Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonsoir!

 

Voila, j'ai plusieurs soucis avec Zone Alarm et Antivir...

 

Tout a commencé par une suractivité de l'indicateur réseau de Zone Alarm. J'ai cherché une cause mais pas trouvé...

 

Voici le topic de départ dans la section sécurité : http://forum.zebulon.fr/index.php?showtopic=110526 (a lire absolument car tous les détails y sont)

 

Ensuite j'ai remarqué il y a quelques minutes (voir fin du topic de départ) que si je verouille le réseau par Z.A. mon antivivus fait grève... le parapluie antivir se ferme, et en insistant dans mes observations j'ai aussi remarqué que la mention "Antivirguard" dans le panneau de contrôle de base d'Antivir n'a pas le statut "Actif", mais "Unknow"... c'est déja pas normal...

 

Après j'ai coupé la connexion dans "connexions réseau" et j'ai encore remarqué quelquechose... l'indicateur Zone Alarm (qui ne s'arrête plus depuis quelques jours, le problème constaté initialement) ne s'arrête toujours pas!! Alors que NetMeter lui m'a averti qu'il n'y avait plus rien à monitorer! Et Antivirguard (le parapluie) ne se ferme pas cette fois ci!

 

 

Merci pour votre attention, et merci aussi avant de me répondre, de lire attentivement le topic du début de mon investigation car j'avoue être un peu dépassé pour la rédaction de mon problème actuel tant ca me parait illogique et j'ai déja passé beaucoup (trop) de temps en vain jusqu'ici à chercher une explication rationnelle à ces bugs...

Depuis que j'ai téléchargé NetMeter (le 4/12 ca fait même pas une semaine...) j'ai une consommation en DL de + de 250 Mb... rien qu'en venant poster ici et en telechargant quelques utilitaires et programmes conseillés... Ca me parait un peu beaucoup.

 

Ce sont LES raisons qui me poussent à venir vous demander... Est ce que c'est normal? :P Car moi je m'y suis noyé depuis quelque temps déja :P

 

Merci beaucoup d'avance pour votre attention à l'égard de cette satanée machine, qui, décidément malgré mes efforts constants et préventifs en sécurité, ne veut vraiment pas collaborer :P

Modifié par Silfeed

Posté(e) (modifié)

UP! :P Personne n'a d'idée?

 

Je t'en donne une , qui me semble correspondre à ton problème :

 

une bonne partie des logiciels que tu décris sont constitués de "modules" qui communiquent à travers l'adresse IP de loopback 127.0.0.1 .

 

de fait , ils ne communiquent pas entre eux à travers des fichiers sur le disque , mais à travers un socket TCP , voire UDP .

 

Cette activité "réseau" est détectable , elle s'effectue sur l'interface "Ms Loopback Interface" ( 127.0.0.X) .

 

En fonction du logiciel de monitorage réseau , il est possible de n'afficher que le traffic effectif vers l'extérieur , et non ce traffic "virtuel" ( les paquets ne sont pas réellement émis sur le réseau physique) .

 

Dans le cas contraire , cette activité supplémentaire est comptabilisée dans le traffic global , et du fait de cet échange permanent , le traffic mesuré peut sembler curieux, voire inquiétant .

 

 

Du fait de ce mode d'interfaçage par le "biais" de la carte réseau , ce traffic peut être bloqué par un firewall , donc empécher le fonctionnement des modules des logiciels qui utilisent cette manière d'échanger des données .

 

Si tu veux te rassurer , utilise TCPView pour identifier les ports utilisés et l'application qui les ouvre .

 

Donc dans ton cas

1) ZA empêche la liaison entre le programme résident d'antivir et le module maitre du même antivirus -> l'antivirus s'arrête.

2 ) le fait de désactiver la carte réseau ne désactive pas l'interface de loopback -> l'antivirus fonctionne , et ZA voit les paquets sur l'interface de loopback , dumeter non car il monitore le traffic vers l'extérieur et pas les interfaces de bouclage .

Modifié par POLAURENT
Posté(e) (modifié)

Je te remercie beaucoup pour cette explication. Je comprend mieux effectivement le comportement de Zone Alarm et d'AntiVir depuis que j'ai changé AVG Par AntiVir.

 

dumeter non car il monitore le traffic vers l'extérieur et pas les interfaces de bouclage .

 

C'est justement mon problème, en fait NetMeter montre du trafic (externe donc je suppose) et c'est ca qui n'est pas normal...

 

J'ai constament des données visibles par le moniteur, et je n'arrive pas a trouver quel programme demande toujours des données sur le net...

 

Je vais regarder avec la commande Netstat, je la posterai ici et dans sécurité pour votre avis sur le log.

 

Merci beaucoup en tout cas Polaurent, je viens d'apprendre encore un truc :P

Modifié par Silfeed
Posté(e)

la commande Netstat, je la posterai ici et dans sécurité pour votre avis sur le log.

 

Voici ce que j'obtiens en tapant netstat -abnov dans une invite de commande :

 

 

Connexions actives

 

Proto Adresse locale Adresse distante Etat

TCP 85.28.78.18:139 0.0.0.0:0 LISTENING 4

-- composants inconnus --

[systŠme]

 

TCP 85.28.78.18:1050 66.102.7.99:80 ESTABLISHED 3216

C:\WINDOWS\System32\mswsock.dll

C:\WINDOWS\system32\WS2_32.dll

C:\Program Files\Opera\Opera.dll

C:\WINDOWS\system32\user32.dll

C:\Program Files\Opera\Opera.dll

ntoskrnl.exe

C:\WINDOWS\system32\kernel32.dll

[Opera.exe]

 

TCP 85.28.78.18:1100 209.85.135.103:80 ESTABLISHED 3216

C:\WINDOWS\System32\mswsock.dll

C:\WINDOWS\system32\WS2_32.dll

C:\Program Files\Opera\Opera.dll

[Opera.exe]

 

TCP 127.0.0.1:1113 127.0.0.1:18350 ESTABLISHED 1076

C:\WINDOWS\system32\mswsock.dll

C:\WINDOWS\system32\WS2_32.dll

ntoskrnl.exe

-- composants inconnus --

[avgnt.exe]

 

TCP 127.0.0.1:18350 127.0.0.1:1113 ESTABLISHED 1040

[avguard.exe]

 

TCP 85.28.78.18:1043 213.251.136.55:80 TIME_WAIT 0

TCP 85.28.78.18:1047 209.85.135.103:80 TIME_WAIT 0

TCP 85.28.78.18:1057 213.251.138.100:80 TIME_WAIT 0

TCP 85.28.78.18:1058 213.251.138.100:80 TIME_WAIT 0

TCP 85.28.78.18:1059 213.251.138.100:80 TIME_WAIT 0

TCP 85.28.78.18:1062 213.251.138.100:80 TIME_WAIT 0

TCP 85.28.78.18:1074 213.251.138.100:80 TIME_WAIT 0

TCP 127.0.0.1:1025 127.0.0.1:18350 TIME_WAIT 0

UDP 0.0.0.0:1026 *:* 344

C:\WINDOWS\system32\WS2_32.dll

C:\WINDOWS\system32\dpnhupnp.dll

C:\Program Files\MSN Messenger\lcapi.dll

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\kernel32.dll

-- composants inconnus --

[msnmsgr.exe]

 

UDP 85.28.78.18:16501 *:* 344

C:\WINDOWS\system32\WS2_32.dll

C:\Program Files\MSN Messenger\lcapi.dll

C:\Program Files\MSN Messenger\msnmsgr.exe

[msnmsgr.exe]

 

UDP 85.28.78.18:137 *:* 4

-- composants inconnus --

[systŠme]

 

UDP 85.28.78.18:138 *:* 4

-- composants inconnus --

[systŠme]

 

C'est normal ou je dois m'inquiéter? :P

Posté(e) (modifié)

J'ai pensé que ceci pouvait être en cause... :

 

confignetmeteryc1.jpg

 

Depuis que j'ai sélectionné Dial Up only, je ne vois plus rien dans le panneau... Donc c'est pas encore réglé... :P

 

HELP AGAIN! :P

Modifié par Silfeed
Posté(e)

dial-up interfaces, ce sont les connexions PPP du style modem adsl usb ou modem normal

carte réseau, ben comme son nom l'indique. si tu te connectes au net via cette interface en DHCP

 

all interfaces regroupe les deux précédentes et probablement la boucle locale (et comme il peut y avoir du traffic sur lo, c'est peut-être normal qu'il t'affiche une activité)

Posté(e) (modifié)

(et comme il peut y avoir du traffic sur lo, c'est peut-être normal qu'il t'affiche une activité)

 

Merci Greywolf.

Tout d'abord c'est quoi "lo"?

Pourtant en comparant avec d'autres machines je suis le seul a avoir des connexions visibles (ce fameux bruit) en dehors de toute demande par IE ou MSN ou tout programme demandant accès au réseau... :P

Jsuis pas fou je vous assure!

Mon trafic est bien différent de celui du portable de ma mère ou du portable du boulot! Et pourtant j'ai mis exactement la même config que chez moi!

 

Est ce que c'est possible que ca soit a cause du modem "cable" chez moi (alors que les autres sont en ADSL) ??

 

Pfff hében dis donc... je m'y perd moi avec toutes ces notions inconnues :P

Modifié par Silfeed
Posté(e)

lo c'est localhost, la boucle locale sur laquelle écoute les composants de ton antivirus, par exemple.

 

Si tu es en DHCP pour ta connexion, le protocole prévoit qu'il y ait des échanges en cours de bail pour maintenir la connexion.

 

Si tu te déconnectes d'internet, tu as toujours le bruit.

Si tu utilises un sniffer (wireshark par exemple) et que tu écoutes successivement la boucle locale, ton interface ethernet que captures tu?

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...