megataupe

Bah !!! Encore un troll en vue . Ceci dit, pourquoi dépenser 50 euros pour un antitout qui peut être remplacé par d'autres soft tout aussi performants et gratuits de surcrôit (sans les garnitures en plus évidemment ).

Bonjour Jennifer et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Salut Tesgaz . A vrai dire, je n'ai jamais vu de demande de connexion sur ce port 1025 mais, beaucoup plus sur les ports suivants (1026-1027-1028 en UDP uniquement) : 05/08/05,13:12:35 D-69 'Block : All other packet' 61.152.158.157 UDP Ports Dest:1027 Src:32960 05/08/05,13:12:35 D-70 'Block : All other packet' 61.152.158.157 UDP Ports Dest:1028 Src:32960 05/08/05,13:12:54 D-71 'Block : All other packet' 66.160.191.166 UDP Ports Dest:1026 Src:39767 05/08/05,13:14:48 D-72 'Block : All other packet' 218.83.153.58 UDP Ports Dest:1026 Src:33850 05/08/05,13:14:48 D-73 'Block : All other packet' 218.83.153.58 UDP Ports Dest:1027 Src:33850 05/08/05,13:16:16 D-74 'Block : All other packet' 61.152.158.157 UDP Ports Dest:1026 Src:32960 05/08/05,13:16:16 D-75 'Block : All other packet' 61.152.158.157 UDP Ports Dest:1029 Src:32960 05/08/05,13:17:29 D-76 'Block : All other packet' 222.47.76.232 UDP Ports Dest:1026 Src:55014 05/08/05,13:17:29 D-77 'Block : All other packet' 222.47.76.232 UDP Ports Dest:1027 Src:64717 ce port 1025 ne semblant pas attirer la vermine

Le mode Learn (en version free) est dans l'onglet Main (Learn mode). A laisser cocher pendant 2 ou 3 jours pour que PG apprenne tes habitudes et applis lancées puis, le décocher et aller dans l'onglet protection pour appliquer les règlages préconisés. Pour l'achat de PG, ce sera à toi de voir si tu en as besoin ? Apt ne sert qu'a tuer des processus récalcitrants donc, à utiliser en cas de problème. Registryprot est par contre fort utile pour surveiller la base de registre et de plus très peu gourmand en Ram.

Ici Rimbaut, de même que Registryprot : http://www.diamondcs.com.au/processguard/i...p?page=download Un tutorial ici, pour bien démarrer avec PG : http://assiste.free.fr/assiste.com.html?ht...rocessguard.php et mes propres conseils de paramétrage : Après avoir décocher le mode Learn, dans l'onglet Protection, vous sélectionnez les applications ou services listés ci-dessous pour leur accorder (cases du bas à cocher ou décocher) les protections et autorisations suivantes. S'agissant des antivirus, firewall, antispy (A2, Ad-aware, Spybot, etc..), navigateurs (Internet Explorer, Firefox, etc..) vous appliquez à tous les .exe les concernant les réglages suivants : Protected From : Termination + Modification + Reading Authorized To : Modify + Read Messageries : Protected From : Termination + Modification + Reading Authorized To : Read Services de Windows : alg.exe Protected From : Termination + Modification Authorized To : Modify + Read. Other options : Access Physical Memory csrss.exe Protected From : Termination + Modification + Reading Authorized To : Terminate + Modify + Read dllhost.exe Protected From : Termination + Modification Authorized To : Modify + Read dmadmin.exe Protected From : Termination + Modification Authorized To : Modify + Read explorer.exe Protected From : Termination + Modification Authorized To : Termination + Modify + Read lsass.exe Authorized to : Protected From : Termination + Modification Authorized To : Modify + Read logonui.exe Protected From : Termination + Modification Authorized To : Modify + Read msiexec.exe Protected From : Termination + Modification Authorized To : Modify + Read netdde.exe Protected From : Termination + Modification Authorized To : Modify + Read ntdvm.exe Protected From : Termination + Modification Authorized To : Modify + Read rundll32.exe Protected From : Termination + Modification Authorized To : Modify + Read services.exe Protected From : Termination + Modification Authorized to : Modify + Read. Other options : Install drivers smss.exe Authorized to : Protected From : Termination + Modification Authorized To : Modify + Read. Other options : Install drivers spoolsv.exe Protected From : Termination + Modification Authorized To : Modify + Read ss3dfo.scr Protected From : Termination + Modification Authorized To : Modify + Read svchost.exe Authorized to : Protected From : Termination + Modification Authorized To : Modify + Read taskmgr.exe Protected From : Termination + Modification Authorized To : Modify + Read vssvc.exe Protected From : Termination + Modification Authorized To : Modify + Read wuauclt.exe Protected From : Termination + Modification Authorized To : Modify + Read winlogon.exe Protected From : Termination + Modification + Reading Authorized To : Termination + Modify + Read. Other options : Access Memory Physical + Secure Message Handling ProcessGuard et Registryprot (pour tous les .exe les concernant). nb : ces paramétres pouvant être appliqués aux autres applications non listées. Protected From : Termination + Modification + Reading Authorized To : Modify + Read http://forum.zebulon.fr/index.php?showtopic=66717

Ben, si tu l'arrêtes ton firewall ne servira plus à grand chose puisqu'il a besoin de ce service pour communiquer avec le PC. Il vaut mieux protéger ce service important de Windows avec ProcessGuard plutot que de le faire taire. edit: voici ce que conseille Tesgaz pour le paramétrage de ce service : Service de la passerelle de la couche Application Nom de l'exécutable : alg.exe Nom interne : ALG Description : Fournit la prise en charge des plugins de protocoles tiers pour le partage de connexion Internet et le pare-feu Internet. Il dépend de : aucun Dépendent de lui : aucun Commentaire : si vous utilisez le partage de connexion ou le pare-feu Windows, vous devez le mettre en "automatique", sinon laissez ce service en mode "manuel".

Bonjour à tous . Pour vérifier un processus, pensez à faire un petit tour sur ces sites : http://www.processlibrary.com/ http://www.bleepingcomputer.com/startups/ le second est très intéressant car, il recense les spywares pouvant infecter un process et indique les chemins à vérifier.

En cherchant bien sur Google, tu verras que ce port est parfois utilisé pour les jeux de Casino en ligne et c'est pourquoi le trojan qui passe par ce port, s'il est ouvert, a reçu ce nom très évocateur. Se méfier donc des jeux en ligne (Casino notamment) qui te demandent d'ouvrir des ports.

Bonjour à tous. Tout d'abord, rappelons que ce port 1025 est utilisé par les services RPC locator et svchost.exe ; qu'il n'est pas fermé par Zebprotect (peut être une explication de Tesgaz sur ce point ?). D'autre part, ne pas confondre un port ouvert et en écoute. Pour le vérifier, effectuer la commande suivante (sous XP) : démarrer/exécuter, taper cmd et dans la fenêtre DOS coller cette ligne de commande netstat -ano et valider par entrée. Vous devriez obtenir une liste qui devrait ressembler à ça : C:\WINDOWS>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976 TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160 TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4 UDP 0.0.0.0:135 *:* 884 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:500 *:* 704 UDP 0.0.0.0:1026 *:* 1112 UDP 0.0.0.0:1027 *:* 976 UDP 127.0.0.1:123 *:* 976 UDP 127.0.0.1:1900 *:* 1160 UDP 192.70.106.143:123 *:* 976 UDP 192.70.106.143:137 *:* 4 UDP 192.70.106.143:138 *:* 4 UDP 192.70.106.143:1900 *:* 1160 En regardant cette liste, on s'aperçoit que le port 1025 est listening (en écoute), ce qui ne veut pas dire qu'il est ouvert (en réserve pour svchost.exe je pense). Maintenant, si ce port est vraiment ouvert, il convient de le bloquer au niveau du firewall.

Bonjour Michelfc1. Merci de poster ton rapport HijackThis sur le forum sécurité comme indiqué dans la procédure (créer un nouveau message). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Bonjour IPL, bonjour à tous . Je pense que tu vas avoir besoin du lien de Krystina pour déloger ce furieux et rétablir les exe : http://forum.zebulon.fr/index.php?showtopic=66840

Les utilisateurs de Windows 2000 risquent d'avoir un petit correctif à installer lors du prochain bulletin de sécurité. En effet, grâce à la société eEye Digital Security, une faille dans l'OS de Microsoft a été découverte, impossible à ignorer pour l'utilisateur. Elle permettrait une prise de contrôle à distance par une personne malveillante introduite par une faille de l'IP de Windows 2000. Le problème est qu'on ne peut pas désactiver ce composant, d'où l'urgence de la correction bien qu'eEye DS n'ait pas publié les informations relatives à la faille en attendant que Microsoft le fasse lui-même. ImageeEye n'en est pourtant pas à sa première découverte vu qu'il avait il y a à peine une semaine démontré l'existence d'une faille critique dans Internet Explorer, toujours pas corrigée à l'heure actuelle. Il ne reste plus qu'à attendre patiemment le futur correctif en charge de nous protéger un peu mieux face aux attaques pirates. Source : http://www.generation-nt.com/actualites/84...ur-Windows-2000 edit : Selon les propos recueillis auprès d'un spécialiste d'Eeye Digital Security par News.com, la brèche serait particulièrement redoutable car elle pourrait être exploitée sans aucune intervention de l'utilisateur, par exemple par un ver informatique. Le porte-parole de la firme de sécurité informatique ajoute qu'il est peu probable que cette brèche puisse être contournée en attendant un correctif, les modules touchés étant essentiels au fonctionnement normal d'un PC.

Salut Charles . Un peu de lecture pour notre ami Zonk qui suggère qu'il est très facile d'éradiquer ce 180 SearchAssistant sans rapport Hijackthis : http://www.xona.com/2004/07/18-2.html

Bonsoir caro. Antivir n'est à installer que le temps de la procédure (tu dois d'ailleurs le désinstaller à la fin de la phase 3). La phase 2 est sans danger aucun si tu suis bien les instructions car, tu imagines bien que nous avons concocté et testé cette procédure très sérieusement. Salut Stonangel . Une nouvelle fois grillé par ton clavier

C'est le big boss du forum et tu vas apprendre à le connaître notre modo préféré .

Bon, désinstalle et réinstalle Adblock (fermer et réouvrir Firefox à chaque fois) à partir du lien donné. Pour le filtre Strato, clic droit sur le filtre de ton choix et demande enregistrer la cible du lien sous (tu le places sur le bureau), ensuite : Importation du filtre strato dans Adblock : Dans Firefox, aller dans Outils/Adblock/Préférences/Options d'Adblock/Importer des filtres. Dans la fenêtre qui s'ouvre, indiquer le chemin du filtre strato précédemment téléchargé et valider.

Super , IPL va être content d'avoir un testeur de plus dans son équipe mais, rassure toi, ton PC ne va pas exploser avec des soft de sécurité à tester (tu as le choix pour nous proposer des anti-cafards).

Nous aussi, alors si tu veux nous faire part de tes découvertes, ce serait sympa .

Si tu veux simple et performant, je dirais Zone Alarm, sinon Outpost mais, plus délicat à maitriser.

Bonjour Angelus. Tu as la réponse sur cet épinglé : http://forum.zebulon.fr/index.php?showtopic=69628

Salut Tesgaz . Tu as oublié ton routeur qui fait une grosse partie du boulot et qui permet déjà de se passer de pas mal de soft du type de ceux cités. Je pense d'ailleurs investir dans ce genre de paratonnerre pour être un peu plus peinard, même si les "bestioles" n'aiment pas mon PC .

Bonjour à tous. A part ces deux soft (à mon avis sans grand intérêt pour le premier avec Firefox) : spyware blaster et ewido, j'ai la même config que Chepiok et je peux vous assurer que tout ce petit monde tourne allégrement avec 256 MO de Ram et que ma protection est en béton armé avec notamment l'ajout des règles Phantom's sur Look'n'Stop et un Firefox cadenassé comme vous le savez sans doute (Adblock, NoScript, etc..). Rappelons que le gros du travail préliminaire de filtrage est fourni par Spyblocker puis, par Look'n'Stop ; Processguard ou RegistryProt intervenant, le cas échéant, après franchissement de cette première barrière pour la partie contrôle de l'intégrité des applications qui veulent se lancer sans autorisation.

Bonjour scoubi. deux éléments de réponse à ce problème à voir ici (voir d'abord le second post qui concerne un paramétre Windows à régler): http://www.wilderssecurity.com/showthread....ighlight=pilote http://www.wilderssecurity.com/showthread....ighlight=pilote

Elle n'est pas visible en terme de vitesse de chargement des pages mais, surtout en stabilité et l'absence de bugs comme il en arrive parfois avec les versions officielles (Moox a le temps de les tester et de les corriger puisqu'il ne sort ces versions que 8 à 15 jours après).

Salut Léon . Content de te voir passer sur le forum. Notre cher Moox semble toujours faire des adeptes et c'est ma foi fort mérité, même s'il faut patienter un peu. Tu reviens quand tu veux (avec ou sans Moox)