megataupe

Tout dépend ce que tu entends par alertes nombreuses car, sur mon PC, j'en suis à + de 500 en 7 heures de connexion et c'est une moyenne normale. Ne pas confondre tentatives d'intrusion et vérification du réseau par ton FAI, ce qui représente 90% des demandes de connexions enregistrées par le firewall.

Re. Tout dépend si Free t'a attribué une IP fixe sinon, tu devrais avoir une IP dynamique (qui change à chaque connection). C'est certain qu'une IP fixe est plus facilement repérable et donc attaquable, ce qui se traduit par l'activité de ZA. As-tu demandé à Free une IP fixe ? http://adsl.free.fr/admin/ip_fixe.html Vérifie aussi ceci : Dans le menu « Démarrer / Panneau de configuration / Connexions réseau et accès à distance », clic droit sur ta Connexion puis propriétés. Ensuite, dans gestion de réseau, double-cliquer sur « Protocole Internet (TCP/IP) » et vérifier si il y a une adresse IP d'inscrite. Si oui, tu l'effaces et tu coches les deux cases : obtenir une adresse IP automatiquement et obtenir les adresses des serveurs DNS automatiquement. Tout ceci bien sur si tu n'as pas d'IP fixe.

Ca, c'est beaucoup plus normal et il vaut mieux en effet laisser travailler ZA en silence . Tu as vérifié ta nouvelle IP ici ? : http://www.dnsstuff.com/

Ben oui Angélique . C'est assez fréquent hélas car, les FAI ne contrôlent pas les IP qu'ils attribuent et l'on peut très bien se récolter une IP d'un PC zombie (ça m'est déjà arrivé avec Wanadoo), ce qui ne veut pas dire que ton PC est attaqué ou transformé en zombie.

Bonjour à tous. Il s'agit d'une IP d'un PC cracké et active sur le port 53 (le même qu'Ananda). Cette IP est bien celle d'un abonné de Free : Date Source Source Port Target Port Protocol Flags Description 2005-09-30 212.027.054.252 53 2740 17 2005-09-30 212.027.054.252 53 2779 17 2005-09-30 212.027.054.252 53 2802 17 2005-09-30 212.027.054.252 53 2801 17 2005-09-30 212.027.054.252 53 2745 17 2005-09-30 212.027.054.252 53 2750 17 2005-09-30 212.027.054.252 53 2776 17 2005-09-30 212.027.054.252 53 2797 17 2005-09-30 212.027.054.252 53 2796 17 2005-09-30 212.027.054.252 53 2777 17 2005-09-30 212.027.054.252 53 2795 17 2005-09-30 212.027.054.252 53 2768 17 2005-09-30 212.027.054.252 53 2791 17 2005-09-30 212.027.054.252 53 2804 17 2005-09-30 212.027.054.252 53 2805 17 2005-09-30 212.027.054.252 53 2778 17 2005-09-30 212.027.054.252 53 2817 17 2005-09-30 212.027.054.252 53 2807 17 2005-09-30 212.027.054.252 53 2798 17 2005-09-30 212.027.054.252 53 2784 17 2005-09-30 212.027.054.252 53 2749 17 2005-09-30 212.027.054.252 53 2794 17 2005-09-30 212.027.054.252 53 2815 17 2005-09-30 212.027.054.252 53 2814 17 2005-09-30 212.027.054.252 53 2813 17 Puisque l'IP n'est pas fixe, se déconnecter et se reconnecter afin de vérifier que l'IP a changé et que ZA ne signale plus rien.

Pourquoi veux-tu réouvrir des ports . Le 135 est toujours listening, relance Zebprotect et coche la case du port 135/appliquer et redémarre pour le fermer puis, vérifie qu'il n'apparaît plus dans netstat (le reste est bon).

Tu peux fixer ces lignes en mode normal, hors connexion et fenêtres fermées, sauf celle d'HijackThis.

Bah ! Tu peux toujours revenir en arrière si tu as coché, avant de fixer les lignes indiquées, la case "Make backups before fixing" afin de faire une sauvegarde de chaque élément effacé. Tu pourras ainsi revenir en arrière en cliquant sur le bouton "Backups". Important, HijackThis doit être placé dans son propre dossier, par exemple C:\Program Files\Hijackthis et non dans un dossier temporaire pour éviter de perdre les sauvegardes. edit : salut Olivier

Pour ce qui est des tests, tu en trouveras quelques-un sur ce site fort bien documenté sur les injections pouvant tromper un firewall : http://nicolas.chazot.free.fr/main.php?page=.%2Ftest_fw

Bon, tu vas passer un coup de Zebprotect pour fermer les ports sensibles (135-445-500-5000 notamment) : http://www.zebulon.fr/articles/zebprotect.php Pour fermer le port 135, il faut d'abord fermer les autres ports, redémarrer, ouvrir à nouveau Zebprotect, cocher la case du port 135, appliquer et redémarrer. Ensuite, tu renvoie une image netstat non connecté.

Salut Tornado. Apparemment, la version payante ne fait pas mieux que la free pour ce qui est du filtrage des applications : http://www.firewall-france.com/comparatif_kerio.php

Re. Tu peux utiliser pour envoyer une copie d'écran : http://www.imageshack.us/

Bonjour jeje58. Vérifie par la commande : démarrer/exécuter, tapes cmd puis OK. Ensuite tu colles ceci netstat -ano et tu fais un copier/coller du rapport pour que l'on voit si le port 445 est utilisé.

Ben oui, c'est un dossier protégé (et pour cause) et de plus crypté il me semble .

Un peu de lecture signée Microsoft : Qu’est ce que la restauration du système ? Il s’agit d’un processus qui enregistre les modifications réalisées sur le système (fichiers systèmes et base de registre) par des sauvegardes périodiques de l’état de l’ordinateur. La restauration du système donne une nouvelle chance à l’utilisateur qui a rendu son système instable. Les fichiers surveillés sont les exécutables (.exe, .com et .dll) et les pilotes (.vxd et .sys). La liste complète est disponible dans le fichier %windir%\system32\restore\Filelist.xml, on y retrouve les fichiers inclus et ceux exclus. Le système ne surveille pas les fichiers créés par l’utilisateur, il ne s’agit pas d’un système de sauvegarde en tant que tel. Les points de restauration périodiques sont créés lors de ces occasions : * Toutes les 10 heures en fonctionnement (il faut 2 minutes d’inactivité) et au pire toutes les 24 heures. Si l’ordinateur est arrêté plus de 24 heures, le point de restauration est créé au démarrage de l’ordinateur. * Lorsqu’un programme est installé par Windows Installer (les fichiers .msi comme par exemple Office 2000/XP, Autoroute 2001, Visio 2000, …) * Lorsqu’un programme est installé par Installshield version 6.1 ou plus. * Lorsqu’une mise à jour est installée avec Windows update. * Lors de l’installation d’un pilote non signé. * Lors de la restauration par le gestionnaire de sauvegarde intégré. * En fonctionnement normal, avant de restaurer un point plus ancien, ceci afin de revenir au moins pire si l’ancien point de restauration ne fonctionne plus. * Enfin, nous verrons qu’il est possible de créer des points de restaurations manuellement. Ces points de restaurations sont enregistrés dans des fichiers compressés et se trouvent dans le dossier \system volume information\_Restore suivi d’un identifiant unique (exemple : {45EF8D47-5D10-4866-87D7-DA8A387DC2A2}) puis dans des sous dossiers RPxx (restore point). L’objectif de cet article n’est pas de rentrer en détail dans le fonctionnement de la restauration système, je n’irais pas plus loin. La taille occupée sur le disque dépend de la taille du volume sur lequel est installé Windows XP. Les règles suivantes vous donnent une idée des espaces occupés : * La taille minimum de la banque de stockage est de 200 méga octets. Si la partition d’amorçage contient moins de 200 Mo d’espace disponible, la restauration du système sera désactivée par défaut et il faudra l’activer manuellement après avoir libéré de l’espace disque (à l’aide de l’assistant nettoyage de disque, pourquoi pas). En dessous de 50 Mo, tous les points de restauration sont supprimés. Si la restauration du système est désactivée suite à un manque d’espace disque temporaire, elle se réactive automatiquement dès qu’elle retrouve suffisamment d’espace disque disponible. * Sur les volumes qui ont une taille inférieure à 4 giga octets, la taille maximale de la banque de stockage est de 400 Mo. * Sur les volumes de plus de 4 Go, la taille de la banque de restauration est égale à 12 % de l’espace total. Lorsque tout l’espace alloué est occupé, selon le principe du FIFO (first in, first out) les points de restauration les plus anciens sont effacés pour sauvegarder les plus récents. Il n’existe pas de calcul ou d’approximation pour connaître le nombre de points de restauration, cela dépend du nombre de logiciels (applications et pilotes) installés. Ces espaces peuvent être manuellement ajustés par un clic de droite sur le poste de travail, puis la commande propriétés, sur l’onglet "Restauration du système", après avoir sélectionner le volume, cliquer su le bouton "Paramètres". http://www.microsoft.com/france/windows/xp..._mille1001.html

Je ne voudrais pas tirer sur l'ambulance mais, ça commence vraiment à faire très désordre ces "trous" à répétition. La suite et des explications sur cette faille jugée critique (méfions nous des jugements hatifs toutefois) ici : http://www.generation-nt.com/actualites/97...-dans-WMP-et-IE

Salut Tesgaz . Très content de te retrouver sur zeb'sécu, ça manquait un peu d'humour (quoique avec Charles et Jack, c'était pas si mal ).

Bonjour à tous . Une mise au point "musclée" de Mozilla concernant cette pseudo faille est à lire ici : http://www.generation-nt.com/actualites/97...7-mise-au-point Voilà une mise au point fort bien venue afin de clouer le bec aux détracteurs de Firefox qui s'ingénient à vouloir lui trouver des failles toutes les semaines .

Salut Gege . Bon choix qu'Outpost mais, tu avais aussi Look'n'Stop en bon français celui-là, qui ne demande que de payer une licence à durée illimitée et qui est de loin aussi performant qu'Outpost si on lui adjoint les règles Phantom's (ceux qui les utilisent savent de quoi je parle).

Bonjour Crayun. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ce PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

D'après ce qui suit, ce serait ce soft qui génère cet exe : LckFldServicelog.txt is a file that is created as the "Folder Access" program works. This is a log of actions by the program. Between you and me, the contents of the log file are pretty skimpy and not really worth much. edit : on le retrouve sur ce log HijackThis : http://forums.techguy.org/history/t-405034.html

Salut Jack . Ne me semble pas suspect ce folder access : Design security applications to deny or allow access to files. Windows File Folders Access Control Drivers Suite includes Full Source Code .VXD and .Sys Drivers for Windows 98 and Windows NT/XP. This pack comes along with VC and Delphi Source Code with three examples in Visual Studio. Developers will find this extremely powerful file I/O drivers great for writing security applications where one requires to deny or allow access to files.

Salut Jack . Oups!!! Pas encore réveillé l'extrataupe (la preuve, 2 post pour le même sujet) .

Bonjour à tous. J'ai déjà testé Tauscan et il ne m'avait pas vraiment convaincu. Pour vérifier s'il s'agit de faux positifs, un bon scan d'EWido pourrait s'avérer payant : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer 568922[/snapback]

Bonjour Marwa. C'est peut être en effet lié à une mauvaise configuration de ton réseau que tu peux vérifier avec le tuto de Tesgaz : http://speedweb1.free.fr/frames2.php?page=reseau4