Composant Kernel Win32 - Sygate 5.6

Bonsoir regis59,

Papy Roger a fait de son mieux, voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 19:56:05, on 18/10/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\JAVASOFT\JRE\1.3.1\BIN\JAVAW.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPBPRO.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\MSAGENT\AGENTSVR.EXE
C:\WINDOWS\SYSTEM\ZSPOOL32.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACRORD32.EXE
C:\WINDOWS\NETDDE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.illiclic.com/clavier1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.fr/forum/LaunchApp.CAB

J'espère ne pas avoir fait de bêtise et que ce sera exploitable...
Si problème, n'hésite pas à rappeler Papy Roger à l'ordre...

Aller, bon courage... car pour moi c'est du chinois !

Sincères remerciements et à plus de te lire après cette... bonne digestion...

Roger

Bonjour regis59,

Les lignes R1 et O16 ont été cliquées et "fix checked".

Voici le rapport de de BitDefender :

BitDefender Online Scanner - Real Time Virus Report



Generated at: Wed, Oct 19, 2005 - 10:46:13


--------------------------------------------------------------------------------





Scan Info



Scanned Files
138336

Infected Files
0








Virus Detected



No virus found.











--------------------------------------------------------------------------------



This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

J'avais analysé mon PC avec :
Ad-Aware SE Personnal : juste quelques cookies que j'ai supprimés.
Spybot Search & Destroy : aucun spyware détecté.
Cwshredder : aucun spyware détecté.

En tapant ce message, je viens de subir "la fameuse" fenêtre de harcèlement... mais peut-être faut-il que je redémarre mon pC pour qu'il prenne en compte le fait d'avoir "neutralisé..." les 2 lignes R1 et O16...?
Le problème est-il toujours là ?

Si dans le rapport HijackThis tu vois des tâches inutiles qui, à ton avis, peuvent être supprimées n'hésite pas à me le suggérer.

Je t'en souhaite bonne réception et, très sincèrement, je te présente mes meilleurs remerciements.

Roger

Bonjour regis59,

Voici le Hijack This demandé :

Logfile of HijackThis v1.99.1
Scan saved at 13:39:03, on 19/10/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\JAVASOFT\JRE\1.3.1\BIN\JAVAW.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPBPRO.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS 199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=040C&s=search
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

A ton ps, je puis dire, volontairement, non.
Mais, il m'est arrivé en faisant des recherches avec des mots clés pour limiter le nb de réponses de tomber sur des sites X. Ce phénomène était asez fréquent avec le moteur de recherche MSN, je dis bien était car je ne l'utilise plus.

Bon courage et merci pour ton aide.

Papy Roger

Re bonjour Régis,

Et bien c'est toujours pareil...

Mais...!
J'ai pris le taureau par les cornes... ce qui explique mon silence car, quand je t'aurai expliqué, cela m'a pris pas mal de temps pour exploiter les résultats et... il y en a !

Dans ma barre des tâches, j'ai fait un clic droit sur l'icône de Sygate Personal Firewall 5.6, sélectionné "Log" puis fait afficher le rapport du "Journal Traffic".
Et c'est là que je me suis faire cuire les yeux !
J'ai réussi à le récupérer dans Excel et là j'ai pu faire des tris, des extractions, des comptages et etc... etc...

Voila le résultat des courses :
Entre 12h52 et 14h25, j'ai été attaqué par :
- 1895 évènements entrants qui ont été bloqués,
- ces évènements sont constitués par 297 IP,
- dont 15 ont essayé par plus de 10 fois d'enter.

Voici les 15 IP et le nb de fois ou elles ont "attaqué" :

61.153.143.61 11
218.89.0.227 12
203.45.144.104 13
60.191.129.114 15
61.188.11.108 15
220.164.144.186 22
61.132.74.159 29
61.132.74.66 44
219.148.126.141 71
211.144.92.104 89
177.246.208.127 103
218.66.104.207 225
222.241.95.14 235
220.168.156.70 244
220.164.140.227 345

Et... la cerise sur le gâteau !
Maintenant, je suis quasiment formel.
C'est bien l'IP [10.49.110.1] qui continue à m'enquiquiner !

Elle a tenté d'entrer par 5 fois entre 13h08 et 14h21.
Voici ce que me dit Stygate sur cette IP :

Nombre de tentatives 5
Date 19-oct-05
Heure 1 13:09:06
Heure 2 13:21:25
Heure 3 13:31:23
Heure 4 14:18:42
Heure 5 14:22:15
Action Bloqué
Sévérité 10
Direction Entrant
Protocole UDP
Hôte Distant 10.49.110.1
MAC Distant 00-00-CA-B9-2E-B7
Port Distant 67
Hôte Local 255.255.255.255
MAC Local FF-FF-FF-FF-FF-FF
Port Local 68
Nom de l'Application C:\WINDOWS\SYSTEM\kernel32.dll
Nom d'Utilisateur Roger BASSET
Domaine OEMWorkgroup
Sécurité Normal
Occurrences 1 2
Occurrences 2 1
Occurrences 3 2
Occurrences 4 1
Occurrences 5 1
Heure de Début 1 13:08:03
Heure de Début 2 13:20:22
Heure de Début 3 13:30:17
Heure de Début 4 14:17:41
Heure de Début 5 14:21:12
Heure de Fin 1 13:08:03
Heure de Fin 2 13:20:22
Heure de Fin 3 13:30:17
Heure de Fin 4 14:17:41
Heure de Fin 5 14:21:12
Nom de la Règle GUI%GUICONFIG#SRULE@APPCONFIG-UDPLOCAL#C:\WINDOWS\SYSTEM\kernel32.dll

Voila toutes les analyses que j'ai réussi à me payer avec Excel.

Maintenant, LE Hic :
- est-ce l'IP qui m'enquiquine ?
- ou est-ce mon PC qui a une "chtouille" qui va l'appeler ?

Et..., mon pauvre Régis, c'est là que je compte sur toi !

As-tu assez de renseignements ou veux-tu, également que j'essaie par :

http://www.dnsstuff.com/

pour que je te donne des informations sur cette adresse IP ?

Bon, ben, comme je l'avais déjà dit, je suis plus doué en informatique bureautique que dans le hard, j'espère avoir extrait des informations qui te seront utiles.

Je te laisse donc méditer avec ces derniers renseignements et, s'il en faut plus, n'hésite pas à demander.

Régis, je te renouvelle mes plus sincères remerciements.

A bientôt de te lire.

Roger

Bonjour moe31,

Oui, c'est vrai... il y a beaucoup de China !...

Mais l'IP qui m'enquiquine : [10.49.110.1],
elle... elle vient de :

IANA
4676 Admiralty Way, Suite 330
Marina del Rey
CA
90292-3393
US

Ce sonts les States...

Voici le résultat de DNS Stuff :

WHOIS results for 10.0.0.0
Generated by www.DNSstuff.com
Location: [Private IP]

Looking up 10.0.0.0 at whois.arin.net.

NOTE: More information appears to be available at IANA-IP-ARIN.

Using 0 day old cached answer (or, you can get fresh results).
Displaying E-mail address (use sparingly -- this will make it more likely that you will trigger our rate limiting system).


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 10.0.0.0 - 10.255.255.255
CIDR: 10.0.0.0/8
NetName: RESERVED-10
NetHandle: NET-10-0-0-0-1
Parent:
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2005-10-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Bonne cogitation, c'est-elle qui me crée problème.

Sincères remerciements à toutes et à tous.

Papy Roger

Bonsoir Moe31 et Régis.

Moe, je suis allé sur ton lien et... bon si ce n'est pas la même adresse IP cela ressemble fort à mon problème... effectivement.

Régis, Moe je m'en remets à vous pour prendre une décision car moi je ne suis pas assez "callé" en la matière.

Si j'ai bien compris... je risque de perdre mon IP ?

C'est GateWay qui génère les IP ?
Si oui je marche sinon "becareful" !!
Hum... avec Chello (UPC) je n'en suis pas maître et ils la change de temps en temps (pourquoi...? That is the question !).

Do you agree with the solution... to allow Component Kernel Win32 (kernel32.dll) to connect itself on the net ?

What do you think about ?

Thanks.

Roger

Bonjour moe31,

bon... ben voila...
Démarrer > Exécuter > Command (Win98 SE) > OK > tracert www.google.fr + entrée

A aucun moment je n'ai vu apparaître l'adresse [10.49.110.1].
Problème, lorsque le scanning est terminé, j'ai perdu les lignes du haut.
J'ai lancé 4 fois le programme tracert et... jamais vu apparaître la fameuse adresse.

J'ai essayé de passer en plein écran, mais je n'ai plus la barre d'outils et... je ne sais pas comment faire pour la faire réapparaître !

Donc... pas de Copier/Coller... pour le moment tu devras me croire sur parole... désolé.

Je te présente mes plus sincères remerciements et... désolé de ne t'en fournir plus.

A bientôt de te lire.

Papy Roger