Intrusion sous Kerio !

voila j'utilise kerio comme pare feu et celui me fait régulièrement des alertes d'intrusion bloqué.
J'ai fais pas mal de recherche, mais rien trouver. si qqun peut m'aider...

C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLAGAC~1\DASHDE~1.EXE(new line)

Bonjour et bienvenue à toi Tomaka

Ton système est infecté ne cherche pas plus loin.
Qu'as-tu comme anti-virus ? Comme logiciels anti-spywares ?
Avec quoi nettoyes-tu tes fichiers temporaires ?

a++

je vois que je n'avais pas poster au bon endroit dsl...

anti-virus-------->avast
anti spyware---->AVG anti-spyware 7.5
nettoyage------->Ccleaner.

au faite, on ma conseiller de vider régulièrement les fichiers se trouvant

C:windows/Prefetch

Est-ce une bonne chose ?

Merci pour votre aide

@+

Salut !

Tomaka a écrit:

Au fait, on ma conseillé de vider régulièrement les fichiers se trouvant dans
C:windows/Prefetch
Est-ce une bonne chose ?

Un sujet explique tous sur la manière de supprimer les fichiers temporaires, en donnant leurs localisations.

En attendant Boulepate tu peux le lire.

Tu le trouveras en te rendant ici : Supprimer, nettoyer les fichiers temporaires

Bonne continuation à toi.

merci pour le conseil, mais mon gros pb reste les intrusions... c'étais juste ne question au passage...

pour info je recoi d'autres types d'intrusion...

les voici...

C:\DOCUME~1\TOMAKA\APPLIC~1\4DENT~1\media camp.exe(new line)

C:\Program Files\Internet Explorer\IEXPLORE.EXE(new line)

Fais ceci


Télécharge lopxp :
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxpMH.bat"
quand il a terminé, un rapport s'ouvre : fait un copier-coller du rapport puis mets le ici

Rapport lopxpMH2 version 2.0 fait à 20:03:09,51 le 26/03/2008
C:\Documents and Settings\TOMAKA\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\All Users\Application Data

13/02/2008 22:30 .
13/02/2008 22:30 ..
13/02/2008 22:16 Adobe
19/02/2008 10:19 Apple Computer
15/02/2008 00:33 Downloaded Installations
21/02/2008 09:29 flag ace stupid data
13/02/2008 22:29 Google
12/03/2008 02:13 Grisoft
10/03/2008 20:48 Lavasoft
09/03/2008 03:12 Macrovision
10/03/2008 21:05 MailFrontier
13/02/2008 22:30 Microsoft
13/02/2008 22:13 Skype
10/03/2008 19:00 Spybot - Search & Destroy
19/03/2008 20:28 TEMP
19/03/2008 20:08 Uniblue
13/02/2008 23:57 Windows Genuine Advantage
14/02/2008 17:48 WLInstaller
13/02/2008 22:30 62 desktop.ini
13/02/2008 22:55 32 ezsid.dat
2 fichier(s) 94 octets
18 Rép(s) 30 427 557 888 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\Default User\Application Data

13/02/2008 22:30 .
13/02/2008 22:30 ..
13/02/2008 22:30 Microsoft
13/02/2008 22:30 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

13/02/2008 22:30 .
13/02/2008 22:30 ..
0 fichier(s) 0 octets
2 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\LocalService\Application Data

13/02/2008 21:38 .
13/02/2008 21:38 ..
13/02/2008 21:38 Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

13/02/2008 21:38 .
13/02/2008 21:38 ..
13/02/2008 21:38 Microsoft
25/03/2008 01:10 69 160 FontCache3.0.0.0.dat
1 fichier(s) 69 160 octets
3 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\NetworkService\Application Data

13/02/2008 21:38 .
13/02/2008 21:38 ..
13/02/2008 21:38 Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

13/02/2008 21:38 .
13/02/2008 21:38 ..
19/03/2008 11:20 Apple
13/02/2008 21:38 Microsoft
0 fichier(s) 0 octets
4 Rép(s) 30 427 545 600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\TOMAKA\Application Data

13/02/2008 21:41 .
13/02/2008 21:41 ..
21/02/2008 09:29 4 dent
15/02/2008 00:57 Adobe
19/02/2008 10:21 Apple Computer
19/02/2008 18:27 DivX
08/03/2008 21:30 EoRezo
13/02/2008 22:13 Google
12/03/2008 02:13 Grisoft
13/02/2008 21:41 Identities
08/03/2008 21:30 ItsLabel
27/02/2008 23:41 K9
13/02/2008 22:36 LimeWire
13/02/2008 22:09 Macromedia
13/02/2008 21:41 Microsoft
13/02/2008 22:29 Mozilla
21/02/2008 19:36 SecuROM
13/02/2008 22:55 Skype
13/02/2008 22:55 skypePM
01/03/2008 20:29 Sun
13/02/2008 22:29 Talkback
19/03/2008 20:08 Uniblue
13/02/2008 22:34 WinRAR
13/02/2008 21:41 62 desktop.ini
1 fichier(s) 62 octets
23 Rép(s) 30 427 541 504 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Documents and Settings\TOMAKA\Local Settings\Application Data

13/02/2008 21:41 .
13/02/2008 21:41 ..
13/02/2008 22:16 Adobe
19/02/2008 10:19 Apple
19/02/2008 10:18 Apple Computer
14/02/2008 00:53 Ares
13/02/2008 22:11 Google
13/02/2008 22:58 Identities
13/02/2008 21:41 Microsoft
13/02/2008 22:29 Mozilla
14/02/2008 00:25 Steam
13/02/2008 21:44 35 328 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13/02/2008 22:43 16 992 GDIPFONTCACHEV1.DAT
06/03/2008 17:44 15 014 hpqaat.dat
06/03/2008 17:44 380 416 hpqaat.exe
06/03/2008 17:45 387 461 hpqaat_nav.dat
06/03/2008 17:44 741 hpqaat_navps.dat
13/02/2008 21:48 4 392 006 IconCache.db
7 fichier(s) 5 227 958 octets
11 Rép(s) 30 427 541 504 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

13/02/2008 21:37 .
13/02/2008 21:37 ..
13/02/2008 21:37 Microsoft
13/02/2008 21:37 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 427 541 504 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

13/02/2008 21:37 .
13/02/2008 21:37 ..
14/02/2008 17:38 Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 427 541 504 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\BD463F729C61B2B2.job


vÇ”ê;‹C¿Šdž¶5ÙÚF Ô <
s  "€!Ø   
5 c : \ d o c u m e ~ 1 \ t o m a k a \ a p p l i c ~ 1 \ 4 d e n t ~ 1 \ F r a g f i r s t m p 3 . e x e  T O M A K A 
0 Ñ   <



C:\WINDOWS\Tasks\MP
MP inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 4065-9100

Répertoire de C:\Program Files

26/03/2008 01:11 .
26/03/2008 01:11 ..
18/03/2008 22:00 Adobe
16/02/2008 16:21 Ahead
14/02/2008 23:32 Alwil Software
13/02/2008 21:48 Analog Devices
13/02/2008 23:51 CCleaner
03/03/2008 20:30 CONEXANT
27/02/2008 20:38 Creative
15/02/2008 01:14 Defraggler
19/02/2008 13:46 DivX
26/03/2008 09:43 eMule
19/03/2008 22:51 Fichiers communs
24/03/2008 23:38 Google
12/03/2008 02:13 Grisoft
25/03/2008 01:19 Internet Explorer
13/02/2008 21:55 Inventel
12/03/2008 02:24 Java
22/02/2008 19:23 KONAMI
13/02/2008 22:37 LimeWire
15/02/2008 03:13 messenger
13/02/2008 21:35 microsoft frontpage
21/02/2008 08:48 Microsoft Office
25/03/2008 01:11 Microsoft Silverlight
14/02/2008 17:06 Movie Maker
26/03/2008 20:01 Mozilla Firefox
03/03/2008 20:57 MSBuild
21/02/2008 08:47 MSECache
13/02/2008 21:33 MSN Gaming Zone
05/03/2008 07:59 MSXML 6.0
14/02/2008 17:05 NetMeeting
15/02/2008 03:12 Outlook Express
09/03/2008 03:03 PowerQuest
19/02/2008 10:20 QuickTime
03/03/2008 20:52 Reference Assemblies
12/03/2008 03:42 RegCleaner
13/02/2008 21:55 Securitoo
13/02/2008 21:34 Services en ligne
13/02/2008 22:14 Skype
15/02/2008 01:36 SLD Codec Pack
25/03/2008 18:34 Steam
12/03/2008 02:52 Sunbelt Software
19/03/2008 20:08 Uniblue
26/03/2008 09:40 Wanadoo
21/03/2008 03:36 Windows Defender
24/03/2008 01:51 Windows Live
14/02/2008 23:48 Windows Media Connect 2
14/02/2008 23:48 Windows Media Player
14/02/2008 17:05 Windows NT
09/03/2008 12:06 WinRAR
13/02/2008 21:35 xerox
0 fichier(s) 0 octets
51 Rép(s) 30 427 525 120 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\TOMAKA\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\CK5KD7KE.DEFAULT\HOSTPERM.1
host popup 1 www.infos-du-net.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/ie

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MealUser REG_SZ C:\DOCUME~1\TOMAKA\APPLIC~1\4DENT~1\media camp.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hpqaat]
command REG_SZ c:\documents and settings\tomaka\local settings\application data\hpqaat.exe hpqaat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MealUser]
command REG_SZ C:\DOCUME~1\TOMAKA\APPLIC~1\4DENT~1\media camp.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

Suite :

* Clic sur démarrer, poste de travail, C:, Windows, entre dans le dossier Tasks et vide le de son contenu.



* Télécharge OTMoveIt sur ton bureau
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double clic sur OTMoveIt.exe
Sélectionne et copie les lignes ci-dessous

C:\Documents and Settings\All Users\Application Data\flag ace stupid data
C:\Documents and Settings\TOMAKA\Application Data\EoRezo
C:\Documents and Settings\TOMAKA\Application Data\4 dent
C:\Documents and Settings\TOMAKA\Application Data\4 d e n t ~ 1 \
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat.dat
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat.exe
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat_nav.dat
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat_navps.dat

Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste Standard List of Files/Folders to move" et choisis "coller".
Clic sur le boutton rouge Moveit et clic sur Exit
Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir l'exécution, si c'est le cas, clic sur "Yes"
Copie et colle le rapport qu'il va te générer ici stp. Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles



* Passe un coup de CCleaner ; nettoyage + erreur



* Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

C:\Documents and Settings\All Users\Application Data\flag ace stupid data moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\EoWeather\images_station_meteo moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\EoWeather\images_classic moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\EoWeather\images moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\EoWeather moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\eoStats moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\eoDesktop moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo\db moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\EoRezo moved successfully.
C:\Documents and Settings\TOMAKA\Application Data\4 dent moved successfully.
Folder C:\Documents and Settings\TOMAKA\Application Data\4 d e n t ~ 1 \ not found.
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat.dat moved successfully.
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat.exe moved successfully.
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat_nav.dat moved successfully.
C:\Documents and Settings\TOMAKA\Local Settings\Application Data\hpqaat_navps.dat moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_191559

Search Navipromo version 3.5.1 commencé le 27/03/2008 à 19:23:35,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "TOMAKA"

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\TOMAKA\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\TOMAKA\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 27/03/2008 à 19:26:29,60 ***

Voila, j'ai donc fais toutes les manips que tu ma demander
J'aimerai te remercier par avance, je trouve ca vraiment bien de pouvoir compter sur des gens comme toi pour aider ceux qui ne s'y connaisse pas tant...

boulpate mon pc est il propre ???

Hello tomaka

Désolé j'avais pas vu tes réponses.
Fais ceci maintenant

Avec Navilog que tu as utilisé, relance le programme et choisis l'option 2. Un rapport te sera donné à la fin de la manipulation, copie et colle le ici stp

Et dis-moi comment va le PC

Salut boulepate, pas de souci, je suis conscient que je ne suis pas le seul a avoir des souci...
Sinon me PC se porte a merveille deja avant de faire la manip

Voila le rapport

Clean Navipromo version 3.5.1 commencé le 02/04/2008 à 0:17:41,46

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "TOMAKA"
Actual User Account : "TOMAKA"

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\TOMAKA\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\TOMAKA\menudm~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\TOMAKA\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\TOMAKA\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 02/04/2008 à 0:22:06,76 ***

C'est ok, tu peux désinstaller Navilog via ajouter/supprimer des programmes

N'hésite pas en cas de problème

Encore un grand merci !!!