Sujet Précédent Sujet Suivant

Tentative intrusion intempestive iexplorer.ex

djnatural Messages postés 8 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour à tous,

j'ai un petit problême avec Kerio que je n'arrive pas à résoudre.

Voilà, presque à chaque fois que j'ouvre internet explorer, Kerio 4 ouvre une fenetre et me dit qu'il a bloqué une tentative d'intrusion. Cette tentative d'intrusion vient de iexplorer.exe.

Est ce que quelqun pourrai m'aider?

Merci d'avance

15 réponses

Réponse 1 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir,

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

0
Réponse 2 / 15
djnatural Messages postés 8 Statut Membre
 
Merci pour ta rapidité, voilà le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:05:06, on 21/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp10.photoprintit.de/microsite/5720/defaults/activex/ImageUploader3.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 3 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

pas grand chose d'éloquent dans ce rapport

* Fait un scan antivirus en ligne
https://www.bitdefender.fr/

et copie colle le résultat
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
0
Réponse 4 / 15
djnatural Messages postés 8 Statut Membre
 
ok, merci beaucoup

j'ai fait l'analyse Bitdefender mais à la fin du scan, ça bloque. j'ai en tout 43073 fichiers et ça bloque au 43072: C:\\WINDOWS\

Je l'ai laissé tourner très longtemps, mais rien ne bouge, ça reste bloqué à cet endroit. Sinon, d'après le scan, aucun virus n'a été trouvé jusque là.

merci d'avance pour ta réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
sauf que les malwares, c'est là qu'ils sont quand il y en a
et bitdefender est très long comme scan.

Essaye un scan ailleurs ici par ex

https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T

0
Réponse 6 / 15
djnatural Messages postés 8 Statut Membre
 
Le scan de Panda me signale 3 logiciels espions

voici le rapport, encore merci:

Incident Statut Analyse

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Cam\Cookies\cam@247realmedia[1].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Cam\Cookies\cam@advertising[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cam\Cookies\cam@xiti[1].txt
0
Réponse 7 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ce ne sont que des cookies, rien de bien important.

lance Hijackthis, coche et fixe cette ligne

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/

puis
* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence;
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe

0
Réponse 8 / 15
djnatural Messages postés 8 Statut Membre
 
le logiciel ne détecte aucun fichier, voilà son rapport:

02/21/07 22:35:52 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 22:35:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/07 22:35:53 [Note]: 7019 4
02/21/07 22:35:53 [Note]: 7005 0
02/21/07 22:35:56 [Note]: 7006 0
02/21/07 22:35:56 [Note]: 7011 472
02/21/07 22:35:57 [Note]: 7026 0
02/21/07 22:35:57 [Note]: 7026 0
02/21/07 22:36:03 [Note]: FSRAW library version 1.7.1021
02/21/07 22:44:18 [Note]: 7007 0
0
Réponse 9 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
je pense que ton pc est clean. Règle kerio de manière à ce qu'il fasse son travail en silence, et tu ne seras plus importuné par ces fenêtres.

0
Réponse 10 / 15
djnatural Messages postés 8 Statut Membre
 
Merci beaucoup pour ton aide.
J'ai l'impression que depuis que j'ai fixé la ligne dans Hijackthis, le probleme n'apparait plus.

Par contre, connaîtrais-tu un tuto sur la configuration de Kerio? Parce que je ne sais pas du tout si je suis bien protégé.

Merci d'avance
0
Réponse 11 / 15
djnatural Messages postés 8 Statut Membre
 
En fait, j'ai parlé trop vite, ça recommence...

Si ça peut t'aider, j'ai fait un copié collé du message de Kerio:

Détails techniques sur l'intrusion :

Application injectrice : C:\Program Files\Internet Explorer\IEXPLORE.EXE(new line)
Description : Internet Explorer(new line)
Version du fichier : 7.00.6000.16414 (vista_gdr.070108-1520)(new line)
Produit : Windows® Internet Explorer(new line)
Version du produit : 7.00.6000.16414(new line)
Créé le : 2004/8/5, 08:00:00(new line)
Modifié le : 2007/1/8, 17:08:42(new line)
Dernier accès le : 2007/2/18, 11:26:57

Application cible : C:\Program Files\Internet Explorer\iexplore.exe(new line)
Description : Internet Explorer(new line)
Version du fichier : 7.00.6000.16414 (vista_gdr.070108-1520)(new line)
Produit : Windows® Internet Explorer(new line)
Version du produit : 7.00.6000.16414(new line)
Créé le : 2004/8/5, 08:00:00(new line)
Modifié le : 2007/1/8, 17:08:42(new line)
Dernier accès le : 2007/2/18, 11:26:57

Adresse de l'injection : 0x7E228EAE
0
Réponse 12 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

comme je te le disais, je pense que ce n'est qu'une alerte parmis tant d'autres (-peut être que je me trompe) je vais voir si je trouve qq chose
pour tuto kerio
http://firnustius.free.fr/index.php?menu_id=17.tuto-divers&article=101.Kerio-KPF-4
http://kerio215.free.fr/
http://www.tutoriaux.biz/tutorial_kerio_personal.php

0
Réponse 13 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
je me suis renseignée, et il me faudrait savoir stp

es tu allé sur le net à :

2007/2/18, 11:26:57

ou si tu t'es connecté à ce moment-là.
ou s'il y avait une action quelconque en rapport avec internet?

à suivre.
0
Réponse 14 / 15
djnatural Messages postés 8 Statut Membre
 
hello,

c'est fort possible que je sois allé sur internet à cette heure là ce jour là, rien d'extraordinnaire.

j'ai du surfer mais il ne s'est rien passé du genre dl ou autre chose.

voilà, j'espère que ça peut t'aider.

merci
0
Réponse 15 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

j'ai parlé de ton problème, et visiblement la personne pense comme moi, c'est Kerio qui te dit qu'il y a tentative d'intrusion, donc il fait simplement son travail. Apprend à le paramétrer notamment pour qu'il fasse son travail en silence, et tu ne seras plus importuné par ses messages permanents. Sinon c'est un peu stressant, saoulant et gênant.

0

Discussions similaires

Nous avons détecté une tentative de connexion inhabituelle
Floried0 -
MPMP10 -

3 réponses
Snapchat : Erreur de connexion
PyuPyu1804 -
evan -

103 réponses
Tentative de connexion bloquée (à répétition ! )
Utilisateur anonyme -
Utilisateur anonyme -

1 réponse
manque de ressources a excel
tamarii -
Raymond PENTIER -

10 réponses
Samsung Galaxy A33 5G "réinitialisation non autorisée"
MRL2 -
SATS_fr -

3 réponses