messages d'alertes de parefeu

23/12-2007 à 23:41Bonjour,
Je recois de mon parefeu (Tiny firewall) ce type de message :






S'agit il d'un problème de reglage du parefeu ? A la suite d'une infection par le virus carlton qui m'a causé pas mal de soucis, j'ai augmenté le niveau du parefeu ,et depuis je recois ces alertes a tout bout de champs.
Dans le doute,Je refuse l'accés a chaque fois

J'ai également une fen^tre qui s'ouvre a l'ouverture de mon ordi qui m'annonce que "la modification du registre a été désactivée par votre administrateur" ,or je n'ai rien touché a ce niveau .

Je me demande si je n'ai pas encore une saleté qui traine quelque part.
J'ai fais hier une analyse approfondie de l'ordi via mon antivirus ( OD 32 ) et supprimé des fichiers infectés qu'il avait détecté,et une defragmentation .
Si vous avez des explications merci d'avance .

Modifie par aljol le 23/12/2007 à 23:57:31

----------
Il ne s'agit ni d'affirmer ni de nier,mais de comprendre.

24/12-2007 à 05:26Bonjour,
En effet lorsque tu augmente le niveau de sécurité du parfeu celui ci devient vite pénible mais en fait il fait son boulot
C' est à toi qu' il appartient d' autoriser les connections et les modifications du registre. Il faut savoir que le parfeu ne sert pas d' antivirus mais protège des intrusions. Si tu refuse toute les connections autant ne pas te connecter...
Et si tu refuse les changement de la base de registre, au revoir les mises à jours, les installations de nouveaux logiciels...
A+

24/12-2007 à 10:18Bonjour,

télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
tu as une démo ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Tu verras déjà si tu as des trucs bizarres

quand tu posteras le résultat fais attention de supprimer tes adresse IP qui sont apparentes sur le listed

pour les generic host process bon nombre sont nescessaires àWXP

----------
L'instruction n'étant pas interdite aux imbéciles... J'en profite et j'en abuse !

24/12-2007 à 12:01Bonjour,
Merci pour vos réponses , ci-aprés le rapport hijack

Existe t'il un moyen pour savoir parmi les fénêtres d'alertes celles qui doivent être autorisées ou non ?

BON NOEL et A+

Logfile of HijackThis v1.99.1
Scan saved at 11:51:48, on 24/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\utilitaires\NERO\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\utilitaires\NERO\InCD\InCD.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\UTILIT~1\POP-UP~1\PSFree.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wmplayer.exe
C:\Documents and Settings\alain\Bureau\FreeDial.exe
C:\Program Files\Tiny Personal Firewall\PERSFW.EXE
C:\Documents and Settings\alain\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\utilitaires\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\UTILIT~1\COPERN~1\COPERN~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\wmplayer.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\UTILIT~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\utilitaires\NERO\InCD\InCD.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\utilitaires\NERO\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\UTILIT~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\utilitaires\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\UTILIT~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\UTILIT~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\UTILIT~1\COPERN~1\COPERN~1.EXE
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laroquedacier.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146000890949
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CBA5712-CE38-4A33-956B-0477DFB8AA97}: NameServer = 212.27.54.252 212.27.32.5
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\utilitaires\NERO\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Windows Media Service - Unknown owner - C:\WINDOWS\wmplayer.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

----------
Il ne s'agit ni d'affirmer ni de nier,mais de comprendre.

24/12-2007 à 12:38Bonjour,

Existe t'il un moyen pour savoir parmi les fénêtres d'alertes celles qui doivent être autorisées ou non ?

Il faudrait voir dans les journaux de ton pare-feu à quels domaines appartiennent les adresses IP (en face de "Remote" sur tes captures) qui essaient de se connecter, et les autoriser ou les refuser en fonction...

Tu peux aussi utiliser http://www.geektools.com/whois.php

----------

24/12-2007 à 18:09Bonjour,

Tu as déjà ça: Il faut supprimer

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -C:\UTILIT~1\COPERN~1\COPERN~1.DLL
(c'est un TROJAN)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CBA5712-CE38-4A33-956B-0477DFB8AA97}: NameServer = 212.27.54.252 212.27.32.5
(correspond à un serveur FREE si c'est ton fournisseur alors OK)

Modifie par Novicius le 24/12/2007 à 18:11

----------
L'instruction n'étant pas interdite aux imbéciles... J'en profite et j'en abuse !

25/12-2007 à 01:15Bonjour,
hijackthis logfileauswertung

tappes ca dans le recherche google parceque la je peus pas te donner le lien sur ce forum , ca bloque !
le compte rendu bloc note , tu en fais un copier coller dans cette page et ca te dira si il se trouve des choses pas claires dans ton pc !

25/12-2007 à 09:32Bonjour Novicius
Par curiosité, je m'intéresse au :

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -C:\UTILIT~1\COPERN~1\COPERN~1.DLL
d'aljol.

Comment détermines-tu qu'il s'agit d'un trojan ?
En passant le log Highjack en question à l'analyseur automatique ?

Peut-il y avoir des cas où nous avons affaire à un malware et d'autres où ce R3.....est justifié et ne pose pas de pb.

Bonnes fêtes à tous

25/12-2007 à 10:20Bonjour,

-C:\UTILIT~1\COPERN~1\COPERN~1.DLL

Si le moteur de recherche sur PC "Copernic" a bien été installé, cette ligne peut correspondre à une partie du programme
http://www.copernic.com/fr/

25/12-2007 à 15:00Bonjour,

Tu tapes le truc dans google tout simplement:

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -C:\UTILIT~1\COPERN~1\COPERN~1.DLL

puis tu décortiques tout ce que ça te donne

----------
L'instruction n'étant pas interdite aux imbéciles... J'en profite et j'en abuse !

25/12-2007 à 15:24Bonjour,

URLSearchHook = Page de recherche d'Internet Explorer
(en l'occurence, c'est bien le moteur de recherche Copernic)

Fixer les lignes R3 inconnues
Pour les lignes R3, toujours "fixer" sauf si elles mentionnent un programme que vous reconnaissez, comme Copernic.
http://assiste.com.free.fr/p/logitheque/hjt_r0.php
http://www.zebulon.fr/dossiers/43-2-sections-log-hijackthis.html

----------

25/12-2007 à 18:33Merci Novicius, Galéric et TritOn pour vos réponses

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -C:\UTILIT~1\COPERN~1\COPERN~1.DLL
voilà le R3 en question

TritOn
"Fixer les lignes R3 inconnues
Pour les lignes R3, toujours "fixer" sauf si elles mentionnent un programme que vous reconnaissez, comme Copernic."


Selon Assiste.com
"URLSearchHook dit à Internet Explorer comment gérer les URLs qu'il ne comprend pas. Le contenu de la clé de la base de registre 'UrlSearchHook' est utilisé lorsque vous saisissez, dans la barre d'adresse de votre navigateur, une URL sans indiquer le protocole à utiliser (par exemple "google.fr" au lieu http://google.fr). Internet Explorer va tenter par lui-même les divers protocoles (http, https, ftp...) et, si les DNS lui répondent chaque fois que l'URL n'existe pas, il va utiliser le contenu de la clé "UrlSearchHook" pour accéder à l'url que vous avez saisie. Généralement, ce contenu dirrige vers un programme qui va tenter d'isoler les mots constituant l'URL incompréhensible, s'en servir comme mots clés et lancer une recherche vers la page la plus pertinente du Net avec ces mots clé. Vous pensez bien que les crapules du Net implantent dans votre ordinateur un programme (souvent à cause de la technologie des BHOs) qui va vous dirriger vers leurs propres domaines !"

OK !

Le fait qu'il manque \Program entre -C:\ et UTILIT... indique-t-il que Copernic agent n'est pas installé ?
Remarque: il n'y a aucun caractère "underscore" _ avant ou après. qui permette d'incriminer formellement le R3 en question.

Novicius: j'ai recherché sur Goog des éclaircissements, mais les réponses divergentes n'emportent pas ma conviction.

Bonne soirée

25/12-2007 à 19:20Bonjour Mic,

Le fait qu'il manque \Program entre -C:\ et UTILIT... indique-t-il que Copernic agent n'est pas installé ?

non, pas nécessairement...
Le grand nombre de logs Hijackthis contenant la ligne "R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -C:\UTILIT~1\COPERN~1\COPERN~1.DLL" dans les résultats de recherche Google tend à faire penser que Copernic installe un dossier "Utilit..." à la racine de C: pour y loger, entre autres, sa dll.
En gros, cela veut dire que la dll en question ne se trouve pas dans Program Files (d'où l'absence de la mention Program~1 que tu as notée).

Oups ! erreur de ma part, je reviens sur ce que je viens de dire.
Aljol a dû créer un dossier "Utilitaires" à la racine de C: dans lequel est installé Copernic...
(d'où la mention UTILIT~1 au lieu du PROGRA~1 que l'on peut voir sur tous les logs)

Modifie par Trit0n le 25/12/2007 à 20:41:3

----------

25/12-2007 à 23:45Bonjour,

ou bonsoir plutot ,
Merci pour toutes ces réponses trés interressantes
J'ai bien copernic installé sur mon ordi, et je m'en sert de temps en temps en remplacement de google,(qui a tendance parfois a trop axer les réponses sur le coté commercial ),et il est installé effectivement dans un dossier "utilitaires" (bien vu Triton )
Il n'est donc pas necessaire d'enlever ce R3 ,si j'ai bien compris .
J'ai testé le lien de "Mezig" ,et le rapport obtenu me recommande de fixer les postes ci-aprés :

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Je suis allé voir sur google , et les avis semblent converger pour une suppression ,qu'en pensez vous ?

Bonne fin de soirée ,et A+

----------
Il ne s'agit ni d'affirmer ni de nier,mais de comprendre.

26/12-2007 à 00:37Bonjour,

Pas de problème, pour fixer ces lignes..

26/12-2007 à 11:28Bonjour à tous
"Copernic est installé effectivement dans un dossier "utilitaires" (bien vu Triton )"

Donc le R3...est légitime.
Bonne journée