E-Mule: 2 ports UDP et 1 port TCP est-ce normal ?

[HerissonHirsute001]

Bonjour,

Voilà, je vous explique.

En rentrant de vacances mon FAI (Orange) m'a téléphoné pour me prévenir qu'apparemment j'avais reçu ou envoyé (je ne sais plus, à vrai dire, j'avais pas vraiment la tête à écouter ça!) des centaines de mails à mon adresse et que tout cela avait encombré le réseau. Ils m'ont dit aussi qu'il fallait au plus vite changer mes adresses ou mes mots de passe.

En faisant quelques recherches sur internet j'ai cru comprendre qu'on pouvait infiltrer mon ordinateur et en effet se servir de celui-ci comme d'un serveur pour envoyer des milliers de mails à mon nom! J'ai essayé depuis de reconctater Orange mais le technicien qui était certainement un autre que celui qui m'avait contacté la première fois lors de mon retour de vacances, m'a affirmé qu'il n'y avait pas de quoi s'alarmer et qu'aucun piratage n'avait pu être fait sur mon ordi, que les mots de passe ne pouvaient pas être piratés, mes données personnelles (type n° compte bancaire, car je consulte mon compte sur internet et fait quelques virements -rien d'extraordinaire à ça!) pouvaient être difficilement récupérées.

Bref, après quelques recherches sur Internet, j'ai quand même un peu paniqué découvrant de çi de là, l'existence des backdoors, rootkits et chevaux de troie de mauvaise augure (type Rustock). Je précise que j'ai toujours utilisé une suite de sécurité (en plus payante) sur mon ordi plus quelques antispyware gratuits en complément. Bon, peut-être ai-je mal configuré IE pour éviter le phishing et je reconnais que je fais tout en mode administrateur mais de là à craindre le pire!!

La première opératrice d'Orange m'avait demandé si je n'avais pas fait dernièrement un paiement Pay-Pal?
- Si sur E-Bay.
Ou ouvert un courrier avec des caractères incompréhensibles?
- Si, d'une connaissance qui je sais est équipé en Mac (c'est pourquoi, j'avais pensé de prime abord à une incompatibilité entre les machines, rien d'alarmant en somme).

Encore Bref...!
Pour en avoir le coeur net j'ai fait pleins d'analyses de mon ordinateur (antispyware gratuits en tout genre, anti-adware, malware, rootkits, scann en ligne, analyse en mode sans échec, nettoyage des caches, réinstallation d'une suite de sécurité etc.) mais j'ai rien trouvé qui puisse attirer mon attention sauf que dernièrement j'ai constaté par hasard que lorsque je connecte e-mule, ma suite de sécurité me demande l'autorisation pour la connexion d'un port UDP autre que les deux que j'autorise via E-Mule et mon pare-Feu !!! Est-ce bien normal?.

D'autant qu'à chaque fois que je le ferme, ce port change de numéro et inscrit toujours un numéro, qui selon mes recherches sur internet correspond à un port potentiellement dangereux (trojans) comme par exemple aujourd'hui "1049"!!!... Et jamais le même nom de trojan pour tous ces ports!!!!

J'ai aussi fait des analyses en ligne des ports mais là aussi tout est invisible! Mon ordi est bien protégé. J'ai même mis à l'épreuve ma suite de sécurité pour voir si elle laissait passer des trucs, mais là aussi tout est OK!!
Alors qu'est-ce que c'est que ce troisième port qui s'ouvre à chaque connexion?

Avez-vous des réponses? Je deviens parano!!

Merci d'avance.

PS: mon ordi fonctionne sans encombre, pas d'anomalie particulière, pas de bizzarerie particulière aussi! et l'unité centrale ne fonctionne pas à plein régime! Tout semble sain dans son fonctonnement sauf ce problème de port que je ne compends pas!!!!

[HerissonHirsute001]

PS: je suis sur Windows XP SP3 (familial) et E-Mule 0.49b.

[Zone80]

Bonjour HerissonHirsute001

Je peux juste t'apporter une réponse concernant un port UDP aléatoire sur eMule.

Pour être sûre qu'il sagit bien d'un port nécessaire au fonctionnement d'eMule, tu peux agir de cette manière.
Tu te rends dans ton dossier de config d'eMule et tu ouvres avec un éditeur de texte ton fichier Préférences.ini.
Rends toi à la ligne ServerUDPPort=65535 et modifie le nombre 65535 (qui indique l'utilisation d'un port UDP aléatoire) par un nombre tel que 38546 (par exemple).
Lorsque tu redémarreras eMule tu verras bien si ton Firewall te demande l'autorisation d'ouvrir le port UDP 38546. Tu seras certain qu'il sagit bien d'un port eMule et qu'il est lié à son bon fonctionnement.
Vois ici pour des explications sur ce port UDP aléatoire http://emule-inside.net/index_faq.php?page=fr_pref_prefini

J'espère que ça pourra te dépanner

Enjoy

[HerissonHirsute001]

Merci Zone80!

J'ai bien fait ce que tu m'as dit et en autorisant l'ouverture du port 38546 la mule s'ouvre correctement: High Id pour le réseau ED2K et Kad réseaux ouvert. Tout semble marcher correctement. Dans le contrôle des applications de mon pare-feu seuls les 2 ports (que j'ai configurés dans ma mule) et celui-ci sont mentionnés.

Est-ce que je peux laisser comme ça? Est-ce que cela va influer sur la vitesse des téléchargements?

Bref! Cela veut-il dire qu'avant (quand le port était aléatoire: ServerUDPPort=65535), e-mule choisissait des ports qui étaient "infiltrables" par des pirates?  ... du à un rootkit et/ou trojan présent sur mon ordi? 

Merci encore Zone80 pour tes réponses "éclairantes"!. 

[Zone80]

Bonjour HerissonHirsute001

Ton pare feu signale t'il encore, lors de la connexion d'eMule, la tentative d'ouverture d'un port UDP autre que celui indiqué dans Préférences/Connexion ?
Où as tu téléchargé ton logiciel eMule ? Quel site ?
As tu tenté d'analyser ton disque en "mode sans échec" ?
As tu essayé HijackThis ? http://www.hijackthis.de/fr ?

La manip que tu as faite, n'aura aucune influence sur tes téléchargements
Concernant le port aléatoire ouvert par eMule, cela ne signifiait pas que tu étais plus "infiltrable" s'il était connu pour être utilisé par un logiciel Trojan.
Néanmoins je ne dis pas que ton système est clean...

Enjoy

[HerissonHirsute001]

Non, mon pare feu ne me signale plus, lors de la connexion d'eMule, la tentative d'ouverture d'un port UDP autre que celui indiqué dans Préférences/Connexion. (j'ai laissé dans préférences.ini la ligne: ServerUDPPort=38546)

Pour répondre à tes questions j'ai téléchargé e-mule 0.49b depuis un site, m'a-t-il semblé, digne de confiance, genre: emule-project ou emule-france ou 01net.com (je ne me souviens plus exactement!).
j'ai juste remplaçé le fichier emule.exe pour pouvoir conserver mes réglages de l'ancienne version.

Quant aux nettoyage et recherche du pourriciel qui m'aurait infecté, j'ai fait pas mal d'analyses avec différents outils* et ce, en mode sans échec, mode restauration système désactivé et nettoyage des fichiers temporaires avec l'outil CCleaner mais j'ai rien trouvé.

Je connais de nom HijackThis mais je ne l'ai jamais utilisé car en regardant dans les forums, l'usage du logiciel me paraissait un peu compliqué pour moi... Mais, t'as raison avec le lien que tu m'as donné, je vais essayé.


Merci Zone80 et je te redis ça.



(* Ad-Aware antispyware, Spybot, Malwarebytes, RogueRemover, A-Squared free, AVG anti-spyware, TrojanRemove, Norman Malware Cleaner, Dr Web, Sophos anti-rootkit. J'installe même des suites de sécurité en version évaluation, les unes après les autres, pour faire une analyse appofondie de l'ordi sur la base du rapport de http://www.av-test.org/ (site, à-priori ,très sérieux qui teste et classe les meilleurs suites de sécurité du moment avec un classement très interressant) J'en suis à testet F-secure et son outil de recherche et détection antirootkit Blacklight mais je ne trouve rien. Je vais essayé aussi Bitfender (meilleur du classement en terme de détection et d'éradication rootkit).

[Zone80]

Hello HerissonHirsute001

D'ici peu tu seras devenu un spécialiste de la désinfection et un testeur avéré en logiciel de nettoyage 

Tiens nous au courant mais sache que tu devras observer une mise en quarantaine avant de reposter. Juste au cas où tu serais contagieux 

Je déko**e 

Bonne chance et au plaisir de te lire

Enjoy

[HerissonHirsute001]

t'as raison...

...je "psychotise" complètement...! 

Merci Zone80 pour tes précieux conseils!

Je te retourne le compliment: au plaisir de te relire!

Ciao.