megataupe

Bonjour Korentin . Il faut préciser que la licence Look'n'Stop est une licence à vie que tu ne payes qu'une fois, il n'y a pas de réabonnement annuel. Le mieux est évidemment de l'essayer pendant 30 jours et de te faire ta propre opinion.

Bonjour à tous. C'est clair que normalement tous vos ports doivent être masqués et que les ports 80 (accés Internet) ou 443 (mode HTTPS pour les sites sécurisés) doivent néanmoins pouvoir autoriser les services et applications à sortir sur le net. Ci-dessous, un exemple de scan réalisé par Trend Micro : Félicitations: votre système est sûr Ports ouverts/fermés sur votre machine: Ports ouverts: 0 Ports fermés: 443, 53, 25, 22, 80, 21 Ports ne répondant pas: 3128, 5900-5910, 500, 445, 8080, 8787, 113, 54320, 12345, 143, 139, 79, 23, 110, 138, 137, 135, 119 Si un port ne répond pas, c'est peut-être parce que votre pare-feu fonctionne au niveau maximal de sécurité ou qu'aucun service n'est ouvert sur ce port installé sur votre ordinateur. Dans les deux cas, le niveau de sécurité est maximal, car les hackers ne peuvent collecter aucune information sur votre système, pas plus qu'ils ne peuvent accéder à l'un de ces ports. 3128 fermé Problèmes ne pouvant affecter votre ordinateur: Chevaux de Troie sur ce port. Services connus sur ce port: SQUID / Trojan:[RingZero]! 5900-5910 fermé Problèmes ne pouvant affecter votre ordinateur: VNC est l'outil de gestion à distance d'AT&T Services connus sur ce port: VNC 500 fermé Problèmes ne pouvant affecter votre ordinateur: Protocole Internet Security Association et Key Management (ISAKMP) - Ce port est disponible sur la plupart des systèmes qui supportent IPsec. Services connus sur ce port: ISAKMP 445 fermé Problèmes ne pouvant affecter votre ordinateur: Avec Windows 2000, Microsoft a créé un nouveau transport pour SMB sur TCP et UDP, sur le port 445. Il remplace l'ancienne implémentation, qui utilisait les ports 137, 138, 139. Pour plus d'informations, reportez-vous à la description du port 139 Services connus sur ce port: Microsoft-DS 443 fermé Problèmes ne pouvant affecter votre ordinateur: Ce port est utilisé pour fournir des données http cryptées (sûres). Les problèmes sont les mêmes qu'avec le port 80 ouvert. Services connus sur ce port: SSL 8080 fermé Problèmes ne pouvant affecter votre ordinateur: Chevaux de Troie sur ce port. Services connus sur ce port: Trojan:[RingZero]! 8787 fermé Problèmes ne pouvant affecter votre ordinateur: Chevaux de Troie sur ce port. Services connus sur ce port: Trojan:[back Orifice]! 113 fermé Problèmes ne pouvant affecter votre ordinateur: Service Ident ou Auth, utilisé pour identifier les utilisateurs. Il fournit aux hackers des informations sur votre système. Services connus sur ce port: Ident / Trojan:[invisible Identd Deamon]! / Trojan:[Kazimas]! 54320 fermé Problèmes ne pouvant affecter votre ordinateur: Chevaux de Troie sur ce port. Services connus sur ce port: Trojan:[back Orifice 2000]! 12345 fermé Problèmes ne pouvant affecter votre ordinateur: Chevaux de Troie sur ce port. Services connus sur ce port: Trojan:[GabanBus]! / Trojan:[NetBus 1.x]! / Trojan:[NetBus 1.7(*)]! / Trojan:[Pie Bill Gates]! / Trojan:[WhackJob]! / Trojan:[X-bill]! 143 fermé Problèmes ne pouvant affecter votre ordinateur: Un hacker est peut être en train d'analyser votre système pour détecter si le service IMAP4 y est disponible. Ceci en prévision d'une future attaque, ou pour vérifier si votre système est susceptible d'être attaqué. Services connus sur ce port: IMAP 139 fermé Problèmes ne pouvant affecter votre ordinateur: Il s'agit du port le plus dangereux sur Internet. Tous les paramètres de "Partage de fichiers et d'imprimantes" d'une machine Windows utilisent ce port. Environ 10% des utilisateurs Internet laissent leurs disques durs exposés par l'intermédiaire de ce port. Il s'agit du premier port auquel les hackers cherchent à se connecter, et aussi du premier que bloquent les pare-feu. Services connus sur ce port: NetBIOS Session (TCP) 53 fermé Problèmes ne pouvant affecter votre ordinateur: L'ancienne version de serveur BIND (Domain Name System ou DNS) qui fonctionne sur systèmes UNIX est connue pour être vulnérable. Sur un système UNIX, il est possible d'obtenir un accès root grâce aux attaques par débordements de tampon (Buffer Overflows). Services connus sur ce port: DNS / Trojan:[bonk (DoS)]! 79 fermé Problèmes ne pouvant affecter votre ordinateur: finger divulgue des informations sur votre système. Elles peuvent serivr à pirater votre ordinateur. Désactivez finger si vous n'en avez pas besoin. Services connus sur ce port: Finger / Trojan:[Firehotcker]! 25 fermé Problèmes ne pouvant affecter votre ordinateur: Si vous ouvrez SMTP, votre ordinateur pourra servi à envoyer des attaques de spam (envoi massif d'e-mails) Services connus sur ce port: SMPT / Trojan:[Aji]! / Trojan:[Antigen]! / Trojan:! / Trojan:! / Trojan:[Gip]! / Trojan:[Happy99/Ska]! / Trojan:[Haebu Coceda]! / Trojan:[Loveletter]! / Trojan:[Kuang2]! / Trojan:[Magic Horse]! / Trojan:[Moscow Email Trojan]! / Trojan:[Neabi]! / Trojan:[ProMail trojan]! / Trojan:[NewApt, T:Shtrilitz]! / Trojan:[stealth]! / Trojan:[Taripas]! / Trojan:[Terminator]! 23 fermé Problèmes ne pouvant affecter votre ordinateur: Telnet est le programme le plus utilisé pour se connecter à distance à des machines UNIX. Cependant, il n'est pas recommandé de l'utiliser, car il ne crypte pas les données transférées et présentes de sérieuses failles de sécurité. Services connus sur ce port: Telnet / Trojan:[Prosiak (telnet)]! / Trojan:[Tiny Telnet Server]! / Trojan:[Truva Atl]! / Trojan:[Telnet]! / Trojan:[Wingate]! 22 fermé Problèmes ne pouvant affecter votre ordinateur: SSH fonctionne par défaut sur le port 22 en TCP. Les clients utilisent des ports aléatoires pour se connecter sur le port 22 du système auquel ils tentent d'accéder. Les essais de connexion sur le port 22 en TCP sont souvent le fait de hackers à la recherche de systèmes ssh présentant des failles bien connues Services connus sur ce port: SSH / Trojan:[abc]! 80 fermé Problèmes ne pouvant affecter votre ordinateur: HTTP (HyperText Transfer Protocol) est le protocole de base pour le transfert des pages web. Si ce service est ouvert, les pages web publiées par votre système peuvent être vues de l'extérieur. Un grand nombre de vers et virus (comme Nimda) ont utilisé ce service pour se répandre. Microsoft Internet Information Server (IIS) était particulièrement affecté. Si vous ne fournissez que des informations à usage interne, dans votre intranet, fermez ce port. Dans tous les cas, assurez-vous que vous avez installé les patches les plus récents ! Services connus sur ce port: HTTP / Trojan:[back End]! / Trojan:[Executor]! / Trojan:[Hooker]! / Trojan:[RingZero]! 110 fermé Problèmes ne pouvant affecter votre ordinateur: Post Office Protocol - Version 3. S'il est ouvert, vous fournissez des comptes e-mail à l'extérieur. Certains serveurs POP3 présentent des failles de sécurité, peut-être avez-vous un cheval de Troie en train de fonctionner sur votre système. Services connus sur ce port: POP3 / Trojan:[ProMail trojan]! 138 fermé Problèmes ne pouvant affecter votre ordinateur: Utilisé par Windows (et des services UNIX comme SAMBA). Sur Internet, le principal danger est lié à l'envoi par les hackers de messages "malins" à destination de ce port. Ils peuvent ainsi convaincre Windows que la machine est "locale", et contourner certains paramétrages de sécurité Microsoft différenciant les zones "locales" et "Internet". Services connus sur ce port: NetBIOS datagram 137 fermé Problèmes ne pouvant affecter votre ordinateur: Les administrateurs de pare-feu verront souvent un grand nombre de paquets entrants sur le port 137. Cela est dû aux serveurs Windows qui utilisent NetBIOS (ainsi que le DNS) pour convertir les adresses IP en noms, en utilisant la fonction gethostbyaddr(). Lorsque les utilisateurs derrière un pare-feu surfent sur des sites web utilisant des serveurs Windows, ces derniers répondent fréquemment par des recherches (lookups) NetBIOS. Services connus sur ce port: netbios nameservice 135 fermé Problèmes ne pouvant affecter votre ordinateur: Le service Microsoft DCE Locator, aussi appelé end-point mapper. Il fonctionne comme le portmapper RPC de Sun, sauf que les end-points peuvent aussi être des pipes nommés. Microsoft utilise le RPC DCE pour gérer les services à distance. Lorsque ce port est ouvert, les hackers peuvent identifier les services qui fonctionnent et y accéder. Services connus sur ce port: EPMAP 119 fermé Problèmes ne pouvant affecter votre ordinateur: Le protocole NNTP (Network News Transport Protocol) est utilisé pour transférer des messages USENET via Internet. Les hackers espionnent régulièrement Internet pour trouver des machines pouvant accepter ce service. Il recherchent avant tout des machines à partir desquelles ils pourront lire et envoyer des messages de manière anonyme. Certains sites web listent des serveurs NNTP "ouverts", qui peuvent être utilisés anonymement. Services connus sur ce port: NNTP / Trojan:[Happy99/Ska]! 21 fermé Problèmes ne pouvant affecter votre ordinateur: FTP est l'un des plus anciens protocoles Internet. On connaît de nombreuses failles de sécurité au niveau des serveurs ftp, ou du protocole lui-même. Si ce service est ouvert, vérifier que votre serveur ftp est sûr ou utilisez une autre méthode pour transférer vos fichiers. Services connus sur ce port: FTP / Trojan:[back Construction]! / Trojan:[blade Runner]! / Trojan:[Doly Trojan]! / Trojan:[Fore]! / Trojan:[7tp trojan]! / Trojan:[invisible FTP]! / Trojan:[Larva]! / Trojan:[MBT]! / Trojan:[Motiv]! / Trojan:[Net Administrator]! / Trojan:[senna Spy FTP Server]! / Trojan:[Traitor]! / Trojan:[WebEx]! / Trojan:[WinCrash]! Certains d'entre vous remarqueront que le port 80 est indiqué fermé alors que j'ai bien une connexion Internet active. Ceci tient au fait que j'utilise SpyBlocker qui agit en proxy local sur ce port 80 et utilise en lieu et place du port 80 les ports 1027 et 1028 pour filtrer les connexions.

Bonjour Chepiok. Les règles inactives peuvent évidemment être supprimées mais, elles peuvent aussi, dans des cas particuliers, avoir à être activées (dans le cas d'utilisation d'un serveur par exemple) et il me semble préférable de ne pas modifier ce jeu de base. Tu peux par contre faire des essais en supprimant les règles inactives puis, en exportant ce nouveau jeu de règles (tu le nommes Phantom Chepiok par exemple), que tu pourras importer ensuite pour faire des tests de pénétration. Je viens de créer un jeu de règles Phantom's Lite (en supprimant 90% des règles inutiles, si l'on n'est pas en réseau) et voilà ce que ça donne : GRC Port Authority Report created on UTC: 2005-05-30 at 10:02:41 Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113, 119, 135, 139, 143, 389, 443, 445, 1002, 1024-1030, 1720, 5000 0 Ports Open 0 Ports Closed 26 Ports Stealth --------------------- 26 Ports Tested ALL PORTS tested were found to be: STEALTH. TruStealth: PASSED - ALL tested ports were STEALTH, - NO unsolicited packets were received, - NO Ping reply (ICMP Echo) was received. Le même test sur Blackcode indique que les 1000 premiers ports sont Stealth :vraiment costaud Sir Phantom .

Parce que tu devrais normalement avoir Explorer.exe et tu as : C:\WINDOWS\Explorer.EXE ce qui m'intrigue mais, je ne trouve pas la raison de cet exe en majuscules (EXE). IPL a peut être une explication ?

Bonjour bixb. Es-tu certain d'avoir ces deux exe sur ton log ? C:\WINDOWS\Explorer.EXE O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

Bonjour DD11. Le DSO exploit est un faux positif de spybot (à mettre dans la liste des exclusions pour les scans). Concernant PowerScan, voir ici ce qu'en dit PestPatrol : http://www3.ca.com/securityadvisor/pest/pe...px?id=453077266 Bon dimanche aussi

Bonjour invic. Zebprotect est fait pour toi et la sécurité de ton PC : http://www.zebulon.fr/articles/zebprotect.php

Bonjour IPL, bonjour à tous . Merci de l'attention IPL mais, je vois que Tesgaz à déjà rendu son verdict = direction corbeille, ne figurera plus au guide Michelin . De plus, ce soft n'est pas simple à mettre en oeuvre pour l'utilisateur lambda et je lui préfére SpywareStopper de Paul Kurland qui décrit avec précision les 21 services sensibles de Windows (les mouchards et les services à risques) et permêt d'un clic de mulot d'activer/désactiver un ou plusieurs services (je n'en ai que 3 en enable, un peu comme Tesgaz d'ailleurs, ce qui est plus que suffisant). Bon dimanche avec ou sans pluie sur Roule-en-Carosse

Bonjour et bienvenue sur Zébulon sécurité. Pour te répondre, il faudrait d'abord nous indiquer si tu as utilisé Zebprotect et les règlages de ton firewall.

Tu peux utiliser celui que tu veux (ce n'est pas les nettoyeurs qui manque) en sachant toutefois que CCleaner va nettoyer avec délice ton dossier Prefetch (un nettoyage 1 fois par mois est très suffisant) et qu'il devra se reconstruire mais, cela se fait rapidement.

Il faut savoir que CCleaner détruit entre autres le dossier Prefetch et il faut redémarrer le PC pour que Windows le reconstruise et réordonne les préférences des applications. Pourquoi aussi utiliser 2 nettoyeurs à la file, un suffit largement ?

Envoie la petite image mais, le problème peut aussi venir du site que tu visites (normes pour IE peut être, alors ça coince le Fox qui lui est à cheval sur les normes).

Tiens, j'ignorais qu'IPL avait un compte à la banque du Farwest . Plus sérieux, j'ai reçu aussi quelques mails du genre toujours en Anglais mais, ces petits malins vont finir par apprendre le Français alors, prudence. Mise à jour de la barre Netcraft pour le Fox mais, j'ai pas trouvé de nouveautés (plus d'URL de banques ciblées peut être ???).

Pour vraiment le virer, il faut aller supprimer la clé dans le registre (tu suis le chemin indiqué par Spybot lorsque tu sélectionnes Alexa).

Bien. Pour alexa, tu le colles en quarantaine et tu l'oublies car, il est innofensif. Pour ton problème de liens avec Firefox, tu peux tenter de réparer ce problème avec setbrowser, un utilitaire très simple qui va rétablir les liens (normalement). http://www.pc-tools.net/win32/setbrowser/

Bonsoir Hungo. Pour Alexa, voici ce qu'en dit Spybot : Pourquoi Spybot-S&D ne découvre-t-il pas et n'enlève-t-il pas la clé Alexa pour la fonction Liens (What's related) d'IE comme d'autres logiciels anti spyware? Cette clé est souvent simplement appelée Alexa, mais c'est faux pour deux raisons: 1. l'appeler simplement Alexa pourrait entraîner une confusion avec la barre d'outils Alexa, et ce n'est pas une clé créée par Alexa. C'est une clé de Microsoft Internet Explorer qui pointe vers une DLL Microsoft et un fichier HTML Microsoft local. Ce dernier redirige vers une page en ligne de MS, et seule cette page redirige vers le moteur de recherche Alexa. Utilises tu une barre d'outils avec IE ? Pour ton point 2, il faudrait un peu plus d'explications pour répondre.

Montée d'adrénaline sur le central elle ne lache rien l'émule (pas confondre avec le baudet) de Monica Séles (celle qui vociférait sur chaque coup).

Merci de répondre dans le premier sujet ouvert. Ceci dit, à part la toolbar MSN (vecteur de cochonneries ce MSN), ton log semble propre maintenant mais, attend qu'IPL (apparemment devant son écran télé pour la petite balle jaune) te confirme cette bonne nouvelle.

De rien. Pense à éditer ton post pour ajouter résolu dans le titre et l'envoyer ensuite sur le forum sécurité à l'intention de mes petits camarades nettoyeurs qui t'avaient déjà bien aidé. Bon bac et à bientôt (sans cafard j'espère)

Salut sacles. En fait Spybot lit le hosts de SpyBlocker et détecte évidemment CWS. Le mieux et de l'exclure du scan ce CWS.

Bonjour à tous. Un des derniers faux positifs de la nouvelle version de Spybot, souvent signalé. Attendre un correctif .

Pour IPL. Ces deux lignes sentent pas bon (à mon avis, je progresse ?) : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://morwillsearch.com/?adv_id=fish&sub_id= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://morwillsearch.com/?adv_id=fish&sub_id= La suite : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MWSearch HKEY_LOCAL_MACHINE\SOFTWARE\MWSearchCo\MWSearch HKEY_CLASSES_ROOT\MWSearch.StockBar HKEY_CLASSES_ROOT\MWSearch.StockBar.1 HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} HKEY_CLASSES_ROOT\MWSearch.cfgwr.1 HKEY_CLASSES_ROOT\MWSearch.cfgwr HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C} HKEY_CLASSES_ROOT\MWSearch.tbactivator.1 HKEY_CLASSES_ROOT\MWSearch.tbactivator HKEY_CLASSES_ROOT\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478} HKEY_CLASSES_ROOT\TypeLib\{84C94803-B5EC-4491-B2BE-7B113E013B77} HKEY_CLASSES_ROOT\Interface\{6DEEE498-08CC-43F0-BCA0-DBB5A25C9501} HKEY_CLASSES_ROOT\Interface\{DCFAB192-4A0E-4720-8E24-70D5F0CB8C39} HKEY_CLASSES_ROOT\Interface\{F4394F24-163D-430B-B5AF-B68B56031B99} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFF5092F-7172-4018-827B-FA5868FB0478}

A première vue, tu n'as plus d'infection. Pour nail.exe, essaie de voir s'il n'est pas encore dans msconfig : 1- Démarrer.. exécuter.. taper msconfig onglet démarrage rechercher la ligne nail.exe (si elle existe) (élargir la colonne centrale, si nécessaire car c'est là où est l'information déterminante..) décocher la ligne clic..sur appliquer..puis sur OK Redémarrer le PC (démarrage sélectif) 2- Démarrer, exécuter, taper regedit, Dans Regedit, menu édition, rechercher nail.exe Supprimer en partie droite cette donnée.. F3 pour continuer la recherche jusqu'à complète suppression OK pour application. Redémarrer le PC

Ben, tant pis , on va donc continuer à utiliser la barre Netcraft qui me semble fort efficace dans ce domaine : http://audited.netcraft.com/bank-fraud-detection

Merci pollux , me voilà désormais affublé d'une couronne . Ce qui est rassurant, c'est de voir que la relève semble assuré avec de nouveaux membres motivés comme toi (et ceux que j'oublie ) et c'est tant mieux car le combat ne fait que commencer.