Tentative d'intrustion C:\WINDOWS\Explorer.EXE

[nelfox5]

Bonsoir à tous!

 

Bon voila depuis quelques heures j'ai un joli message "tentative d'intrusion bloquée" de kerio qui s'affiche sans arrêt:

Détails techniques sur l'intrusion :

 

Application injectrice : C:\WINDOWS\Explorer.EXE(new line)

Description : Explorateur Windows(new line)

Version du fichier : 6.00.2800.1221 (xpsp2.030511-1403)(new line)

Produit : Système d'exploitation Microsoft® Windows®(new line)

Version du produit : 6.00.2800.1221(new line)

Créé le : 2003/5/29, 09:49:48(new line)

Modifié le : 2003/5/29, 09:49:48(new line)

Dernier accès le : 2007/3/21, 20:07:59

 

Application cible : C:\PROGRA~1\MOZILL~1\FIREFOX.EXE(new line)

Description : Firefox(new line)

Version du fichier : 1.8.1.3: 2007030919(new line)

Produit : Firefox(new line)

Version du produit : 2.0.0.3(new line)

Créé le : 2005/11/26, 23:56:46(new line)

Modifié le : 2007/3/21, 16:31:46(new line)

Dernier accès le : 2007/3/21, 20:07:41

 

Adresse de l'injection : 0x00160490

 

 

 

Alors comme je suis un homme prévoyant:

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:30:54, on 21/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

c:\program files\a-squared\a2service.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe

C:\program files\valve\steam\steam.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe

C:\Program Files\SpeedFan\speedfan.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\nelson de vos\Bureau\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/be/nlb/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run= C:\WESTWOOD\REDALERT\INSTICON.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"

O4 - HKCU\..\Run: [steam] "c:\program files\valve\steam\steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenPandora.lnk = C:\Program Files\OpenPandora\OpenPandora.exe

O4 - Global Startup: ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe

O4 - Global Startup: RtlWake.exe.lnk = C:\Program Files\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe

O4 - Global Startup: speedfan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\Imapi.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - http://agora.qc.ca/mot.nsf/m_polit.gif?OpenImageResource

O24 - Desktop Component 1: (no name) - http://www.expedia.fr/eta/fltitin.gif

 

--

End of file - 9076 bytes

 

J'ai directement fait plusieurs scannes avec Ad-Aware, AVG, A-Squared, Spybot et ai analysé le dossier C:\WINDOWS avec avast! mais il n'y a que a-squared qui a trouvé: "

c:\windows\system32\scvhost.exe Détecter: Trace.File.StartPage" et ça n'a rien changé à mon problème...

 

Merci d'avance pour votre aide!

 

ps: Est ce que Kerio 4 est encore à jour? Vu que Kerio ne fait plus de firewalls je me pose la question.

Modifié le 21 mars 2007 par nelfox5

[Malekal_morte]

Salut,

 

C'est tout ce qu'il te donne au niveau des informations sur les instrusions?

[nelfox5]

Oui, c'est tout.

Modifié le 21 mars 2007 par nelfox5

[Greywolf]

explorer qui tente de lancer firefox

 

FF est ton navigateur par défaut?

 

tu cliques sur un lien dans une fenêtre gérée par explorer.exe pour lancer FF?

 

//c'est pas vraiment une intrusion mais, au pire, une tentative d'extrusion

[nelfox5]

explorer qui tente de lancer firefox

 

FF est ton navigateur par défaut?

 

tu cliques sur un lien dans une fenêtre gérée par explorer.exe pour lancer FF?

 

//c'est pas vraiment une intrusion mais, au pire, une tentative d'extrusion

 

Firefox est bien mon navigateur par défaut. Pour le lancer j'utilise un raccourci rapide de ma barre des taches. Heu c'est quoi la différence entre intrusion et extrusion? ^^

[Greywolf]

la barre des tâches est un des process géré par explorer.exe.

 

A priori, je penche pour de la paranoïa côté Kerio.

 

Les membres securité en pensent quoi?

 

intrusion : vers l'intérieur

extrusion: vers l'extérieur

[nelfox5]

Je dois me confesser: je pense bien que le problème soit apparu quand j'ai ouvert le fichier install.exe de ce charmant torrent : http://www.mininova.org/tor/626699 ...

 

Je sais que les sujets en rapport avec le p2p sont contraire à la charte mais c'est déja une punition en soit d'avoir ce genre de bestiole sur son ordi, non?

 

...

 

Ok je suis pas crédible mais aidez moi quand meme please ^^

Modifié le 21 mars 2007 par nelfox5

[Malekal_morte]

Je crois pas que le niveau d'instrusions se règle sur Kerio.

 

 

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

[nelfox5]

Voila j'ai bien installé DiagHelp et suivi les consignes mais celui-ci n'ayant rien trouvé il ne m'a pas fait de rapport ni meme demandé de redémarrer...

 

Peut etre devrais je mettre "Explorer.EXE" dans la liste des exeptions d'injection de code... ?

[Malekal_morte]

Non car tu es probablement infecté, enfin il doit rester des choses..

 

Tu as dû mal suivre les consignes pour DiagHelp...

Tu as eu le menu ? si c'est non.. c'est que tu n'as pas décompressé l'archive.. et que tu as double-cliqué dessus... Regarde les consignes.

Si c'est oui regarde si tu as un fichier c:\resultat.txt (Poste de travail --> Disque C --> resultat.txt) - poste le contenu ici.