megataupe

Tu devrais relever l'adresse IP de ces attaques supposées pour qu'on vérifie leur provenance. Ca m'arrive parfois avec d'autres ports puis, ça se calme car, en général, ce sont des robots qui scannent le net un peu au hazard d'autant que tes ports doivent être tous furtifs, fais le test ici : https://www.grc.com/x/ne.dll?bh0bkyd2 choisis proceed et All Services Ports.

Bonjour Odsen. Pour le port 139, je te conseille de le fermer avec Zebprotect (les autres aussi d'ailleurs), même si les règles Phantom's bloquent tout accés au net bios. http://www.zebulon.fr/articles/zebprotect.php

Bonjour Sylvain. Quel antivirus et quel firewall sont proposés Si c'est comme l'offre Wanadoo avec securitoo, il vaut mieux conserver tes outils actuels, ce sera moins cher et tout aussi efficace.

Merci Xerta pour ce très bon tutorial . Je pense en effet qu'AntiHook est supérieur à ProcessGuard en version free (difficile à comparer avec la version full de PG qui intégre beaucoup plus de fonctions et donne plus de souplesse à l'utilisateur, surtout s'il fait une erreur). J'avais en son temps proposé des paramétrages concernant ProcessGuard et il en était issu une très bonne discussion : http://forum.zebulon.fr/index.php?showtopic=66717&st=0 Est-il possible d'avoir l'équivalent avec AntiHook Merci d'avance de ta réponse qui devrait intéresser beaucoup de membres de Zeb'sécu.

Bravo S.Birkoff, d'autant que tu ne risques rien . Je l'aurai bien testé mais d'après ce que j'ai déjà lu sur le sujet, ce soft est difficile à paramétrer si l'on est pas un utilisateur averti et je préfére tester les applis de sécurité accessibles à tous ou, demandant peu de connaissances pour accepter ou non une mofidication : "Les points faibles : - Il lui faut une phase d'apprentissage sinon les alertes sont incessantes. Autrement dit il faut lancer une par une toutes les applications installées ... sacré boulot, et il faut être sûr que le système soit sain. - Il n'est pas toujours facile de savoir si une modification est légitime ou non. - Impossible d'éditer la liste des règles créées sur XP home, à moins de télécharger un pack "microsoft .net framework" de... 23 Mo !"

Bon, je ne vois rien de suspect ou d'activité anormale sur le rapport, les ports dangereux (135 et 445) renvoyant l'adresse 0.0.0.0 ou 127.0.0.0.1. Tu fais un ipconfig pour vérifier ton adresse IP et les serveurs DNS (quel est ton FAI ?) démarrer/exécuter/cmd/OK copier/coller : ipconfig /all et envoyer le rapport

Tu regardes d'abord si tu n'as pas d'applications douteuses qui ouvrent des ports car, il se peut que ton réseau demande d'ouvrir de nombreux ports.

T'es gentil Jack mais, HantiHook ne fait pas bon ménage avec ProcessGuard vu qu'ils font tous les deux la même chose : surveiller les applications et le système. Charles ferait un très bon cobaye , qu'en penses-tu

Bonjour Strongh. Fais une commande netstat pour voir les ports qui sont ouverts sur ton PC : démarrer/exécuter, taper cmd et copier/coller la ligne suivante : netstat /ano tu peux aussi lancer currports, à charger ici : http://softrads.etrad.net/modules/wfdownlo...php?cid=1&lid=3 et envoyer le rapport.

Salut Jack . Hi, Hi, HI, elle est bien bonne !!! Ils doivent avoir un paquet d'actions chez Crosoft les notables du comté de Tompkins pour sortir de pareilles âneries. Ce qui est sur, c'est qu'ils ne sont pas membres de Zeb'sécu .

Bonjour Clis, bonjour Jack . Pour les mises à jour, on peut se passer d'Internet Explorer en passant par l'un de ces 2 sites si Firefox est le navigateur par défaut : http://windowsupdate.62nds.com/ http://www.microsoft.com/france/technet/se...te/default.mspx Il est préférable de garder IE en sommeil car, il est impossible à désinstaller complétement (trop intégré au système) et certains sites l'exigent pour les scans en ligne notamment.

Bonsoir IPL . Des commentaires et comparatif avec ProcessGuard de ce nouveau contrôleur d'intégrité sont à lire ici chez nos amis d'Assiste : http://assiste.forum.free.fr/viewtopic.php...hlight=antihook

Re . Je vois que tu n'as pas consulté le test réalisé sur ce jeu de règles en mai dernier : http://forum.zebulon.fr/index.php?showtopic=65849&hl= Bonne lecture et surf en béton avec les fantomes rules edit: j'ajoute un autre très bon tutorial pour bien paramétrer les règles phantom's : http://kamui.kenshiro.free.fr/lns/

Bonjour Odsen. Les ports 1026 et 1027 sont notamment utilisé par MSN pour communiquer avec l'extérieur, c'est aussi les premiers ports utilisés par Windows après les 1024 ports réservés aux services. Il sont normalement bloqué dans L'n'S avec la règle TCP SYN packets. Pour le port 113 ou port authentification, il est utilisé par certains FAI pour effectuer diverses vérifications. Ceci dit, avec les règles Phantom's, je n'ai quasiment jamais d'entrée concernant ces 3 ports, sans doute et à cause du contrôle des DNS utilisées (celles de mon FAI) effectué par ce jeu de règles.

Bonjour quicksilver. Essaie avec un nouveau profil. Comment créer un nouveau profil ou changer de profil ? On utilise le Gestionnaire de Profils pour créer un profil ou changer de profil. Toutes ces manipulations se font avec firefox fermé (sinon ça n'ouvre qu'une autre session) * Sous Windows, il y a 2 façons de faire pour y accéder : o Dans Démarrer > Exécuter, taper : firefox.exe -p o Si ça ne marche pas, modifiez le raccourci de lancement de firefox de sorte à rajouter -p à la suite de firefox.exe (clic droit sur le raccourci, propriétés, dans Cible: ".....firefox.exe" -p). Les fichiers importants du profil (ou quels fichiers copier d'un profil à un autre pour récupérer ses paramètres/données/etc.) o les marque-pages : bookmarks.html o les cookies et leurs permissions : cookies.txt, hostperm.1 o l'historique : history.dat o l'historique des zones de formulaires: formhistory.dat o les mots de passe : signons.txt, key3.db o les certificats: cert8.db

Rebonjour à tous. Une explication technique peut être utile sur Neverwinter Nights et les jeux en réseau est à voir ici : http://www.system-tek.com/nwinter/nwn/presentation/faq8.php

Bon, je me suis dévoué et j'ai autorisé ProcessGuard à ouvrir ton exe et j'ai bien l'interface en entier comme sur le site : http://www.frameip.com/frameip/ Moi, ce qui m'étonne c'est que le site yousendit ne soit pas en HTTPS et accessible aussi facilement pour des fichiers privés.

Salut Grenouille . Perso, j'ai bien la page complète sur les 2 liens qui m'ouvre l'installeur de Firefox avec cet exe qui fait peur . Ce qui me paraît quand même bizarre c'est que ce site annonce en clair : A D V E R T I S E M E N T - Clicking opens a new window (pourquoi faire ?) et que lorsque je reste un moment sur la page sans rien faire, j'ai la fenêtre de téléchargement de Firefox qui s'ouvre avec ton FrameIp_gui.exe prêt à être téléchargé. Pour terminer, 5 scripts bloqués par NoScript (extrait du code source) : <noscript> <img width=1 height=1 border=0 src="http://l5.zedo.com/log/p.gif? Plutot pas clean ce site edit: une visite sur le site en passant par Google renvoie l'erreur suivante <!-- Web.Config Configuration File --> <configuration> <system.web> <customErrors mode="RemoteOnly" defaultRedirect="mycustompage.htm"/> </system.web> </configuration>

Bonjour Anianka, bonjour à tous . Content de savoir que ton PC n'est plus un zombie servant de relais aux pirates . Ce qui était de toutes façons anormal, c'était d'avoir ces 2 adresses DNS de serveurs qui n'avaient aucun rapport avec Free car, même si ces DNS n'étaient pas actives (élimination du trojan après passage d'HijackThis par exemple) elles n'en restaient pas moins dangereuses. Jack à raison quand il propose de créer une nouvelle connexion sans toutefois omettre de vérifier le fichier hosts, de faire un ipconfig /all et un netstat -ano au préalable pour vérifier si la connexion n'est pas redirigée, ce qui semblait être le cas sur ce PC.

Re. Dans la barre des tâches (en bas à droite) tu cliques droit sur l'icone des 2 petits PC. Pour le hosts tu ouvres Sélectionner le programme dans une liste et tu choisis bloc-note.

Re Charles. J'espère que nous ne sommes pas devant un PC Zombie car, une recherche sur le premier serveur DNS donne ce genre de joyeusetés : FIVETENIGNORE [should not be used] LISTED (127.0.0.7) Reports CNAME of atrivo.com.spam-support.blackholes.five-ten-sg.com. TXT= "added 2005-09-07; spam support - refusal to remove esthost" pour la seconde DNS, voilà ce que ça donne : Database of servers sending to spamtrap addresses Netblock: 85.255.112.0/20 (85.255.112.0-85.255.127.255) Record Created: Wed Sep 7 12:19:20 2005 GMT Record Updated: Wed Sep 7 14:19:55 2005 GMT Additional Information: estdomains/esthost/estboxes/inhoster Currently active and flagged to be published in DNS

Bon, l'IP est bien celle de Free, par contre les 2 serveurs DNS sont les mêmes que tout à l'heure et il va falloir vérifier dans les connexions réseaux : clic droit sur ta connexion/ouvrir les connexions réseaux/dans état de ta connexion cliquer sur détails et propriétés, dans propriétés de ta connexion cliquer sur gestion de réseau puis sur protocole internet TCP/IP et enfin propriétés. Si tu as les 2 adresses DNS citées plus haut, tu les supprimes et tu coches obtenir les adresses des serveurs DNS automatiquement. Pour le fichier hosts, double clic dessus et tu choisis dans la liste "ouvrir avec le bloc-notes". edit: les DNS de free sont : DNS Primaire Free : 212.27.32.5 DNS Secondaire Free : 212.27.32.176

Re Jack . On peut d'abord essayer ceci : 1- démarrer/exécuter taper cmd et copier/coller la ligne suivante : ipconfig /all noter l'adresse IP indiquée et les 2 adresses des serveurs DNS et les envoyer dans le prochain post. 2- aller dans C:\WINDOWS\System32\drivers\etc et ouvrir le fichier hosts avec le notepad, faire un copier coller de son contenu et l'envoyer dans le prochain post.

Bonjour anianka. Bizarre ces IP qui renvoient sur : 1-OrgName: InterCage, Inc. OrgID: INTER-359 Address: 1955 Monument Blvd. Address: #236 City: Concord StateProv: CA PostalCode: 94520 Country: US 2-inetnum: 85.255.112.0 - 85.255.113.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine Je ne pense pas que ce sont tes FAI. Tu vas télécharger Hoster ici : http://www.funkytoad.com/hoster.htm Redémarrer ton PC en mode sans échec, puis tu lances Hoster et tu cliques uniquement sur l'onglet Restore Original Hosts. Tu redémarres le PC en mode normal et tu postes un nouveau rapport Hijackthis.

Bonjour à tous. Saluons cette excellente initiative de Free lorsque l'on sait que le WEP est piratable en à peine 10 minutes. Tous les détails sur : http://www.generation-nt.com/actualites/95...reebox-avec-WPA et chez Free : http://www.freenews.fr/index.php?itemid=2511