A voir également:
- Débordement tampon svchost
- Svchost - Guide
- Un tampon d'encre de l'imprimante est quasiment en fin de vie. veuillez contacter l'assistance epson. - Forum Imprimante
- Réinitialiser tampon encreur epson - Forum Imprimante
- Tampon size limit 20 - Forum TV & Vidéo
- Remise a zero compteur epson - Forum Imprimante
139 réponses
Non, c'est juste un réseau local personnel sans routeur entre 2 PC (IP fixes 192.168.0.1 et 2). Je l'avais déconnecté depuis le début des problèmes sur l'ordi principal, j'ai essayé de le réactivé aujourd'hui. Rien à voir avec mon site qui est hébergé ailleurs (heureusement...).
Je crois vraiment que la faille, c'était netbios qui était ouvert en permanence (in out).
Je crois vraiment que la faille, c'était netbios qui était ouvert en permanence (in out).
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 janv. 2011 à 21:26
15 janv. 2011 à 21:26
Re,
est ce que ce tuto t'apporte quelque chose pour résoudre ce problème :
https://www.vulgarisation-informatique.com/kerio.php
est ce que ce tuto t'apporte quelque chose pour résoudre ce problème :
https://www.vulgarisation-informatique.com/kerio.php
Bonjour,
Oui, je connais ce tuto. Hier j'ai passé l'après midi à consulter toutes les pages web de la planète sur les problèmes de Kerio et de réseau local. Mais bon, la configuration était bonne avant et je ne vois vraiment pas ce qui se passe. Je vois bien dans le journah HIPS les tentatives de ping bloquées, mais je ne vois pas quelle règle les bloque. J'ai mis des alertes sur tout ce qui est bloquant et rien ne se déclenche. J'ai rajouté des filtrages qui autorisent mes adresses IP, ou bien le port 139, mais rien...
Oui, je connais ce tuto. Hier j'ai passé l'après midi à consulter toutes les pages web de la planète sur les problèmes de Kerio et de réseau local. Mais bon, la configuration était bonne avant et je ne vois vraiment pas ce qui se passe. Je vois bien dans le journah HIPS les tentatives de ping bloquées, mais je ne vois pas quelle règle les bloque. J'ai mis des alertes sur tout ce qui est bloquant et rien ne se déclenche. J'ai rajouté des filtrages qui autorisent mes adresses IP, ou bien le port 139, mais rien...
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 janv. 2011 à 12:26
16 janv. 2011 à 12:26
Bonjour,
je n'utilise plus Kerio, ce qui ne me facilite pas la tâche pour t'aider.
Je suppose que redémarrer les 2 ordis ne change rien.
Je suppose aussi que le deuxième ordi se connecte à Internet via le premier.
Je suppose aussi que les 2 ordis appartiennent au même réseau (MsHome par défaut).
Tu es connecté à Internet par Modem ?
Un petit test pour voir l'état de certains de tes ports :
http://www.zebulon.fr/outils/scanports/test-securite.php
Idéalement, tout devrait être masqué.
je n'utilise plus Kerio, ce qui ne me facilite pas la tâche pour t'aider.
Je suppose que redémarrer les 2 ordis ne change rien.
Je suppose aussi que le deuxième ordi se connecte à Internet via le premier.
Je suppose aussi que les 2 ordis appartiennent au même réseau (MsHome par défaut).
Tu es connecté à Internet par Modem ?
Un petit test pour voir l'état de certains de tes ports :
http://www.zebulon.fr/outils/scanports/test-securite.php
Idéalement, tout devrait être masqué.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le PC 1, le principal, se connecte au net via une Freebox sur rj45. Le PC 2 se connecte au PC 1 en rj45, réseau adhoc. L'internet du PC 1 est donc partagée, mais là je ne parle même pas d'internet, juste du réseau local (internet coupé).
Sunbelt désactivé => le réseau fonctionne (ping dans les 2 sens).
Sunbelt activé => Les ping entrants sont interceptés et refusés par Sunbelt.
Le test Zebulon m'indique que j'ai des ports fermés, non masqués. Mais le port 139 est bien masqué, lui, et c'est peut-être le problème. Mais même en ajoutant des règles de filtrage pour autoriser le 139, je n'ai pas de réseau.
Sunbelt désactivé => le réseau fonctionne (ping dans les 2 sens).
Sunbelt activé => Les ping entrants sont interceptés et refusés par Sunbelt.
Le test Zebulon m'indique que j'ai des ports fermés, non masqués. Mais le port 139 est bien masqué, lui, et c'est peut-être le problème. Mais même en ajoutant des règles de filtrage pour autoriser le 139, je n'ai pas de réseau.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 janv. 2011 à 13:41
16 janv. 2011 à 13:41
Re,
ce topic est bien vieux mais il semble bien concerner ton problème :
https://www.generation-nt.com/reponses/partage-fichiers-bloque-avec-kerio-entraide-58708.html
ce topic est bien vieux mais il semble bien concerner ton problème :
https://www.generation-nt.com/reponses/partage-fichiers-bloque-avec-kerio-entraide-58708.html
Oui, j'avais vu ce topic. Mais la dernière version de Sunbelt crèe de toute façon automatiquement une ligne 192.168.0/255.255.255.0 dans la zone sécurisée. Même si on l'efface ou la corrige, la ligne est recrée. Avec cette ligne seule, ça marche plus (ça eu marché), et en essayant d'ajouter des plages 192.168.0.1/192.168.0.255, ça marche pas plus.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 janv. 2011 à 21:40
16 janv. 2011 à 21:40
Re,
il ne coûte pas grand chose de refaire tourner l'Assistant Configuration réseau sur les 2 ordis.
Clique sur Démarrer, puis sur Panneau de configuration, puis double-clique sur Connexions réseau. Sous Tâches, clique sur Créer un réseau domestique ou un réseau de petite entreprise.
2 points me semblent important :
- bien attribuer le même nom
- bien choisir le cas de figure (un accès à Internet via une connexion et un accès via un autre ordinateur du réseau, si je me souviens bien).
Si rien ne change, je te proposerai de changer de parefeu. J'utilise On Line Armor sur mon propre réseau avec W Xp, W Vista et W7 derrière une livebox.
il ne coûte pas grand chose de refaire tourner l'Assistant Configuration réseau sur les 2 ordis.
Clique sur Démarrer, puis sur Panneau de configuration, puis double-clique sur Connexions réseau. Sous Tâches, clique sur Créer un réseau domestique ou un réseau de petite entreprise.
2 points me semblent important :
- bien attribuer le même nom
- bien choisir le cas de figure (un accès à Internet via une connexion et un accès via un autre ordinateur du réseau, si je me souviens bien).
Si rien ne change, je te proposerai de changer de parefeu. J'utilise On Line Armor sur mon propre réseau avec W Xp, W Vista et W7 derrière une livebox.
Bonjour,
Bon, j'ai finalement réussi a reconfigurer Sunbelt pour que l'accès réseau fonctionne (ping + internet), et en interdisant les entrées sur NetBios. Dans tous les tutoriels parlant de réseau sous Kerio/Sunbelt, il est précisé qu'il faut autoriser netbios (file and printer sharing) pour que ça marche. Or, c'est une grosses erreur, car il y a des tonnes d'appels entrants malveillants sur netbios (en tous cas chez moi). Il faut plutôt créer des règles de filtrage autorisant seulement les machines locales à utiliser netbios (port 139).
A propos de mon problème initial maintenant, j'aimerais comprendre si le fait que xvs_ilpop revient tout seul signifie qu'il y a un Malware actif sur le disque (dans les services ?), ou bien s'il est justement possible que xvs_ilop soit injecté depuis l'extérieur par un port ouvert.
Dernière question, j'ai des appels entrants provenant d'une adresse locale 192.168.0.133, alors que mes 2 PC s"appellent .1 et .2. Je ne sais pas ce que c'est que ce .133 (c'est une adresse pingable). Peut être une adresse créee par la Freebox ? Je ne sais pas si je dois autoriser pour le bon fonctionnement du système ou interdire.
Bon, j'ai finalement réussi a reconfigurer Sunbelt pour que l'accès réseau fonctionne (ping + internet), et en interdisant les entrées sur NetBios. Dans tous les tutoriels parlant de réseau sous Kerio/Sunbelt, il est précisé qu'il faut autoriser netbios (file and printer sharing) pour que ça marche. Or, c'est une grosses erreur, car il y a des tonnes d'appels entrants malveillants sur netbios (en tous cas chez moi). Il faut plutôt créer des règles de filtrage autorisant seulement les machines locales à utiliser netbios (port 139).
A propos de mon problème initial maintenant, j'aimerais comprendre si le fait que xvs_ilpop revient tout seul signifie qu'il y a un Malware actif sur le disque (dans les services ?), ou bien s'il est justement possible que xvs_ilop soit injecté depuis l'extérieur par un port ouvert.
Dernière question, j'ai des appels entrants provenant d'une adresse locale 192.168.0.133, alors que mes 2 PC s"appellent .1 et .2. Je ne sais pas ce que c'est que ce .133 (c'est une adresse pingable). Peut être une adresse créee par la Freebox ? Je ne sais pas si je dois autoriser pour le bon fonctionnement du système ou interdire.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
17 janv. 2011 à 16:26
17 janv. 2011 à 16:26
Bonjour,
l'adresse interne de la freebox est atteignable.
normalement, c'est 192.168.0.1
tu y accèdes par ton navigateur (http://192.168.0.1) ce qui te permet de la configurer (et de changer certains réglages).
Ce .133 est suspect.
J'ai déjà fait utiliser ce logiciel pour un cas de suspicion de "passager clandestin") :
Ouvre ce lien :
http://www.laboratoire-microsoft.org/logiciels/13732/ et téléharge le fichier .zip.
Enregistre le sur ton Bureau.
Dézippe le et double clique sur le .exe généré.
Suis les instructions (si tu es d'accord avec la licence)
Autorise les connexions au net si ton parefeu le demande.
En fin d'installation, décoche la case devant Look@Host.
Look@lan va démarrer.
Refuse de télécharger la nouvelle version (tu le feras plus tard si tu conserves le logiciel).
Clique sur Create New profile.
Donne lui un nom (Box) et choisis dans Interface List l'ip de ton PC (celle donnée par ipconfig).
Clique sur Next puis sur Hide pour cacher la petite fenêtre.
Maintenant, il faut identifier toute la liste des ip qui apparaissent.
Il y a ton PC (déjà connu).
Il y a la box (normalement son ip se finit par 1.
Il y a ton autre PC (allume le et connecte le pour voir ce qui se passe quand tu cliques sur refresh).
Y a t-il un intrus ?
===
Je pense que xvs_ilop est injecté de l'extérieur.
Il a encore été modifié ?
l'adresse interne de la freebox est atteignable.
normalement, c'est 192.168.0.1
tu y accèdes par ton navigateur (http://192.168.0.1) ce qui te permet de la configurer (et de changer certains réglages).
Ce .133 est suspect.
J'ai déjà fait utiliser ce logiciel pour un cas de suspicion de "passager clandestin") :
Ouvre ce lien :
http://www.laboratoire-microsoft.org/logiciels/13732/ et téléharge le fichier .zip.
Enregistre le sur ton Bureau.
Dézippe le et double clique sur le .exe généré.
Suis les instructions (si tu es d'accord avec la licence)
Autorise les connexions au net si ton parefeu le demande.
En fin d'installation, décoche la case devant Look@Host.
Look@lan va démarrer.
Refuse de télécharger la nouvelle version (tu le feras plus tard si tu conserves le logiciel).
Clique sur Create New profile.
Donne lui un nom (Box) et choisis dans Interface List l'ip de ton PC (celle donnée par ipconfig).
Clique sur Next puis sur Hide pour cacher la petite fenêtre.
Maintenant, il faut identifier toute la liste des ip qui apparaissent.
Il y a ton PC (déjà connu).
Il y a la box (normalement son ip se finit par 1.
Il y a ton autre PC (allume le et connecte le pour voir ce qui se passe quand tu cliques sur refresh).
Y a t-il un intrus ?
===
Je pense que xvs_ilop est injecté de l'extérieur.
Il a encore été modifié ?
Mon ordinateur principal s'appelle déjà 192.168.0.1, donc la Freebox doit avoir un autre nom. Je ne peux pas y accéder avec ton lien.
Par contre, quand je vais sur http://192.168.0.133, il me demande de m'identifier avec un mot de passe.
Avec Look@LAN, je n'ai que mon PC dans la liste (192.168.0.1), rien d'autre.
***
Pour xvs_ilop, j'ai redonné les autorisations à tout le monde pour voir. Comme je n'ai plus aucune autorisation entrante sur Sunbelt, sauf celles des règles de filtrage spécifiques, je vais voir si ça bouge ou pas.
Par contre, quand je vais sur http://192.168.0.133, il me demande de m'identifier avec un mot de passe.
Avec Look@LAN, je n'ai que mon PC dans la liste (192.168.0.1), rien d'autre.
***
Pour xvs_ilop, j'ai redonné les autorisations à tout le monde pour voir. Comme je n'ai plus aucune autorisation entrante sur Sunbelt, sauf celles des règles de filtrage spécifiques, je vais voir si ça bouge ou pas.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
17 janv. 2011 à 17:27
17 janv. 2011 à 17:27
Re,
tu dois avoir un manuel d'utilisation de la freebox.
il dit quoi pour y accéder ?
Si tes 2 ordis sont connectés et en réseau, il me semble que les 2 ip devraient apparaître.
Mais il est vrai que ta config n'est pas la mienne (connexion à l'autre ordi, pas à la freebox).
tu dois avoir un manuel d'utilisation de la freebox.
il dit quoi pour y accéder ?
Si tes 2 ordis sont connectés et en réseau, il me semble que les 2 ip devraient apparaître.
Mais il est vrai que ta config n'est pas la mienne (connexion à l'autre ordi, pas à la freebox).
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
17 janv. 2011 à 17:31
17 janv. 2011 à 17:31
Re,
tu connais peut être ceci :
https://www.clubic.com/article-89432-1-configuration-freebox-expliquee-detail.html
Visiblement, la freebox et la livebox ne fonctionnent pas exactement de la même manière.
Il te faut tes identifiants et mot de passe de Free.
tu connais peut être ceci :
https://www.clubic.com/article-89432-1-configuration-freebox-expliquee-detail.html
Visiblement, la freebox et la livebox ne fonctionnent pas exactement de la même manière.
Il te faut tes identifiants et mot de passe de Free.
Ma freebox n'est pas configurée en routeur, donc je sais pas si on peut y accéder comme ça par http. J'ai cherché sur le net mais rien trouvé à ce propos.
Sinon, dans LookLan, quand je lance une analyse de 192.168.0.133 il me donne le nom de l'ordi N° 2, et quand j'analyse 192.168.0.2, il trouve rien, aucun résultat. C'est quand même curieux...
Sinon, dans LookLan, quand je lance une analyse de 192.168.0.133 il me donne le nom de l'ordi N° 2, et quand j'analyse 192.168.0.2, il trouve rien, aucun résultat. C'est quand même curieux...
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
17 janv. 2011 à 17:45
17 janv. 2011 à 17:45
Re,
je te laisse regarder ce que tu peux tirer du lien que je t'ai donné.
je te laisse regarder ce que tu peux tirer du lien que je t'ai donné.
Bonjour,
Mes problèmes de réseau et d'IP semblent être rentrés dans l'ordre ce matin.
Par contre, xvs_ilop.dll a de nouveau été modifié (j'avais ouvert les droits hier pour voir). Comme je n'ai plus de port d'ouvert, c'est qu'il doit quand même rester un malware sur le poste (dans les services certainement). Est ce qu'il n'y a pas un moyen de surveiller les accès à une DLL. J'aimerais bien me débarrasser de ce truc même si les symptômes ont pour l'instant disparus avec le SP3.
Mes problèmes de réseau et d'IP semblent être rentrés dans l'ordre ce matin.
Par contre, xvs_ilop.dll a de nouveau été modifié (j'avais ouvert les droits hier pour voir). Comme je n'ai plus de port d'ouvert, c'est qu'il doit quand même rester un malware sur le poste (dans les services certainement). Est ce qu'il n'y a pas un moyen de surveiller les accès à une DLL. J'aimerais bien me débarrasser de ce truc même si les symptômes ont pour l'instant disparus avec le SP3.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
18 janv. 2011 à 20:29
18 janv. 2011 à 20:29
Bonsoir,
le contenu de xvs_ilop.dll est toujours le même ?
Si ni ton antivirus ni MBAM ne décèle rien, il y a peu de chances qu'il y ait un fichier malware.
Mais on va creuser (mais je veux être sur du contenu du fichier).
le contenu de xvs_ilop.dll est toujours le même ?
Si ni ton antivirus ni MBAM ne décèle rien, il y a peu de chances qu'il y ait un fichier malware.
Mais on va creuser (mais je veux être sur du contenu du fichier).
Bonjour,
Voilà le nouveau contenu de xvc_ilop:
aaaa
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]
1SZSXPF3Enhe93rLzoEunw=mPom6KPGioY
(pour rappel, la dernière fois c'était:
aaaa
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU
[e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU
)
Voilà le nouveau contenu de xvc_ilop:
aaaa
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]
1SZSXPF3Enhe93rLzoEunw=mPom6KPGioY
(pour rappel, la dernière fois c'était:
aaaa
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU
[e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU
)
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
19 janv. 2011 à 11:27
19 janv. 2011 à 11:27
Bonjour,
on va voir ce que cette recherche nous donne :
lance ZHPDiag,
clique sur les jumelles pour ouvrir ZHPSearch
coche toutes les case des ruches du registre (en bas à gauche)
coche (dans mode de recherche) registre, détaillé et récursif
recopie ces lignes dans la fenêtre
clique sur la loupe pour lancer l'analyse.
Poste le résultat dans ta réponse.
on va voir ce que cette recherche nous donne :
lance ZHPDiag,
clique sur les jumelles pour ouvrir ZHPSearch
coche toutes les case des ruches du registre (en bas à gauche)
coche (dans mode de recherche) registre, détaillé et récursif
recopie ces lignes dans la fenêtre
xvc_ilop QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ 1SZSXPF3Enhe93rLzoEunw mPom6KPGioY amAL2q8MWKU e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ
clique sur la loupe pour lancer l'analyse.
Poste le résultat dans ta réponse.
