Bonjour à tous
J'ai un problème un peu curieux, depuis hier malwarebytes me bloque un site dont l'adresse ressemble étrangement à l'adresse serveur mail OVH juste le domaine qui est différent onh.net au lieu de ovh.net
C'est pour cette raison que je poste ici et le blocage ne se déclenche pas forcément quand je suis sur le navigateur c'est dans System32 que le problème semble se trouver.
J'ai essayé de creuser pour trouver ce qu'il se passe mais sans résultat.
Je sais que ça n'a rien à voir avec mon hébergement OVH, enfin je le suppose, mais si quelqu'un a déjà eu connaissance de ce type de problème ou une petite idée concernant ce site onh.net
Je craints bien sur une infection ou tentative sur mon pc, pour l'instant je reçois constamment l'information de blocage de ce site.
Merci à vous
Adresse de site bloquée
Related questions
- Module en 1 clic (You need at least one free database)?
49562 
11.09.2018 13:49
- Délai réponse support
42392 03.12.2018 08:06
- Hubic, recherche d'interlocuteur?
42079 14.06.2017 14:27
- L'équipe de validation des nouveaux sujets est-elle déjà partie en weekend ?
40495 31.10.2024 13:53
- Écran blanc sous Firefox - impossible d'utiliser le manager
40446 10.02.2017 11:28
- Piratage compte suivi de commande
37835 05.02.2017 10:41
- Mot de passe & mail
36752 30.10.2024 10:50
- Pourquoi faire simple quand on peut faire compliqué ? ? ?
36159 11.10.2016 09:30
- Logs de connexion espace client ?
35956 06.06.2017 11:34
- OVH manager double authentification : supprimer un mobile ?
34288 23.06.2018 02:38
Bonjour,
Il faudrait un logs écrit de votre logiciel pour avoir la vraie adresse du site, car cela pourrait être une lettre cyrillique.
De plus d'après votre capture d'écran c'est bien un flux sortant de votre ordinateur à destination d'un port 465 qui est normalement pour du SMTP.
Cordialement, janus57
Bonjour,
Ce nom de domaine est à vendre et n'est pas hostile _a priori_.
Vous auriez peut-être configuré cette adresse par erreur dans un de vos logiciels
Le hostname ssl0.onh.net résout à l'adresse IP 13.248.169.48 ainsi que 76.223.54.146 qui est la page de landing de GoDaddy. En fait n'importe quel sous-domaine y est associé (wildcard), donc azertyuiop.onh.net c'est pareil.
Pour répondre à Janus, j'ai un peu essayé avec des glyphes différents:
xn--ti7clac.net
xn--on-5wc.net
xn--nh-emc.net
aucun de ces domaines n'existe. Je ne prétends pas avoir essayé toutes les possibilités existantes.
Par exemple en cyrillique il y a un 'o' mais pas de 'n' ni de 'h'.
Les registres interdisent aussi de créer des noms de domaines où on mélange des glyphes différents (exemple de l'hébreu avec du cyrillique) car c'est à coup sûr pour faire d ela fraude.
J'en reviens à ma suggestion de vérifier vos paramètres dans vos logiciels de mail, à la recherche d'une erreur de votre part.
J'ai un peu parcouru les forums de malwarebytes à propos de connexions bloquées et svchost.exe
Il y a moyen de perdre pas mal de temps.
Bonjour @janus57 et @Fritz2cat
Merci pour vos réponses
Voici le rapport de Malwarebytes :
Malwarebytes
www.malwarebytes.com
-Détails du journal-
Date de l’événement de protection: 06/10/2024
Heure de l’événement de protection: 15:34
Fichier journal: c0618984-83e7-11ef-903f-00ff5132cbf3.json
-Informations du logiciel-
Version: 5.1.11.133
Version de composants: 1.0.5048
Version de pack de mise à jour: 1.0.90109
Licence: Premium
-Informations système-
Système d’exploitation: Windows 11 (Build 22631.4169)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: System
-Détails du site Web bloqué-
Site Web malveillant: 1
, C:\Windows\System32\svchost.exe, Bloqué, -1, -1, 0.0.0, 8EC922C7A58A8701AB481B7BE9644536, 949BFB5B4C7D58D92F3F9C5F8EC7CA4CEAFFD10EC5F0020F0A987C472D61C54B
-Données du site Web-
Catégorie: RiskWare
Domaine: ssl0.onh.net
Adresse IP: 13.248.169.48
Port: 465
Type: En sortie
Fichier: C:\Windows\System32\svchost.exe
(end)
J'ai vérifié ma boite mail ovh Thunderbird c'est bien ssl0.ovh.net pour le serveur est elle fonctionne entrant et sortant et je n'ai fait aucun changement ni ajout de boite depuis x temps
Parcontre onh.net existe bien et c'est son ip qui est donné.
Vraiment bizarre ce truc.
Avec une licence Premium, est-ce possible de demander à Malwarebytes des outils pour traquer ce générique svchost.exe ?
~# nmap 76.223.54.146
Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-07 09:52 CEST
Nmap scan report for a904c694c05102f30.awsglobalaccelerator.com (76.223.54.146)
Host is up (0.048s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 7.60 seconds
~# nmap 13.248.169.48
Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-07 10:39 CEST
Nmap scan report for a904c694c05102f30.awsglobalaccelerator.com (13.248.169.48)
Host is up (0.044s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 7.76 seconds
Ce serveur ne répond pas sur le port 465.
Bonjour,
ce domaine existe mais est mis en vente sur afternic.
Vous avez vérifié la configuration d'autre programme (genre "mail" qui est intégré à windows) ?
Cordialement, janus57
J'utilisais courrier et je ne voulais pas de outlook j'ai laissé tomber pour utiliser thunderbird.
Mais je vais regarder de ce côté là.
j'ai ouvert courrier qui m'a renvoyé sur Outlook bien sûr en me demandant de configurer mes boites j'ai fait pour la boite OVH les serveurs sont bon.
Je vais voir si je continue d'avoir l'alerte, je vous tiens au courant.
Bon c'est toujours pareil j'ai fermé et rouvert le PC mais toujours l'alerte.
Je vais aller voir côté Malwarebytes.
Merci à vous 2 je vous dirai ce qu'il en est.
Bonjour @Fritz2cat et @janus57
Un nettoyage du pc et ça a disparu, ou peut-être un hasard avec une mise à jour de MBAM qui aurait réglé le problème.
Merci à vous
bizarre ce truc qui invente un nom de serveur...
encore un mystère de l'informatique 😁
Oui très bizarre, de plus ça a fini par disparaitre sans trouver vraiment la cause de ce soit disant domaine.
C'est le jour des entrechats
