megataupe

Bonjour Vincley et bienvenue sur zébulon sécurité. Fais un grand nettoyage avec CCleaner et ton "biscuit" récalcitrant devrait retourner dans sa tombe : http://www.ccleaner.com/ccdownload.asp

Bonjour à tous . En plus de vos judicieux conseils sur l'utilisation plus que dangereuse du baudet à vermines et des bienfaits de l'utilisation de Zebprotect, j'ajouterai mon petit tuto (un peu de pub pour la vieille taupe ) sur la sécurisation de Firefox à ne pas oublier si l'on a de jeunes ados clic-sur-tout : http://forum.zebulon.fr/index.php?showtopic=69628 Bon dimanche avec ou sans BBQ (brochettes au St Nectaire pour Tesgaz )

Hi, Hi, Hi . Pas besoin de Gator pour générer du spam, la preuve : Durant trois ans une base de données contenant des dizaines de milliers de noms, adresses, numéros de téléphone a été accessible sur le site internet de Disneyland Resort Paris. Heureusement aucune information bancaire n'était disponible. "Des fichiers contenant les noms, prénoms, adresses, adresses mails de personnes s'étant inscrites à un jeu concours lors de l'ouverture du second parc de Disneyland Paris étaient effectivement accessibles à des gens spécialisés depuis notre site", a expliqué le porte parole d'Eurodisney Pieter Boterman, en référence aux spécialistes de l'informatique. La brèche était accessible à partir des moteurs de recherche ou en se rendant à l'adresse www.disneylandparis.com/private. Les victimes potentielles auraient pu avoir des problèmes avec des pirates, spammeurs et autres e-escrocs. Zataz Journal Papier a dévoilé le problème le 6 juin 2005, qui a été par la suite relayé auprès de la direction d'Eurodisney par la section syndicale de la CFDT d'Eurodisney dans un courrier en date du 27 juin. Zataz affirme avoir essayé de contacter Disney et la Cnil (Commission nationale informatique et libertés). Ceux-ci ont affirmé ne pas avoir de trace de ces prises de contact.

C'est clair que tous les tests ne sont pas effectués sur les mêmes ports. Si tu veux vraiment tester un firewall, il faut en faire une dizaine que tu trouveras sur ce site (tu en as un qui dure 6 heures ) : http://www.alken.nl/online-security-check.htm

Tu as gagné le gros lot vu qu'aucun de tes ports n'est masqué . Ne désactives pas ProcessGuard surtout

Tu devrais lire ce post IPL car, ta question était proche de la vérité : http://forum.pcastuces.com/sujet.asp?SUJET_ID=188391

Salut Charles . Tous les firewall ne permettent pas de masquer les ports. Ceci dit, si tes ports sont fermés, le fait qu'ils soient visibles ne signifie pas pour autant que l'on va pouvoir entrer dans ton PC comme dans un moulin.

Avoir l'IP c'est une chose, entrer dans un PC bien blindé s'en est une autre beaucoup plus difficile.

Tu devrais faire ce test : http://www.pcflank.com/scanner1s.htm et obtenir ce résultat : TCP "ping" stealthed TCP NULL stealthed TCP FIN stealthed TCP XMAS stealthed UDP stealthed

Si l'on en croit Generation NT (je cite) : En fait, Microsoft ne semble pas s'intéresser au potentiel de ce type de programme, mais convoiterait surtout le très important réseau commercial de Claria qui lui permettrait d'améliorer ses revenus publicitaires via son service MSN. Autre bonus, il pourrait également s'approprier des technologies basées sur la personnalisation de la publicité. Après Yahoo ou Google, tout le monde semble s'organiser pour être prêt à se positionner sur le très juteux marché de la publicité. Histoire de pognon, encore et toujours hélas.

Ben oui, ce n'est jamais que des tests rapides portant sur les ports les plus courants. Si l'on veut en savoir un peu plus, on peut commencer par faire tous les tests de PCFlank et notamment le test exploits test qui va tester pas mal de ports en UDP comme ceux-ci notamment : 02/07/05,23:26:52 D-58 'Block : All other packet' 207.33.111.36 UDP Ports Dest:1434 Src:1262 02/07/05,23:26:52 D-59 'Block : All other packet' 207.33.111.36 UDP Ports Dest:tcpmux Src:39384 02/07/05,23:26:52 D-60 'Block : All other packet' 207.33.111.36 UDP Ports Dest:rje Src:39384 02/07/05,23:26:52 D-61 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:4 Src:39384 02/07/05,23:27:03 D-62 'Block : All other packet' 207.33.111.36 UDP Ports Dest:tcpmux Src:39384 02/07/05,23:27:03 D-63 'Block : All other packet' 207.33.111.36 UDP Ports Dest:tcpmux Src:39385 02/07/05,23:27:03 D-64 'Block : All other packet' 207.33.111.36 UDP Ports Dest:rje Src:39385 02/07/05,23:27:03 D-65 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:4 Src:39385 02/07/05,23:27:15 D-66 'Block : All other packet' 207.33.111.36 UDP Ports Dest:tcpmux Src:39385 02/07/05,23:27:15 D-67 'Block : All other packet' 207.33.111.36 UDP Ports Dest:csnet-ns Src:46437 02/07/05,23:27:15 D-68 'Block : All other packet' 207.33.111.36 UDP Ports Dest:acr-nema Src:46437 02/07/05,23:27:15 D-69 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:hostname Src:46437 02/07/05,23:27:21 D-70 'Block : All other packet' 207.33.111.36 UDP Ports Dest:csnet-ns Src:46437 02/07/05,23:27:21 D-71 'Block : All other packet' 207.33.111.36 UDP Ports Dest:csnet-ns Src:46438 02/07/05,23:27:21 D-72 'Block : All other packet' 207.33.111.36 UDP Ports Dest:acr-nema Src:46438 02/07/05,23:27:21 D-73 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:hostname Src:46438 02/07/05,23:27:27 D-74 'Block : All other packet' 207.33.111.36 UDP Ports Dest:csnet-ns Src:46438 02/07/05,23:27:27 D-75 'Block : All other packet' 207.33.111.36 UDP Ports Dest:997 Src:51098 02/07/05,23:27:27 D-76 'Block : All other packet' 207.33.111.36 UDP Ports Dest:998 Src:51098 02/07/05,23:27:27 D-77 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:996 Src:51098 02/07/05,23:27:33 D-78 'Block : All other packet' 207.33.111.36 UDP Ports Dest:997 Src:51098 02/07/05,23:27:33 D-79 'Block : All other packet' 207.33.111.36 UDP Ports Dest:997 Src:51099 02/07/05,23:27:33 D-80 'Block : All other packet' 207.33.111.36 UDP Ports Dest:998 Src:51099 02/07/05,23:27:33 D-81 'Block : All other packet' 207.33.111.36 F:UDP Ports Dest:996 Src:51099 http://www.pcflank.com/exploits.htm

Bonsoir Pollux . Une autre explication récente de Tesgaz ici : pas de soucis, c'est juste ZA qui travaille différement des autres firewalls et ne perd pas de temps à verifier l'authentification, donc, il considere le port 113 comme fermé plutot que de vouloir dire qu'il est invisible.

Bonsoir jfa. Si tu as Zone alarm comme firewall, c'est normal et sans inquiétude.

Nouvelle faille dans Internet Explorer La faille, qualifiée de «critique» par plusieurs firmes de recherche en sécurité informatique, permettrait l'exécution d'instructions sur des PC distants vulnérables. Dans son avertissement de sécurité numéro 903144, Microsoft reconnaît l'existence de cette brèche affectant sa machine virtuelle Java et précise qu'elle pourrait publier un correctif si son enquête révèle que cela s'avère nécessaire. La vulnérabilité tient au fait que le fichier «Javaprxy.dll» pourrait être exploité pour attaquer un PC vulnérable, par exemple lors d'une visite sur une page Web malveillante spécialement conçue à cet effet. La faille de sécurité affecte Internet Explorer 5.01, 5.5 et 6.0 sous certaines versions de Windows, en particulier IE 6 SP1 sous Windows XP SP1 et IE 6 sous XP SP2. En attendant l'éventuelle publication d'un correctif, Microsoft fournit quelques moyens pour contourner les exploitations potentielles, notamment l'augmentation à «élevé» du niveau de sécurité dans les zones locale et Internet des options d'Internet Explorer, la modification des paramètres pour qu'un avertissement soit affiché avant l'exécution d'un module ActiveX ou même une solution draconienne qui consiste à supprimer la machine virtuelle Java de Microsoft. Tous les détails chez Microsoft. edit par megataupe : à priori, il ne doit plus y avoir beaucoup d'internautes qui utilisent encore la machine Java de Microsoft mais, il me semble avoir vu le fichier Javaprxy.dll dans un log HJT très récent. Source : BRANCHEZ-VOUS.com

Ben, je vais le virer avant que tu ne le passes au lance-flammes Bon appétit à la petite famille

Voici d'ailleurs le log des process en mode sans échec : Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\dmadmin.exe G:\WINDOWS\Explorer.EXE G:\Program Files\Hijackthis\hijackthis\HijackThis.exe

On l'espére tous IPL . Mais, qui sait si un jour un petit malin n'y arrivera pas .

Bon, j'ai vérifié avec ProcessExplorer. ProcessGuard est inactif en mode sans échec et donc pas de nature à contrarier HijackThis.

Ben, tu oublies celui d'IPL . Bonnes merguez à la mode dézingué .

---édité par ipl_001 : post transféré -> http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry528700 Tiens, j'y pense. Ce serait amusant que les "baroudeurs" du forum publient leur log HijackThis afin que Tesgaz se régale en transformant leur PC en désert de Gobi .

Bonjour à tous. Suite à quelques essais avec HijackThis, je me suis aperçu que ProcessGuard (il porte bien son nom le maton des PC) bloquait HJT lorsque l'on cliquait sur Fixed et empéchait évidemment HijackThis d'effectuer toute suppression. Je préconiserai donc d'ajouter au début de la phase 2 ce qui suit car, je ne suis pas certain que ProcessGuard ne se lance pas au démarrage, même en mode sans échec, puisqu'il surveille aussi le système. Attention. Si vous utilisez ProcessGuard, ouvrez-le, cliquez sur l'onglet Main puis décochez les cases Protection Enabled et Execution Protection, validez par oui à chaque demande et fermez ProcessGuard.

Par contre, pour la startup list celle-ci est toujours OK : http://www.bleepingcomputer.com/startups/Cat-C.html

Un rootkit chez ILP . J'ai droit à ProcessGuard en page d'accueil, sont chouettes chez CastleCopsl . Par contre, celui là est out depuis hier soir : http://forum.malwareremoval.com/viewtopic.php?t=320 ) A quand le tour de Zeb Sécu

Bonjour Chercheur . Il serait bon aussi de vérifier la liste de démarage : Pour tkilla, tu fais la commande suivante : démarrer, éxecuter et taper msconfig puis OK dans la fenêtre qui s'ouvre cliquer sur l'onglet démarrage et nous dire ce qui s'y trouve. edit : clic droit sur poste de travail/propriétés/dans la fenêtre propriétés système tu cliques sur l'onglet avancé puis dans démarrage et récupération tu cliques sur paramétres et tu décoches redémarrer automatiquement dans défaillance du système.

Re. Je ne crois pas trop au zombie qui hante ton PC mais, tu peux vérifier si ce fantôme est actif par un scan à faire ici : http://www.pandasoftware.com/products/acti...n_principal.htm ensuite, tu télécharges cet utilitaire : http://www.f-secure.com/blacklight/try.shtml et tu le lances en mode sans échec : au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].