Bonjour,
 
J'ai un espion dont je n'arrive pas à déterminer le nom.
 
Symptômes : lorsque je download, je vois le nombre de paquets émis augmenter légèrement plus que le nombre de paquets reçus (normal, il y a ma requête en plus dans les paquets émis).
 
Donc j'ai un espion sur ma machine qui renvoie systématiquement ce que je reçois vers une autre adresse.
 
Au niveau des recherches, AD Aware n'a rien trouvé, SpyBot, Avast et SpywareDoctor, ewido, antivir, ats2, panda non plus (dernières versions et dernières bases) ainsi que quelques scan en lignes, analyses de logs hijackthis ...
Le ménage a été fait avec easycleaner, ccleaner, aboutbuster, ...  
 
A priori, j'ai fait presque tout ce qu'il était possible de faire, mon cas a été analysé cher zébulon, mais rien n'y fait.  
 
(sachant que je ne fais pas de p2P, ni ne consulte de sites + ou - douteux !).  
 
Cela arrive quel que soit le site visité et quel que soit le navigateur utilisé IE / FF 1.07.
 
Qui connait l'espion en question ?  
 
merci d'avance
ALbertMuda
 
 
 
 
 
 
 
 

c'est la soirée paranoia ou quoi ?
si tu veux vraiment savoir ce qui se passe :
installe un sniffer (ethereal) http://www.ethereal.com/

Non, je ne suis pas parano, mais je considère qu'il n'est pas normal,lorsque je télécharge les 9 Mo d'Avast, de voir mon nb de paquets émis augmenter plus que le nb de paquets reçus.  
 
Quant au sniffer, je ne vois pas ce qu'il peut m'apporter, il va me dire ce qui est envoyé par mon ordi et vers qui.  
 
Mais me dira-t'il quel est l'exécutable, la dll ou l'entrée de la BR qui met le bazard ?

déjà il te dira quel protocole qui prend le plus de bande passante.
Sinon il existe un portage de lsof qui donne la correspondance connexion/programme. Regarde aussi du côté de netstat, si il existe une option renvoyant le processus utilisant une connexion donnée.
Le nom du programme est inzider, je l'avais essayé mais il souffre parfois d'une instabilité.
http://ntsecurity.nu/toolbox/inzider/
Autre solution, tu installes un firewall (ex: kerio V2) et tu connaiteras la liste des process qui utilisent une connexion.

J'ai déjà fait le netsat -b, il n'y a que deux sessions d'établies par FF.  
 
Quant à inzider, j'ai un outil assez simple similaire qui s'appelle Active Ports :  
- System écoute  sur UDP 137 et 138 et TCP 139
- alg.exe écoute sur TCP 1026
- svchost.exe écoute sur TCP 135
- firefox a 2 sessions établies TCP 1510 et 1511
 
et lorsque je surfe il n'y a que FF que les sessions FF qui bougent

une petite question, dans les nombres de paquets envoyés, tu as prend en compte les ACK de TCP ?

Bonne question, ça pourrait expliquer la chose surtout si un soft m'a changé un paramètre à mon insu.  
 
Où se trouve le paramétrage en question ?

(franchement, tu te prends la tête pour RIEN )

tu demandes à tous les serveurs WEB de t'envoyer leurs données via UDP au lieu de TCP

 
[mode parano]
Et on fait comment ?
[/mode parano]
 
 
 
 
 
 
 
 
 

dommage, il faudra aussi modifier la RFC  
http://www.w3.org/Protocols/rfc261 [...] .html#sec8
car il semblerait que seul le mode connexion soit supporté.
Pour cloturer ce topic :
albertmuda> le nombre de paquet entrant ou sortant n'est pas pertinent, regarde plutôt la quantité de données (en octets) qui a transité sur la voie montante et descendante.
Dans le cas où seul ff tourne (une recherche sur google par ex) et que la quantité d'info envoyée est supérieure à la quantité d'info reçu, alors tu peux commencer à suspecter la présence d'un programme douteux.

Certes, le nb de paquets entrants /sortants est un indicateur approximatif, mais il y a quelques semaines mon nombre de paquets reçus était toujours supérieur au nombre de paquets émis et aujourd'hui, c'est l'inverse sans que je puisse l'expliquer.  
 
 

comme je t'ai dis, si tu veux vraiment voir ce qui se passe, utilise un sniffer pour découvrir les paquets suspects (peut être des requêtes ARP ou DNS)

Ok merci pour ton aide