megataupe

Et bien mon Filou , c'est vraiment la meilleure nouvelle de la journée. Continue à gueuler, à raler, à t'emporter mais, continue surtout à prendre ta dose journalière de Zebsécu, Zebsoftware, Zebjet'aime, etc.., la veuve et l'orphelin auront toujours besoin d'une grande gueule au grand coeur qui sait ériger l'altruisme en religion et savourer un St Nectaire entre amis . Ce soir, je suis heureux Tesgaz mon ami

Lié à ta carte graphique mais, inutile au démarrage : Name: nwiz Filename: nwiz.exe Description: Associated with the newer versions of nVidia graphics cards drivers. Allows you to immensely improve desktop layouts by setting preferences and optimizations. However, this isn't necessary for the operation of your system edit : Stonflingueur vien de passer

Non bien sur, si le rapport est très conséquent tu copies/colles juste le détail de ceux qui étaient infectés.

Bonjour missjulia. Bon travail d'Ewido mais, je suis quand même surpris que Spybot et compagnie n'aient pas trouvé ces parasites : Fais un scan en ligne chez Ravantivirus(mettre une fausse adresse email ou une adresse hotmail): http://www.ravantivirus.com/scan/ jusqu'à ce que "ready to scan" apparaisse cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg Tu cliques ensuite sur "scan my pc" (étape 3 de l'image) A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici (tutoriall emprunté à l'ami BipBip )

Bonjour Odsen. Merci pour le jeu de régles que je vais mettre au chaud pour les joueurs acharnés de Zébulon qui voyagent avec L'n'S . Tu peux aussi l'envoyer sur le forum L'n'S pour ceux que ça intéresse : http://www.wilderssecurity.com/forumdisplay.php?f=29

Hum....... As-tu placé cette règle en tête de ton jeu de régles et autorisée ? Sinon, un bon truc est de vérifier dans le journal pour voir ou ça coince. Si Par exemple Quake 3 est signalé bloqué sur le port 279........ cela signifie que tu dois l'autoriser (clic droit dessus pour autoriser). etc.

Bon, voilà ce que j'ai trouvé sur ce mystérieux LSA : http://www.sophos.fr/virusinfo/analyses/w32rbotaac.html je vais donc demandé à mes petits camarades de se pencher sur ce cas car, je ne vois rien sur ton log qui puisse le localiser. En attendant, télécharge Ewido Security suite : http://www.ewido.net/en/ Installe le et mets à jour, redémarre en mode sans échec et scanne ton ordinateur avec Ewido. Redémarre et poste le rapport d'Ewido.

Re. Ca devrait être OK, j'ai vérifié avec la régle pour Steam.

Je transfère le log de tclock09 posté sur l'épinglé http://forum.zebulon.fr/index.php?showtopic=69176

Ben non, il faut faire le travail à la main après l'analyse Hijackthis, si ce cafard est bien sur ton PC.

Pour celui-là : http://www3.ca.com/securityadvisor/pest/pe...px?id=453089112 tu ferais mieux d'appliquer la procédure de pré-nettoyage : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

T'avais encore raison Super Diablo (comme toujours) (va falloir ajouter le double pédalage dans la FAQ du Zeb Protect pour le 135) : Voici maintenant le bilan du muselage (on démarre bien au 1025): ================================================== Nom du processus : spyblocker.exe ID du processus : 500 Protocole : TCP Port local : 80 Nom du port local : http Adresse locale : 0.0.0.0 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\Program Files\SpyBlocker Software\spyblocker.exe Nom du produit : SpyBlocker Description du fichier: SpyBlocker Version du fichier: 8.01 Entreprise : SpyBlocker Software Processus créé le : 05/09/2005 16:34:46 ================================================== Nom du processus : System ID du processus : 4 Protocole : TCP Port local : 1025 Nom du port local : Adresse locale : 0.0.0.0 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: Nom du produit : Description du fichier: Version du fichier: Entreprise : Processus créé le : N/D Nom de l'utilisateur: Service(s) utilisé(s): ================================================== ================================================== Nom du processus : ashMaiSv.exe ID du processus : 1808 Protocole : TCP Port local : 12025 Nom du port local : Adresse locale : 127.0.0.1 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Nom du produit : avast! Antivirus Description du fichier: avast! e-Mail Scanner Service Version du fichier: 4, 6, 665, 0 Entreprise : ALWIL Software Processus créé le : 05/09/2005 16:33:35 Nom de l'utilisateur: AUTORITE NT\SYSTEM Service(s) utilisé(s): avast! Mail Scanner ================================================== ================================================== Nom du processus : ashMaiSv.exe ID du processus : 1808 Protocole : TCP Port local : 12110 Nom du port local : Adresse locale : 127.0.0.1 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Nom du produit : avast! Antivirus Description du fichier: avast! e-Mail Scanner Service Version du fichier: 4, 6, 665, 0 Entreprise : ALWIL Software Processus créé le : 05/09/2005 16:33:35 Nom de l'utilisateur: AUTORITE NT\SYSTEM Service(s) utilisé(s): avast! Mail Scanner ================================================== ================================================== Nom du processus : ashMaiSv.exe ID du processus : 1808 Protocole : TCP Port local : 12119 Nom du port local : Adresse locale : 127.0.0.1 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Nom du produit : avast! Antivirus Description du fichier: avast! e-Mail Scanner Service Version du fichier: 4, 6, 665, 0 Entreprise : ALWIL Software Processus créé le : 05/09/2005 16:33:35 Nom de l'utilisateur: AUTORITE NT\SYSTEM Service(s) utilisé(s): avast! Mail Scanner ================================================== ================================================== Nom du processus : ashMaiSv.exe ID du processus : 1808 Protocole : TCP Port local : 12143 Nom du port local : Adresse locale : 127.0.0.1 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Nom du produit : avast! Antivirus Description du fichier: avast! e-Mail Scanner Service Version du fichier: 4, 6, 665, 0 Entreprise : ALWIL Software Processus créé le : 05/09/2005 16:33:35 Nom de l'utilisateur: AUTORITE NT\SYSTEM Service(s) utilisé(s): avast! Mail Scanner ==================================================

Exact oeil de Lynx mais, Zebprotect refuse que je le coche (va comprendre Charles ) même aprés redémarrage et réinstallation du Zebprotect.

Salut Tesgaz . Très content de revoir en action ton clavier hyperspeedé . Peux-tu m'expliquer pourquoi après passage de Zebprotect et fermeture des services j'ai toujours cette entrée et donc le port 135 en écoute (c'est sur le PC d'un ami que j'ai sécurisé) : Nom du processus : svchost.exe ID du processus : 756 Protocole : TCP Port local : 135 Nom du port local : epmap Adresse locale : 0.0.0.0 Port distant : Nom du port distant: Adresse distante : 0.0.0.0 État : Écoute Chemin du processus: G:\WINDOWS\system32\svchost.exe Nom du produit : Microsoft® Windows® Operating System Description du fichier: Generic Host Process for Win32 Services Version du fichier: 5.1.2600.0 (xpclient.010817-1148) Entreprise : Microsoft Corporation Processus créé le : 05/09/2005 15:59:36 Nom de l'utilisateur: AUTORITE NT\SYSTEM Service(s) utilisé(s): RpcSs

Salut Charles . Celui-là, c'est un clone de Morton en plus encombrant (la différence, c'est qu'il affiche ses processus au contraire du Morton qui les planque).

Bonjour Ricou . Tu peux effectivement supprimer ces clés (en faisant une sauvegarde) mais, j'ignore si ça pourra résoudre ton probléme (espérons-le).

Bonjour Zox . En plus des liens de Jack, tu peux voir ici quels sont les services réellement indispensables : http://climenole.serendipia.net/archives/3...Windows-XP.html

Pas de lézard Jack, tu as bien fait mais, compte tenu de ça : je pense qu'il vaut mieux faire un pré-nettoyage en mode sans échec pour confirmer ton analyse.

Bigre ! C'est plus un log, c'est la grande muraille de Chine . Applique cette procédure pour qu'on y voit plus clair : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse. edit: salut Jack . Je pense qu'il vaut mieux dérouler la procédure pour optimiser ensuite si tout est clean.

Bonjour dmartin et bienvenue sur Zebulon sécurité. A priori, ton routeur devrait suffire et il faudrait juste installer sur chaque PC un firewall comme Zone Alarm free pour contrôler les applications qui demandent à sortir sur le net.

Bonjour roro. Je pense plus à un problème systéme que tu peux vérifier comme suit : Si le système exempt de virus ou de spyware rencontre de nombreuses erreurs dont la source ne peut être déterminée avec précision, il se peut que des fichiers système soient corrompus ou absents. Pour le savoir et les remplacer, procéder comme suit: * Insérer le CD-ROM de Windows XP dans le lecteur tout en maintenant la touche Maj appuyée afin d'éviter son exécution automatique * Par Démarrer/Exécuter... (ou Windows+r), saisir la commande sfc /scannow (faire un espace entre sfc et le /). Note: Pour obtenir la liste des paramètres utilisables avec la commande sfc, ouvrir une invite de commande par Démarrer/Exécuter... (ou Windows+r), saisir cmd A l'invite, taper sfc /? Attention: Si utiliser un point de restauration pourrait être une solution au problème rencontré, commencer par procéder à la restauration du système. En effet, sfc /scannow, en remplaçant des fichiers système protégés, rendra les points de restauration inutilisables. Tu fais donc une restauration systéme et si ça coince toujours, tu lances le sfc /scannow.

Bof !!! Suffit de blinder son firewall (si ce n'est pas une passoire comme celui d'XP) et d'ajouter un bon fichier hosts, ça évitera d'utiliser des planque-ton-IP qui de toutes façons pourront être contournés car, l'on ne peut pas être anonyme à 100%. Faudrait quand même pas sombrer dans une névrose sécuritaire . Moi, je veux bien refiler mon IP à tous les mafieux de la planéte et j'attendrai tranquillement qu'ils lancent leurs scan, Look'n'Stop va bien s'amuser .

Salut Jack , bonjour à tous. Tu peux faire fixer cette ligne inutile (rapport d'une erreur mémoire style écran bleu ) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Bonsoir. J'ai trouvé sur ce post (voir vers le bas de la page) une indication des ports à ouvrir pour Quake 3: http://www.wilderssecurity.com/showthread....egle+pour+quake default port is 27960 If you open up 27960 - 27965 you should be able to connect to 99% of the servers out there c'est pour quake 3 mais ensuite vienne les ports Wolfenstein et autres : 27950 to 27960 (TCP UNP both checked) , tout les jeux utilisant le moteur de Quake 3 utilisent cette game de port 279**

Bonsoir GTI59, bonsoir Jack . Normalement avec le SP1, tu dois avoir cette ligne là sur ton rapport : Platform: Windows XP SP1 (WinNT 5.01.2600)