megataupe

Bonjour John . Il ne faut pas t'inquiéter si ton firewall fait son job car, comme tu peux le voir ci-dessous, j'ai eu 2558 demandes de connexion (de mon FAI surtout) pour la seule journée d'hier. 04/11/05,23:37:36 D-2558 '+TCP : Block incoming co' 83.198.15.181 Quant il y a lieu de s'inquiéter (et encore), c'est lorsque les tentatives de connexion sont répétées en UDP ou ICMP (tentatives de scan par exemple) et proviennent d'une IP inconnue, que l'on peut vérifier ici : WHOIS les autres sont sans réel intérêt et font partie du traffic normal.

Bonsoir ngchrist . C'est un pote à Kazaa qui cause les mêmes effets. S'il est présent sur le rapport HijackThis, il vaut mieux que tu postes le rapport pour qu'on en fasse une analyse avant nettoyage des cafards .

Salut Tesgaz . tu ne peux mieux dire car, si tu coches la case block new and changed applications, tu ne peux même pas lancer une commande cmd dans exécuter. Un vrai rottweiler le Pire Gardien .

Ben, je t'ai indiqué la procédure à suivre dans le post au-dessus .

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Installe Hijackthis dans son propre dossier (C: Program Files HijackThis par exemple) Redémarre l'ordinateur en mode sans échec (touche F8 ou F5). Assure toi d'avoir accès à tous les fichiers par la commande suivante : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present (si tu n'as pas mis toi même de restrictions dans IE) O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b- O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked" - Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\Program Files\Copernic (supprimer le dossier) --- C:\WINDOWS\web\related.htm (supprimer le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.. Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon) Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 568381[/snapback] 581065[/snapback]

Bonjour ange. Si personne n'est disponible, je regarderai ton rapport dans 15 mn .

Bon, un peu de lecture devrait clarifier tes interrogations si tu as bien un modem/routeur ? : Routeur puis, tu fais par démarrer/exécuter la commande suivante : cmd puis ok et tu colles la ligne suivante netstat -r tu valides par Entrée et là tu pourras vérifier si tu as bien un routeur actif Pour vérifier les ports actifs sur ton PC et les IP, tu charges Port Explorer ici (gratuit 30jours) : Port Explorer Pendant l'installation, tu choisis le français comme langue puis, tu lances Port Explorer et tu pourras voir tout ce qui entre et sort de ton PC.

Salut Nestor. Ben, si tu avais encore des doutes sur les méthodes de Symantec, te voilà maintenant édifié. Cela dit, tu aurais beaucoup mieux fait de choisir Look'n'Stop, un firewall bien français qui ne demande que de payer une licence à durée illimitée ou passer à Outpost free si tu n'es pas riche .

Bonsoir ngchrist. C'est un antispyware très douteux qu'il vaut mieux désinstaller dans ajout/suppression de programmes (stopper le processus dans le gestionnaire des tâches par la combinaison Ctrl+Maj+Ech s'il est actif).

Bonjour Rinbaut. Si tu veux communiquer à Microsoft la vue des entrailles de ton PC , tu trouveras sous ce lien de quoi satisfaire les mouchards de Billou : MBSA perso, je trouve cet outil totalement inutile si tu fais tes mises à jour de façon régulières.

Salut BipBip . Tu bosses aussi en privé . Claire est entre de bonnes mains même si elle n'est pas dans le bon forum.

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre l'ordinateur en mode sans échec (touche F8 ou F5). Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes : O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...3/OCI/setup.exe O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon) Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 568381[/snapback] 581065[/snapback]

Bon, pour le SP2 voir ici : Parefeu XP2 pour le SP1 : Pour désactiver ou activer le pare-feu (firewall) activé automatiquement par windows XP. Dans poste de travail cliquez sur panneau de configuration, puis sur connexions réseaux. Dans connexions réseaux, cliquez droit sur la connexion que vous utilisez, cliquez sur propriétées puis sur avancé. Dans l'onglet avancé, il ne vous reste plus qu'à décocher la case de pare-feu connexion internet (ou a la cocher si vous voulez l'activer).

Bonjour Itachi. Je crois en effet que cet excellent tutorial sur Kerio devrait résoudre tes problèmes : Tutorial Kerio

Bonjour Nestor. Merci de tes bonnes intentions mais désolé de te décevoir car si tu estimes pouvoir éliminer les nouvelles véroles avec ta procédure et à l'aide d'outils bien connus (et appréciés hors réelle infection), sans passer au préalable par HijackThis, permets moi de te dire que tu fais totalement fausse route et que tu risques d'induire en erreur l'internaute qui suivrait tes conseils à la lettre.

Salut Mig3. Le plus simple est d'éliminer les doublons avec un éditeur de texte. Ensuite, tu enregistres le fichier en hosts.txt, tu l'importes dans le dossier etc, tu supprimes l'ancien (désactiver lecture seule pour le faire) et tu renommes ton hosts.txt en hosts que tu remets en lecture seule. Tu peux aussi utiliser HostsMan pour éliminer tes doublons : HostsMan

Re. A mon avis, si tu leur as installé Firefox sécurisé avec adblock et NoScript et si tes amis ne sont pas adeptes des sexofolies , Kerio fera très bien l'affaire. Pour plus de sureté, j'ajouterai ProcessGuard car Kerio n'est pas très performant pour ce qui est du contrôle des applications. Règlages ProcessGuard Process Guard

Bonjour. Voici ce qu'en dit Kerio : Edition gratuite limitée Kerio Personal Firewall est GRATUIT pour l'utilisation personnelle et privée. Pour l'utilisation en entreprise, veuillez vous référer aux conditions de paiement et de licence Pour les usagers privés, Kerio Personal Firewall 4 est disponible en deux versions - l'édition complète et l'édition gratuite limitée. Après installation, KPF fonctionne comme l'édition complète durant 30 jours, ensuite il devient la version limitée gratuite. La version limitée gratuite ne propose pas les capacités de filtrage telles que le blocage des fenêtres pop-up, publicités, scriptes VB, cookies, etc. et autres accessoires supplémentaires. Veuillez consulter la table de comparaison pour plus de détails. edit : Kerio Personal Firewall 4 Dernière version: 4.2.2 Date de la sortie: Le 18 octobre 2005 Dimensions du fichier: 5.3 MB Attention: Kerio Personal Firewall sera arrêté au mois de décembre 2005. Il sera supporté durant 2006, cependant aucune nouvelle fonctionnalité ne sera développée.

Je persiste à penser que tu n'as pas bien configuré L'n'S car, j'obtiens ceci au scan de Zébulon : Ports TCP ouverts Aucun port détecté Ports TCP fermés Aucun port détecté Ports TCP masqués 21 ftp Utilisé pour le transfert de fichier entre ordinateurs 22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée 23 telnet Utilisé pour obtenir un shell distant 25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. 79 finger Permet de connaître diverses informations relatives à votre profil 80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port 110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port. 113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué 119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet 135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft 139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local 143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port. 389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne 443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger 445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe 1002 N/A Port non standard 1024 N/A Port réservé 1025 N/A Port non standard 1026 N/A Port non standard 1027 N/A Port non standard 1028 N/A Port non standard 1029 N/A Port non standard 1030 N/A Port non standard 1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting 5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

Bonsoir bogues007. Il s'agit d'un faux positif de Spybot qui scanne le fichier hosts et tire sur tout ce qui peut ressembler à un spyware (une URL du genre 127.0.0.1 lop.com qui se trouve dans ton fichier hosts). Pour éviter ces faux-positifs, il vaut mieux désactiver l'option vérifier le fichier hosts dans Spybot.

Bonsoir jgo17. Pour les ports 80 et 443, il serait mieux de paramétrer les services (notamment Webserver) comme indiqué sur le site de Tesgaz Tesgaz (services) Pour le port 113 (bis repetita), c'est normal qu'il soit indiqué fermé si le parefeu est Zone Alarm (voir ici) Port 113 et ZA De plus, un petit coup de Zeb Protect ferait du bien à ton PC : Zeb Protect

Bonjour à tous . Si Look'n'Stop est configuré au minimum avec le jeu de règles évoluées actif, le test stealth sur PC Flank doit ressembler à ça : Packet' type Status TCP "ping" stealthed TCP NULL stealthed TCP FIN stealthed TCP XMAS stealthed UDP stealthed Recommendation: Your computer is invisible to the others on the Internet! Si ce n'est pas le cas, c'est qu'une ou plusieurs règles ont été modifiées. Tests de PC Flank ici : Test PC Flank

--corrigé, merci --

Le dernier jeu fourni par Phantom est celui qui est sur le premier post Regles Phantom's le fichier txt est à renommer en .rls pour être chargé dans L'n'S. Ce jeu de règles prévoit toutes les attaques possibles, connus et même inconnus mais, si tu n'es pas en réseau ou que tu ne fais pas de jeux en réseau (Phantom n'apprécie pas ), ne modifie aucune des règles chargées.

Bonjour Sacles, bonjour à tous . Pas d'inquiétude inutile sur ces deux "alarmes" car, c'est l'IP de ton FAI qui est tracée et de plus ICMP code 3 sert pour renvoyer l'info "erreur" au serveur qui fait une demande d'accés à L'n'S. Quand au reverse DNS lookup, tu peux le faire toi même sur : WHOIS et tu auras de nouveau l'adresse de ton FAI Skynet.be De toutes façons, pour faire un scan en ligne, il faut bien fournir une IP à tester : edit: j'ajoute la description des alertes ICMP type 3 : Type 3 (destinataire inaccessible) Type : 3 Code : 0 à 11 Message : destinataire inaccessible Le code dépend de la cause du problème, respectivement : * 0 : le réseau n'est pas accessible * 1 : la machine n'est pas accessible * 2 : le protocole n'est pas accessible * 3 : le port n'est pas accessible * 4 : fragmentation nécessaire mais impossible à cause du drapeau (flag) DF * 5 : le routage a échoué * 6 : réseau inconnu * 7 : machine inconnue * 8 : machine non connectée au réseau (inutilisé) * 9 : communication avec le réseau interdite * 10 : communication avec la machine interdite * 11 : réseau inaccessible pour ce service * 12 : machine inaccessible pour ce service * 13 : communication interdite (filtrage)