Bonjour à tous J'ai un problème un peu curieux, depuis hier malwarebytes me bloque un site dont l'adresse ressemble étrangement à l'adresse serveur mail OVH juste le domaine qui est différent onh.net au lieu de ovh.net C'est pour cette raison que je poste ici et le blocage ne se déclenche pas forcément quand je suis sur le navigateur c'est dans System32 que le problème semble se trouver.
J'ai essayé de creuser pour trouver ce qu'il se passe mais sans résultat. Je sais que ça n'a rien à voir avec mon hébergement OVH, enfin je le suppose, mais si quelqu'un a déjà eu connaissance de ce type de problème ou une petite idée concernant ce site onh.net Je craints bien sur une infection ou tentative sur mon pc, pour l'instant je reçois constamment l'information de blocage de ce site.
Ce nom de domaine est à vendre et n'est pas hostile _a priori_. Vous auriez peut-être configuré cette adresse par erreur dans un de vos logiciels
Le hostname ssl0.onh.net résout à l'adresse IP 13.248.169.48 ainsi que 76.223.54.146 qui est la page de landing de GoDaddy. En fait n'importe quel sous-domaine y est associé (wildcard), donc azertyuiop.onh.net c'est pareil.
Pour répondre à Janus, j'ai un peu essayé avec des glyphes différents: xn--ti7clac.net xn--on-5wc.net xn--nh-emc.net
aucun de ces domaines n'existe. Je ne prétends pas avoir essayé toutes les possibilités existantes. Par exemple en cyrillique il y a un 'o' mais pas de 'n' ni de 'h'. Les registres interdisent aussi de créer des noms de domaines où on mélange des glyphes différents (exemple de l'hébreu avec du cyrillique) car c'est à coup sûr pour faire d ela fraude.
J'en reviens à ma suggestion de vérifier vos paramètres dans vos logiciels de mail, à la recherche d'une erreur de votre part. J'ai un peu parcouru les forums de malwarebytes à propos de connexions bloquées et svchost.exe Il y a moyen de perdre pas mal de temps.
-Détails du journal- Date de l’événement de protection: 06/10/2024 Heure de l’événement de protection: 15:34 Fichier journal: c0618984-83e7-11ef-903f-00ff5132cbf3.json
-Informations du logiciel- Version: 5.1.11.133 Version de composants: 1.0.5048 Version de pack de mise à jour: 1.0.90109 Licence: Premium
-Informations système- Système d’exploitation: Windows 11 (Build 22631.4169) Processeur: x64 Système de fichiers: NTFS Utilisateur: System
-Détails du site Web bloqué- Site Web malveillant: 1 , C:\Windows\System32\svchost.exe, Bloqué, -1, -1, 0.0.0, 8EC922C7A58A8701AB481B7BE9644536, 949BFB5B4C7D58D92F3F9C5F8EC7CA4CEAFFD10EC5F0020F0A987C472D61C54B
-Données du site Web- Catégorie: RiskWare Domaine: ssl0.onh.net Adresse IP: 13.248.169.48 Port: 465 Type: En sortie Fichier: C:\Windows\System32\svchost.exe
(end)
J'ai vérifié ma boite mail ovh Thunderbird c'est bien ssl0.ovh.net pour le serveur est elle fonctionne entrant et sortant et je n'ai fait aucun changement ni ajout de boite depuis x temps
Parcontre onh.net existe bien et c'est son ip qui est donné.
-Informations système- Système d’exploitation: Windows 11 (Build 22631.4169) Processeur: x64 Système de fichiers: NTFS **Utilisateur: System** -Données du site Web- Catégorie: RiskWare Domaine: ssl0.onh.net Adresse IP: 13.248.169.48 **Port: 465** Type: En sortie Fichier: C:\Windows\System32\svchost.exe
Vraiment bizarre ce truc. Avec une licence Premium, est-ce possible de demander à Malwarebytes des outils pour traquer ce générique svchost.exe ?
~# nmap 76.223.54.146 Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-07 09:52 CEST Nmap scan report for a904c694c05102f30.awsglobalaccelerator.com (76.223.54.146) Host is up (0.048s latency). Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 7.60 seconds
~# nmap 13.248.169.48 Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-07 10:39 CEST Nmap scan report for a904c694c05102f30.awsglobalaccelerator.com (13.248.169.48) Host is up (0.044s latency). Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 7.76 seconds
j'ai ouvert courrier qui m'a renvoyé sur Outlook bien sûr en me demandant de configurer mes boites j'ai fait pour la boite OVH les serveurs sont bon. Je vais voir si je continue d'avoir l'alerte, je vous tiens au courant.
Bonjour @Fritz2cat et @janus57 Un nettoyage du pc et ça a disparu, ou peut-être un hasard avec une mise à jour de MBAM qui aurait réglé le problème. Merci à vous
