas open source.

On trouve des serveurs KMS open source écrits en Python sur Github.

Une machine Linux avec Python installé, et hop, un serveur KMS monté en 5 minutes.

Rien ne vaut d'acheter une licence officielle. Mais merci pour l'info !

Vous me conseillez de changer d'anti-virus (gratuit et/ou payant) ?
J'ai Microsoft Security Essentials pour le moment.

Bon alors, j'ai tout d'abord nettoyé le PC avec Malwarebytes. Verdict : 20 fichiers infectés.
Les logs sont en PJ.
Puis, j'ai relancé une analyse avec FRST. D'après les logs (eux-aussi en PJ), il n'y a plus de proxy au lancement.
Les sites sont de nouveau accessibles.


J'attends de voir si la situation se maintient dans les jours à venir.
En tout cas, merci à vous !

Tu pourrais refaire un rapport FRST.

En PJ

C'est voulu que Google Chrome se lance au démarrage du PC ?

Non ce n'est pas voulu. J'ai supprimé du démarrage avec CCleaner.

Cela vient généralement d'un KMSPico vérolé, mais je ne vois rien sur les rapports, tu l'as peut être supprimé entre temps ?

J'ai effectivement KMSpico d'installé sur les ordinateurs. Je n'ai fait aucune update Office et/ou KMSpico ces derniers temps. Pourquoi le problème se manifeste au moment du changement de box ?

On va essayer de dégager le proxy, ouvre le bloc note et copie/colle ce qui suit puis enregistre le fichier en le nommant fixlist.txt

Code Sélectionner Étendre

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
ProxyEnable: [HKLM] => Proxy est activé.
ProxyEnable: [HKLM-x32] => Proxy est activé.
ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
AutoConfigURL: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
RemoveProxy:
Reboot:
End:

Place le fichier fixlist.txt dans le même dossier que FRST (de préférence sur le bureau), lance FRST, clique sur Corriger / Fix et patiente.
Le PC va redémarrer.
FRST va créer un nouveau rapport Fixlog.txt, tu pourras le mettre en réponse.

Le fichier est en PJ, ça n'a résolu le problème.

Le rapport est en PJ.

De ce que je comprends du rapport, vous avez bien un proxy installé. Il faudra essayer sans.

ProxyEnable: [HKLM] => Proxy est activé.
ProxyEnable: [HKLM-x32] => Proxy est activé.
ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080

Effectivement, il y a(urait) un proxy. Cependant, je ne vois pas quel logiciel joue le rôle de proxy. Une idée de comment trouver ?

Bonjour à tous,


J'espère que vous avez passé un bon week-end.

Tu pourrais faire une analyse avec FRST, qui donnera un rapport plus complet que HijackThis :
https://www.commentcamarche.net/download/telecharger-34103652-frst-farbar-recovery-scan-tool-64-bits

Le rapport est en PJ.

Tu as essayé de changer les DNS  de ta connexion ? Genre en mettant 8.8.8.8 et pas ceux de Knet.
que ça fonctionne avec le VPn est une bonne nouvelle je pense  

Dès le début, j'avais changé de serveurs DNS pour ceux de Google. Je pensais que c'était ça l'origine du problème. En conséquence, j'ai basculé vers ceux de K-Net.

Un reset de la KBox ne changerait-il rien ? Car le problème semble être arrivé au racco de la KBox donc il faut peut-être creuser de ce coté ?

J'avais fait un reset, ça n'a rien changé.

Bonsoir à tous,

salut .
Essaie de vider les caches de tous tes navigateurs .. l'erreur 400 est probablement restée en cache

Je vais essayer ce soir de nettoyer tous ça.

J'ai vidé les caches de tous les navigateurs. Pas de changement.

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files (x86)\Dassault Systemes\B20\intel_a\code\bin\CATSysDemon.exe

C'est un sorte de VPN ?

Il me semble que c'est juste une service de CATIA

oui, c'est un DAO ... On s'en servait dans ma boite

Effectivement, CATIA est un logiciel de CAO, DAO, de simulation... Je ne sais pas à quoi sert spécifiquement CATSysDemon.exe.

ça serait interessant de tester avec un VPN peut être ?

J'ai installé un client VPN (Windscribe) et ça a tout changé ! A peine connecté, "tous" les sites où j'avais une erreur étaient à nouveau accessible. Mais dès que je me déconnecte, je retourne cette situation anormale.

Désactiver ton NAS ?

Je l'avais éteint durant 1 journée. Pas de changement.


En ce qui concerne tes autres propositions sneo, je testerai durant le week-end.

Et voilà le hijackthis.log

Coucou Hugues

Si tu vas sur https://ip.lafibre.info/, tu vois quoi comme IP ? Ton IP Publique ?

lafibre.info est inaccessible. Le message est "Misdirected Request. The client needs a new connection for this request as the requested host name does not match the Server Name Indication (SNI) in use for this connection."

Je suis allé sur monip.com, et c'est bien mon IP publique qui s'affiche.

Il manque la capture d'écran qui montre justement qu'il y a quelque chose au milieu
Le message d'erreur (non standard) vers un site qui n'existe plus : "DNS Lookup for <domaine> failed. System.Net.Sockets.SocketException Le nom demandé est valide, mais aucune donnée du type requise n'a été trouvée."

Je ne l'avais volontairement pas joint, car ce site n'existe plus (n'est pas accessible en tout cas).

Par ailleurs, ce problème est apparu sur plusieurs ordinateurs dès la mise en place de la box K-Net.
A ce même moment, j'ai désactivé un serveur DNS (hébergé sur mon NAS). Y-a-t-il une piste à creuser de ce côté-là ?

PC sous Windows vérolé et qui force la connexion via un proxy ?

Oui, je ne vois que 4 possibilités :
- antivirus / parefeu qui intercepte le trafic, et ne le réécrit pas correctement
- un serveur proxy mal configuré
- Fiddler ou équivalent a été installé, configuré avec une règle de réécriture foireuse
- PC vérolé

Ça fait un moment que j'ai pas touché un Windows, mais je serai curieux d'avoir la liste des DLLs chargées dans le processus du navigateur (avec leur chemin complet)

PC vérolé, c'est-à-dire ? PC infecté par un/plusieurs virus ?
Et comment obtenir cette liste de DDLs chargés ?

Pour l'ensemble de la communauté, je vous joints les captures d'écrans évoqués par Vincent.

Rebonjour à tous,

salut .
Essaie de vider les caches de tous tes navigateurs .. l'erreur 400 est probablement restée en cache

Je vais essayer ce soir de nettoyer tous ça.

Vous avez essayé en mode sans échec avec réseau ?

J'avais essayé sur un ordinateur. Pas de changement.

mmm, aussi, je viens de regarder les captures d'écran que vous avez envoyé au support. Il y a des messages d'erreurs qui laissent penser que vous passez par un proxy (en .NET). Avez-vous installé des applications comme Fiddler ?

Si oui, vous l'avez installé pour essayer de débugger ça, ou c'était déjà là avant le début du problème ?

Non, pas de logiciel ou proxy en place.

Bonjour à tous,

Depuis mi-juin, je suis passé à la box fibre de K-Net. Et depuis ce changement, j'ai des soucis. Je m'explique :
Avant de recevoir leur box, je testais le service en étant directement relié par câble ethernet à l'ONT. Tout fonctionnait très bien.

Par après, j'ai eu la box de K-Net et ai basculé tous les appareils sur la box. A partir de là, deux ordinateurs ont des difficultés à accéder à certains sites internet. Suivants les sites, les messages d'erreurs suivants apparaissent :

• "Bad Request. Your browser sent a request that this server could not understand."
• "Misdirected Request. The client needs a new connection for this request as the requested host name does not match the Server Name Indication (SNI) in use for this connection."

Le problème est présent sur différents navigateurs (IE, Firefox et Chrome).

J'ai contacté le support technique de K-Net le 22/06. Par téléphone, le technicien n'a pas su me répondre. On a essayé de vider les caches DNS, en vain...
Il m'a annoncé qu'ils allaient investiguer de leurs côtés. Par la suite, ils m'ont juste demandé de faire une analyse avec Wireshark et de leur envoyer, ce que j'ai fais. Je n'ai pas de retour de leur part malgré mes nombreuses relances.

Ce problème n'apparaît que sur des ordinateurs sous Windows. La connexion en Wifi ou en Ethernet ne change rien.
Ces ordinateurs étant principalement connectés en ethernet via un switch, je les ai branché directement sur la box K-Net (toujours en ethernet) : aucun changement.

A la vue de ces différents éléments, auriez-vous une idée de comment résoudre le problème ?

Merci.

areg