Forum Clubic

[Resolu] Presence de 2 Processus kp4gui.exe - Kerio FW/Log HijackThis Inside

Bonsoir a tous/toutes,

Encore une fois, j’ai tente de faire au plus concis dans le topic.

Voici donc 2 screenshots plus parlant (et neanmoins partiels mais focalises sur ce qui pose probleme a mon sens) de mon gestionnaire de taches (via Starter car je n’aime pas beaucoups le gestionnaire de taches win XP standard) dans lesquels je surligne l’un puis l’autre des processus cites “identiques” ( et reconnu comme tels bien que vous noterez vous memes quelques differences de l’un a l’autre en utilisation memoire notamment).

Le Premier:
http://img397.imageshack.us/img397/397/screen1dz9.jpg

Le Second:
http://img387.imageshack.us/img387/7/screen2zh7.jpg

Les 2 processus semblent bien etre identifies comme issu du meme dossier et comme appartenant a Sunbelt Kerio Firewall GUI (voir le bandeau inferieur d’information) mais les modules et handles sont differents pour chacun.

J’aimerais donc savoir si c’est normal pour Kerio ou annonciateur d’un virus ou autre salete maquillee, afin de pouvoir me lancer dans des recherches approfondies ou non.

En tentant de desinstaller/reinstaller Kerio, les 2 processus etaient bien de retour (mais je n’avais plus aucun KP4gui.exe present visible en tout cas entre les 2).

Les premiers checks usuels avec Spybot S&D, Adaware PE, Avast n’ont rien revele d’anormal, je m’en vais passer ewido, rootkit revealer et hijackthis d’ici peu pour tenter d’isoler un eventuel probleme.

En attendant, si l’un de vous a rencontre le probleme ou y a deja ete confronte, voir a une idee ou une piste exploitable pour remedier a ce qui ressemble drolement a un probleme :riva: , je suis ouvert a vos suggestions.

D’avance, merci.

P.S. : Ma config si ca peut aiguiller :
Athlon 64 4800+ X2 (si jamais le fait d’avoir un double core pousse le FW a pondre un second processus, en cas de known bug bien que je n’ai rien trouve la dessus)
Win XP SP2

Apres un passage de Ewido & Icesword en plus des autres cites, toujours rien d’anormal, voici donc mon log d’HijackThis qui me semble normal aussi (a premiere vue sans etre un grand specialiste).

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\PerSono\perstray.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\Hijackthis 1.99.1 Uk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Program Files\CoreStreet\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Program Files\CoreStreet\SpoofStick\SpoofStick.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\…\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\…\Run: [Launch LGDCore] “C:\Program Files\Logitech\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM\…\Run: [Launch LCDMon] “C:\Program Files\Logitech\G-series Software\LCDMon.exe”
O4 - HKLM\…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM\…\Run: [avast!] “C:\Program Files\Alwil Software\Avast4\ashDisp.exe”
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [OpwareSE2] “C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe”
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Perstray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d’impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1157303301877
O17 - HKLM\System\CCS\Services\Tcpip\…\{04FAE5F9-3F32-4B70-A141-0F8F79C5C40C}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS3\Services\Tcpip\…\{04FAE5F9-3F32-4B70-A141-0F8F79C5C40C}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSN Messenger\msgrapp.dll” (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Tout semble fonctionner normalement outre ces 2 GUI.exe, et force est de constater en testant que lorsque je desactive Kerio FW via son propre menu; les 2 sont desactives , et reviennent lorsqu’il est reactive.

Je precise que j’utilise la version freeware du FW (passee la periode d’essai de 30 jours) et meme si tout parait normal ou presque, dans le doute la presence de ces processus est genante a l’oeil (un coup a revenir a ZA pro), il m’etonnerait que je pousse plus loin l’experience dans le doute.

Voila ma seule et derniere tentative de up, afin d’en avoir le coeur net au cas ou, si l’un de vous a une idee, d’avance merci.

Bonjour,
Tu t’en fais beaucoup pour rien. Dans le gestionnaire des taches, kpf4gui.exe est utilisé par le SYSTEM l’autre par l’utilisateur actuel :neutre:
Les utlisateurs de kerio ont ces 2 processus simultanés.

Torque Roll, je te remercie beaucoups de ton aide, et bien sur c’etait ca.
On m’a aiguille sur un autre forum (faute d’avoir une reponse ici j’ai tente le coup persuade que c’etait un bug/troyen/keyloogger bien mechant) egalement vers cela et apres verification c’etait ca :ange:

J’ai cherche et soupçonne la presence d’un processus maquille offensif en considerant par automatisme que les processus etaient les memes sans meme chercher a faire la difference entre processus SYSTEM et Utilisateur, pour la bonne et simple raison que je n’avais plus aucun affichage dans la colonne utilisateur de mon gestionnaire de taches windows (un probleme visiblement rencontre par pas mal de monde apres winupdate d’une fresh install selon google).
Le screenshot qui suit est plus parlant sur le sujet, voila les choses en l’etat lorsque j’ai poste (ajoute a cela que starter le logiciel que j’utilise depuis pas mal de temps en remplacement du gestionnaire de taches windows n’affiche pas ces infos utilisateurs/systeme et la force de l’habitude m’a fait oublie totalement que la nuance existait et c’est pourtant elementaire).

http://img505.imageshack.us/img505/4627/20061109203348zp4.jpg

Il suffisait donc de retablir l’affichage des infos dans cette colonne pourtant deja existante et (vide) en passant par la commande services.msc puis en retablissant le fonctionnement de “Services Terminal Serveur” dans la liste des services Windows pour remettre cela en fonction.

Mea culpa d’avoir ete paranoiaque, j’ai cherche une journee la source du processus cache/troyen sans la trouver (et pour cause)…
J’espere au moins que cette preuve de ma betise servira a d’autres si recherche google sur le theme il y a, ca leur fera gagner du temps (c’est le moins qu’on puisse esperer au terme de cela).
Dans la foulee, j’aurais aussi appris a me servir correctement de regdelnull, Icesword et Darkspy, voyons le bon cote des choses…

C’etait vraiment elementaire, mais sans qu’on pointe le doigt sur cela, j’aurai pobablement continue a chercher du mauvais cote des semaines :riva:

Encore une fois, merci donc :smiley:

Pas de soucis, mais c’est un bon point de s’interresser aux processus qui tournent sous windows et ton approche n’etait pas totalement fausse, car effectivement, des virus reprennent le nom d’utilitaires connus.
Pour ma part, j’ai Kerio sur un de mes PC, c’etait facile pour moi de te renseigner.

bye

Salut a tous,

j’ai le même problème mais je n’arrive pas a rétablire le fonctionnement de “Services Terminal Serveur” dans la liste des services Windows .

Quelqu’un connaitrait-il la démarche à employer?

Merci d’avance :slight_smile: