TA-K-2-PT

Salut, Si je peut me permetre de donner mon humble avis. Comme la dit robert somers,un comportement sain et le plus important. Pour l'anecdote,ma mere qui comme beaucoup de gens ne connait pas grand chose en informatique.Et souhaite en gros que sa marche le reste elle s'en fout. Lire ses mails,surfer un peu et voila. Je surveille son pc,j'avait installé spybot S&D,avast,et laissé le firewall de XP SP2. Recement j'ai installé antivir (version gratuite,personnal edition je croit) + AVG 7.5 (en solution gratuite) ,ajouter un host un peu plus consequent. Aucune extension firefox (mais firefox bien MAJ). Et ma mere allant sur des site sain(pas de sites X ,hack,P2P ect...),et ben je n'ai jamais trouvé de virus,spy ou autre bestiole dessus. Tous sa pour dire que meme les utilisateurs qui veulent juste utiliser leur pc sans rentrer trop dans le details,peuvent le faire sans gros risque.Et que le 1er anti bestioles et le comportement de l'utilisateur. Evidment le risque 0 n'existe pas. Voila un exple d'un pc pas sur securisé qui avec une utilisation "serieuse" n'as pas de probleme majeur. @++++ PS: pour antivir c'est vrai que les MAJ sont parfois galere,mais au final elle se font.Donc moi je lance la MAJ,sa marche pas,ba je réessaye 1/2 H apre et generalement sa le fait. Apres en cas de probleme,antivir est plus performant.Encore une anecdote vite fait,dans mon ancienne team HL2,un membre avait un virus qu'il n'arriver pas a suprimer (il avait avast). Quelque semaines apres j'ai posté le lien du topic Avast VS antivir,il a installer antivir,et il a detecte le virus et un cheval de troie. Depuis son pc remarche correctement.

Re, Je fait remonter le topic afin de savoir si quelqu'un peu me dire que signifie ces messages d'erreurs.Notament le 1er svp. Merci @+++

Salut, Voila j'ai telechargé un nouveau mod du jeu HL2,le mod Riot Act. Et il ne marche pas,l'installation se fait normalement,mais au lancement du jeu,au moment ou le jeu se charge,je revient sur le bureau et je voit succesivement ces 2 messages d'erreurs: J'ai téléchargé plusieur .exe pour ce mod et a chaque fois j'ai ce probleme.Les gens autour de moi n'ont pas ce probleme,j'en conclu que cela vient de mon pc. Donc il faudrait que je sache que signifie ces messages d'erreur ,que je ne comprend pas. J'ai installé a chaque fois avec Total Uninstall 2.35,mais si cela vient de ça ,c'est bien la premire fois depuis que j'utilise ce programme (et sa fait pas mal de temps) que j'ai un tel probleme. J'ai aussi d'abord penser a une regle de SSM,je l'ai donc fermer et installer apres le mod,toujour les messages d'erreurs. Donc si quelqu'un peut m'aider serait avec plaisir. Merci @+++ PS: entre chaques déinstallation/réinstallation,je netoyais ma base de registre.

Salut, ba suis pas hacker professionnel donc je sait pas,mais maintenant que tu le dit sa semble effectivement logique de shooter le firewall. Ensuite j'ai il me semble trouvé le probleme.En fait c'est (peu etre) dut a une MAJ de avira premium security suite (celle du Mardi 4 septembre). Enfin comme sa depend de vos reglages de MAJ,c'est la derniere MAJ,avant une grosse MAJ qui apre vous propose un nouveau service Webguard. J'ai eu cette grosse MAJ ce soir en allumant mon pc,et j'ai vu que le processus en question etait MAJ. Donc peut etre que celle d'avant etait "defectueuse". Si quelqu'un a le firewall d'avira premium suite et a consaté le meme "probleme",qui me le disent svp.Car apre mauvaise manip j'ai du reinstaller avira PRE. Suite,donc je n'ai plus le rapport qui pourai me dire si l'explosion de ce processu a eu lieu juste apre une MAJ. Voila donc pas de probleme.Mais le coté soudain de ce truc ma fait flipper,et comme suis pas non plus un expert (et qu'il etait 6H du mat) ba j'ai pas forcement fait le raprochement avec la MAJ. @++++ PS: parano quand tu nous tien MAIS :mieu vaut prevenir que geurir

Je cré un 2nd post pour eviter d'ecrire un pavé. Juste pour une precision,au moment ou le processus en question etait a 100% j'ai scanner tout les processus (dont celui ci donc) en cours. Rien de détecté.Donc je ne pense pas a une infection.Par contre je ne sait pas ce qui c'est passé,et c'est la 1er fois que sa arrive.

Salut, Voila a l'instant il vient de m'arriver un truc que je ne comprend pas. J'etait sur skype avec un pote,puis d'un coup mon pc rame je regarde le gestionnaire de taches et le processus avfwsvc.exe bouffe tout,bloquer a 100%. Ce processus fait parti de mon firewall,il n'as jamais exploser a 100%. J'ai de suite fait des scan pour voir si il y avait une infection,rien de detecté.J'ai fait des recherches sur ce processus et j'ai trouvé 1 seul topic (sur le forum d'avira) ou un utilisateur parle de ce probleme. Mais le topic n'explique rien l'utilisateur ne repond plus et donc sa m'as pas avancé. Apre avoir essayer plusieur truc,comme me deconnecter du wi-fi,et la le processus retomber a 0%,c'est peu etre normal puisque non connecté. Puis je me reconnecte,processus normal,et dés que j'essayais d'aller sur firefox ou n'importe quelle aplication en rapport avec le net (steam pour half life,skype).Le processus remonter a 100%. Je n'y comprend rien,car apparement sa pourrait venir d'une aplication accepter dans le firewall,mais je n'ai rien rajouter.C'est arriver d'un coup,et quand j'etait sur skype j'avait des demande de connection qui arrivait.Ce qui ne le fait pas normalement. Bref j'y comprend rien,est ce que on a essayé de me hacker,suis je infecté (je ne pense pas car au moment ou j'ecrit ce post tous est rentré dans l'ordre,sans que je ne modifie rien de special.C'est comme si s'etait parti comme c'est venu,on ne sait d'ou) Pour vous donner un exple steam (pour half life)fesait exploser ce processus,et la je le lance et rien,processus normal,alor que j'ai rien modifié. Donc avant de balancer un rapport HJT qui est peu etre inutile,est ce quelqu'un a une idée de ce qui a put ce passé,malgres le peu d'explication (et de comprehension)que je peu apporter. Merci @+++ PS: j'ai recement installer SSM,sa ne vient pas d'une mauvaise manip car je n'ai rien touché dedans avant que sa arrive. PS²: y aurait-il des outils qui me permetrais de verifier si j'ai pas un rootkit qui se serait installer ou une infection particuliere ?

OK alor encore une question,j'ai essayé de chercher tous seul mais je trouve pas. En voulant me connecter a skype,j'ai voulu fermer l'aplication pour autorise certain regle de maniere definitive,donc j'ai d'abord tous bloquer temporairement. Donc cliker a fond sur bloker sur toute les alertes,sauf que dans la precipitation j'ai cliker sur bloquer definitivement une regles sur mon localhost.(je croit) Du coup je ne peu plus me connecter a skype a moin de desactivé la surveillance du reseau. Je voulais donc savoir que l'on n'accepte definitivement une regles ou qu'on la refuse (definitivement aussi). Si apre on veut suprimer cette regle precise ou la modifier,ou la trouver ? Dans l'onglet Regles--->Reseau je ne la voit pas, ni dans aplication--->Bloked Donc je ne sait pas ou chercher. Merci. @+++ PS: sa y est j'ai trouvé y suffit simplement dans aplication de suprimer la regles de l'aplication en question et au lancement de celle ci les fenetres d'aletres aparaitront et la on choisit en fonction. Donc aucun probleme.

OK,donc j'ai bien fait les modif que tu m'as dit,notament pour le reseau. @+++ Merci encore. PS:Ptit probleme j'ai du resintaller apre avoir suprimer une ligne dans l'onglet reseau.Je refait les reglages,et je croit que se sera bon. A la limite j'aurai peu etre une question au niveau du journal,mais je verrai le moment venu. Merci pour tes explications sans lesquelles j'aurai abandonné le truc,c 'est vraiment cool. Ha si pardon un truc (encore,oui je sait lol) dans le module demarrage j'ai mit "bloquer les changements" bien,pas bien ?

OK merci de ces conseils bien utile. Je suis en train d'etablir des regles pour firefox,et une me "pose probleme" Dans l'onglet Regles --->protection--->Proteger du contrôle du code par un autre processus Alor quand je coche oui (enfin tiret vert) sa ralenti considerablement mon surf et je n'ai aussi pas le meme affichage de la page (par exple quand j'arrive sur google). Donc est ce que au nivreau de la securité c'est une option importante (meme si on pert en rapidité),ou est ce que je peu ne pas cocher cette case ? Merci bien encore une fois pour ton aide. @+++ PS: effectivement apre avoir mit le mod aprentissage et lancer mes aplications (sauf le web) j'ai bien decoché cette case. A pardon un complement,pour les modules est ce qu'il faut activer le module pour les services car apres reboot certain service on etait modifier,ceux ci correspondait a des service que j'avait desactiver suite a ce topic

OK,j'ai bien suprimé les regles "inutiles" et donc je n'ai plus cette fenetre. A ce moment je n'ai plus de fenetre qui apparait lorsque je lance une aplication,je met le topic comme resolu.Et en cas de doute je reposterai ici pour pas en cre un 2eme. Merci bien. @+++

OK merci bien j'ai pu un petit peu plus optimiser mon pc grace a ce topic,c'est cool. @+++

Ok donc j'ai cré les fichiers bat et je m'en servirai en cas de besoin. Sinon pour le dhcp,je vais bien etudier le lien,car j'avou l'avoir survolé et j'aviserai en fonction. J'ai juste une derniere question ces deux services a quoi servent-il,j'ai fait des recherches mais je n'arrive pas a trouvé: -ForceWare Intelligent Application Manager (IAM) -ForceWare user log service Merci @++++

OK j'ai donc fait ce que tu ma dit ,mode aprentissage et j'ai ouvert et executer toutes les aplication et sous aplication. Maintenant ,et je pense que au niveau securité c'est important c'est pour firefox et IE.Bon IE je m'en sert que pour allé sur windows update. Pourrait tu m'aider dans ces configurations stp ? Ensuite juste une question j'ai reglé les MAJ windows sur "me prevenir lorsque les MAJ sont telecharger et prette a installer" un truc comme ça. Est ce que je doit ajouter une regle precise pour que cela s'effectue ? Merci beaucoup de ton aide tres precieuse. @+++ heu j'ai une question sur le mode aprentissage: Lorsque je l'ai decocher j'ai eu cette fenetre: Je pense que cela vient par exple du fait que pour Nero je n'ai pas graver de CD juste comme sa pour le plaisir,et True image je n'ai pas fait d'image non plus. Je n'ai ni mit oui ni non j'ai fermer la fenetre. Sur ce point que foit je faire ? PS: desolé de posé autant de questions ,j'espere que je ne vous soule pas.

Salut, Alors j'ai besoin de quelques renseignements svp : -1er: au niveau de ces processus doit je bloquer les aplication enfant de ceux ci : -svchost.exe -wmiprvse.exe -spoolsv.exe Et d'une maniere generale bloquer d'autre aplication enfant d'autres processus ? Ensuite apre reboot j'ai cette fenetre qui s'ouvre (sur le coup sa m'a fait flipper serieu) On voit sur ce screen le chiffre 2 apres PHYSICALDRIVE j'ai les meme fenetres jusqu'au chiffre 31 C'est quoi ce truc et c'est dangereux ?,svp rassurez moi,car je fait attention avec mon pc je verifie souvent si il n'y a pas d'infection j'ai des outils apparement efficace,j'ai bien regardé la methode de desinfection de zeb depuis longtemp et m'en sert pour faire mes verifications. Et rien n'est trouvé,dans le gestionnaire de taches l'UC est normal,c'est a dire pas bloquer a 100%,et basse. -Et ensuite dernier point pour ces processus: -alg.exe -rundll32.exe doit je les autoriser et pareil bloquer les aplication enfant de ceux ci ou pas? (sa revient un peu a ma 1er question) Pour rundll32.exe il n'apparait plus dans le gestionnaire de taches,ni dans SSM apre ce reboot,cela a t-il un rapport avec le fait que j'ai bloker les fenetres 2-->31 de PHYSICALDRIVE ? ou cela vient il du bloquage d'un autre processus ? Merci @+++

OK merci Sacles pour ces precieux details. Je revient sur ce que j'ai dit (j'ai un sacré défaut c'est que je parle trop vite et ne réflechit pas avant,honte a moi). Le processus avfwsvc.exe est bien un processus de mon firewall,parfaitement legitime.Dans le topic que j'ai vu ou l'utilisateur se plaignait de % prit par celui ci,c'est a mon avis un probleme qu'il avait au niveau de certaine aplications acceptées dans son firewall,ou qu'il est infecté par quelque chose qui fait que ce processus bouffe tout.Tous comme les topics que j'ai vu a droite a gauche la dessus. Ce processus est bien precent sur mon pc mais ne bouffe rien,et mon pc est clean c'est sur et certain. Apre si quelqu'un peu me renseigner sur ce que gere ce processus exactement dans le firewall de avira premium security suite,je veut bien. Voila donc rien de grave,tous va bien. Merci @++++ PS: je laisse le topic comme non resolu pedant un petit temp,au cas ou j'aurai d'autres questions sur l'utilisation de SSM.Sera plus simple que de recrer un topic a chaque fois.

Salut, Je vient a l'instant d'installer SSM,et j'ai de suite une demande de modification du registre avec le processus avfwsvc.exe J'ai chercher sur google,et je suis tombé que sur des topics qui semble presenter sa comme une infection. Du coup je le bloque (pas definitivement),et forcement revient en permanence a telle point que j'ai pas pu regarder tranquillement le tuto de malekal morte. Donc je vous pose la question est ce que c'est vraiment une infection,ou juste un service de mon firewall (car c'est presenter comme ça). Merci @+++ Complement: Alor je suis tomber sur le forum d'aide d'antivir.Il y a un topic qui malheureusment n'est pas complet qui parle de sa,et l'utilisateur explique que sa bouffe 60 a 100 %de son CPU Et les autre topic sont en allemand,et je parle pas allemand malheureusement. Donc ba au final je sait pas quoi faire moi ,sa a pas l'air d'etre une infection mais sa bouffe toutes les ressources. Alor sa sert a quoi ce truc la!!!!

Salut, merci bien pour cette reponse detaillé. Alor,j'ai effectivement deja vu le tuto de tesgaz et vu les services a desactivé.Ensuite j'ai desativé le service Nvidia Display Driver. Pour ce qui est de l'ip fix ,je suis en wi-fi,donc par un modem routeur,et mon frere a fait cette manip au moment du passage en wi-fi.Je peut donc désactivé le services DHCP qui est en ce moment sur automatique je supose ? (J'hesite voir la fin du message). Sinon pour les services du fichier .bat pour reprendre dans l'ordre: -Mise à jour Automatique(Wuauserv): Je ne pense pas le desactiver car je ne pourrai utiliser windows update.A moin de le reactiver avec le fichier .bat a chaque fois.Suis un peu feneant. -Service de cryptographie(Cryptsvc): Je pense pas l'arreter toujours pour windows update,et pour WMP,meme si je m'en sert pas souvent,il est desfois necessaire pour mes videos d'HL2. -Service de Tranfert Intelligent(Bits): Alor la j'hesite car j'ai vu sur assite ça: Donc comme suis en wi-fi,il semble necessaire.Mais en meme temp j'ai desactiver les MAJ windows automatique donc je pourrait le desactiver. Qu'en pensez vous ? -Centre de Sécurité(Wscsvc): Meme si c'est pas utile du tout,je ne souhaite pas le desactiver,car spybot le detecte comme si s'etait une infection (le signale en rouge).Juste par maniaquerie je ne pense pas le desactiver. Donc au final juste 2 question: -est ce que je peu desactiver le services DHCP,vu que la manip d'ip fix a été faites ? Au vu de ces expliation j'hesite: Source: http://www.commentcamarche.net/internet/dhcp.php3 Est ce que c'est pour un pc qui se connecte pour la 1er fois au reseau,ou est ce que a chaque demarrage cette manip se fait ? -est ce que le "services de transfert d'intelligence" est indispensable au wi-fi,ou est ce que je peu le desactiver? Merci @++++

Salut, J'ai deja suprimé quelques services inutiles. Mais j'aimerai encore optimiser mon pc meme si il est puissant et demarre rapidement. Voila mon net start (j'ai enlevé les services que je souhaite garder,et j'ai laissé ceux sur lesquels j'hesite,ou ceux dont je ne sait pas a quoi il servent) : Microsoft Windows XP [version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\.....>net start Les services Windows suivants ont été lancés : Acquisition d'image Windows (WIA) Acronis Scheduler2 Service Appel de procédure distante (RPC) Audio Windows Avertissement Centre de sécurité Client DHCP Configuration automatique sans fil Connexion secondaire Connexions réseau Creative Service for CDROM Access Détection matériel noyau Emplacement protégé ForceWare Intelligent Application Manager (IAM) ForceWare user log service Gestionnaire de comptes de sécurité Gestionnaire de disque logique Infrastructure de gestion Windows Journal des événements Lanceur de processus serveur DCOM Mises à jour automatiques NLA (Network Location Awareness) Notification d'événement système NVIDIA Display Driver Service -----------------> ça je sait que c'est ma CG donc je pense a garder. Pare-feu Windows / Partage de connexion Internet Plug-and-Play Service de la passerelle de la couche Application Services de cryptographie Services Terminal Server Spouleur d'impression Station de travail Système d'événements de COM+ Thèmes La commande s'est terminée correctement. Merci @+++ PS: juste pour etre sur,c'est bien avec msconfig que je vais suprimer les service inutiles PS²: en cas de doute de votre part j'ai True Image et je peu faire une image au cas ou.De toutes façon y faut que j'en fasse une dans pas longtemp.

lu, oui effectivement j'avait deja lu ce topic,comme celui sur le crack. Je sais donc que c'est dangereux. Mais donc pour revenir au topic,effectivement c'est durant une connection P2P que quelqu'un a vu mon IP (apparement c'est tres simple) et c'est pour cela que mon firewall a detecté l'ICMP flooding,en resumant. Bon donc en gros meme sans avoir rien reçut en P2P ,juste le fait d'etre connecté est deja dangereux. Sa peu vous paraitre evident,mais moi j'avait pas vraiment realisé ça. Donc bah merci bien. @+++

Oula tu me fait peur la Alors j'ai testé,je me connecte a e mule je reste 1 min environ je deconnecte et je regarde dans mon firewall. Effectivement la fenetre de connection,heu comment dire tremble. Ce qui montre que oui j'ai des demande de connection apre etre deconnecté,mais elles echouent,car dans les evenement de mon firewall il n'y a pas ecrit qu'elle sont bloquées et elle n'apparaisse pas dans la fenetre des connections. J'en conclu que je reçoit des demande de connection mais qu'elles n'arrivent pas a etre etablient. J'ai essayé aussi juste apre etre deconnecté,de faire netstat et netstat -a (bon je decouvre juste ça,donc je suis loin de vraiment savoir ce que je fait avec ça). Il y a des connection de emule,mais c'est la meme chose quand je quitte zebulon par exple,firefox est fermer mais si je fait netstat j'ai encore la connection qui s'affiche.Donc la connection est encore presente (enfin c'est ecrit TIME WAIT,sa veut dire quelle est en attente,je supose). Donc la connection ne s'arrete pas dès que l'on quitte un site ou le navigateur,mais quelques seconde apre.C'est ce que j'en conclu. Et pour finir ma question est comment voir concretement les connections de emule qui arrivent apre etre deconnecté? Merci @+++ PS: c'est peu etre un peu confut ce que je vous dit,mais je capte pas tout,donc j'essaye de m'exprimer le plus clairement possible ,mais c'est pas forcement facile. ha désole je rallonge le truc mais une precision: C'est a dire? En fait en telechargent n'importe quoi sur du P2P tu peu etre mit en connection avec quelqu'un de mal intentionné et boum y peu t'arriver des problemes. Je veut dire avant meme d'avoir reçut le fichier [si c'est la cas c'est un vrai danger ce truc]

Ba parano oui et heuu oui parce que quand j'ai regarder ce que s'etait sur google y te disent:" oué faut reagir tout de suite bla bla bla" Sinon possible pour le P2P,par contre est ce que le fait de faire 2,3 ping peuvent etre consedere comme de l'ICMP flooding ? @++++

Ok,merci. Mais d'apre le forum Assiste sur ce topic ,il est bien dit que les MAJ beta peuvent engendrer des problemes et comme je ne me considere pas comme un utilisateur avancé (et ne sachant pas quel type de probleme peuvent etre rencontré). Je ne compte pas les installer. Evidement sa n'engage que moi. @+++

Ok merci pour ta reactivité et tes conseils. Je vais bien relire le topic pour voir les fonctions de SSM dans le detail,testé pendant 30 jour comme tu me le conseille. Et me decider ensuite. Je me permet juste de t'indiquer un topic que je viens de créer,et te demander si cette attaque aurait été detectée par SSM,et donc j'aurai été prevenu par une fenetre d'information truc dans le genre. http://forum.zebulon.fr/index.php?showtopic=128837 @++++

Salut, (bon deja j'ai trop plein de questions a vous posez,c'est pour sa que je cre souvent des topics en ce moment,mais je vais y allé progressivement afin de pas inonder le forum). Sur ce sujet la,j'ai vu dans les evenements de mon firewall une tentative d'attaque ICMP flooding (ou on s'est servit de mon pc pour essayer de lancer cette attaque,c'est plutot ça au vu des renseignements que j'ai eu.C'est a dire que ces attaques concernent plus les server que les utilisateurs.). Bon apparement sa n'a pas marché car l'attaque a eu lieu 2 fois dans un intervalle de quelques minutes,et a chaque fois a été stoppé en 3 secondes. Bref,le truc c'est que sa remonte a il y a plus d'une semaine,et que j'ai vu ça il n'y a que quelques jours.Donc je ne me souvient pas a ce moment precis quesque je fesait sur mon pc. Apres reflexion,je me dit que sa peut venir de 2 choses : -soit du P2P,puisque je voit desfois le host des gens avec qui je suis connecté,donc quelqu'un a put voir le mien et testé cette attaque.(je penche plus pour cette possibilité) -soit d'un test de port sur http://www.pcflank.com/scanner1.htm ou sur http://check.sdv.fr/ car j'ai lu sur assiste que certain outils de securité en ligne,essayé d'installer des bestioles lors du scan. [pour ceux qui saute au plafond en voyant que certain scan en ligne sont mal intentionner,je me permet humblement du haut de mes toutes petites connaissances de vous indiquer ce lien d'Assiste qui vous donne des scans en ligne sans danger] http://assiste.com.free.fr/p/boite_a_outil...l#scan_de_ports Donc je voudrait savoir quelle faille a été utilisée pour entrer dans mon pc,j'ai une petite idée (mais j'en suis par sur) et je prefere pas le dire ici. Le truc c'est que j'aimerais avoir plus de details sur cette attaque par exple d'ou elle provenait,enfin le maximum d'info possible.Or dans mon firewall il est juste ecrit ICMP flooding started,et ICMP flooding ended. Donc voila est ce que quelqu'un pourrait m'aider sur le fait d'authentifier la faille,trouver l'origine de l'attaque,quelle type d'ICMP flooding s'etait et toutes autre informations qui pourrait m'aider. Merci @+++ PS: je suis en WI_Fi donc est ce que cette attaque a put etre testé sur un autre pc de la maison et rebalancé sur le mien ?

Salut, suite a la lecture de ce topic et le test comparatif des 10 HIPS,je compte acheter System Safety Monitor 2.4.0.619 Cela dit je n'arrive pas a trouver la version complete que tu dit avoir Sacles. Je trouve une version beta a télécharger,mais pas la version complete. J'ai regardé ici: http://www.syssafety.com/sales.html Mais je ne voit pas si c'est bien cette version precise. Et en bas de cette page il est dit que l'on peu acheter System Safety Monitor 2 (oui mais 2 c'est a dire ????? la version exact c'est quoi). Quelqu'un pourrai m'aiguiller svp car je ne veut pas acheter la mauvaise version,je roule pas sur l'or. Merci. @++++