[Resolu]1ere utilisation de System Safety Monitor

[TA-K-2-PT]

Salut,

 

Je vient a l'instant d'installer SSM,et j'ai de suite une demande de modification du registre avec le processus avfwsvc.exe

 

J'ai chercher sur google,et je suis tombé que sur des topics qui semble presenter sa comme une infection.

 

Du coup je le bloque (pas definitivement),et forcement revient en permanence a telle point que j'ai pas pu regarder tranquillement le tuto de malekal morte.

 

Donc je vous pose la question est ce que c'est vraiment une infection,ou juste un service de mon firewall (car c'est presenter comme ça).

 

 

 

Merci

 

@+++

 

Complement:

 

Alor je suis tomber sur le forum d'aide d'antivir.Il y a un topic qui malheureusment n'est pas complet qui parle de sa,et l'utilisateur explique que sa bouffe 60 a 100 %de son CPU

 

Et les autre topic sont en allemand,et je parle pas allemand malheureusement.

 

Donc ba au final je sait pas quoi faire moi ,sa a pas l'air d'etre une infection mais sa bouffe toutes les ressources.

 

Alor sa sert a quoi ce truc la!!!!

Modifié le 2 septembre 2007 par TA-K-2-PT

[Sacles]

Bonjour,

 

1/ Quand on veut utiliser un HIPS, il faut s'assurer au préalable qu'on fait l'installation sur un PC clean. C'est TRES important.

 

2/ Quand cette chose est acquise, après l'installation du HIPS, on utilise le mode d'apprentissage durant un temps aussi bref que possible afin de créer les règles dans le HIPS. Si tu ne fais pas cela, tu vas te retrouver devant une avalanche d'alertes.

 

Passage en mode apprentissage: Clic droit sur l'icône >>> Mode apprentissage.

 

3/ Pourquoi crois-tu à une infection?

 

Un HIPS n'est pas un antivirus. Le fonctionnement est tout autre.

 

Le HIPS affiche une annonce quand une "chose" qui n'a pas d'autorisation, s'active, modifie le registre, la liste de démarrage, ... C'est l'utilisateur qui doit prendre des décisions et donc avoir une bonne connaissance de son système. C'est bien cela la difficulté avec ce genre d'outils.

 

Dans ton cas, la question est: ce avfsvc.exe est-il bien légitime ou non? Si oui, tu permets, si non, tu interdis.

 

4/ J'utilise SSM depuis à peu près un mois, tout est passé sous contrôle de SSM, je n'ai plus aucune fenêtre d'alerte (sauf lors de mises à jour et d'installation de programmes (*)). Si une de ces alertes apparaissait (hors mise à jour et installation de programmes), je devrais me poser de sérieuses questions.

 

(*) Lors de l'installation d'un programme (que l'on sait clean), le faire en utilisant le mode installation de SSM (disponible à partir de la fenêtre qui suit le lancement du programme d'installation).

 

Penser à nettoyer de temps en temps les règles qui se sont créées à ces occasions (ou autres): sélectionner un règle quelconque >>> clic droit >>> Editer règles>>> Supprimer les règles pour les fichiers inaccessibles.

 

Salut.

Modifié le 31 août 2007 par Sacles

[TA-K-2-PT]

OK merci Sacles pour ces precieux details.

 

Je revient sur ce que j'ai dit (j'ai un sacré défaut c'est que je parle trop vite et ne réflechit pas avant,honte a moi).

 

Le processus avfwsvc.exe est bien un processus de mon firewall,parfaitement legitime.Dans le topic que j'ai vu ou l'utilisateur se plaignait de % prit par celui ci,c'est a mon avis un probleme qu'il avait au niveau de certaine aplications acceptées dans son firewall,ou qu'il est infecté par quelque chose qui fait que ce processus bouffe tout.Tous comme les topics que j'ai vu a droite a gauche la dessus.

 

Ce processus est bien precent sur mon pc mais ne bouffe rien,et mon pc est clean c'est sur et certain.

 

Apre si quelqu'un peu me renseigner sur ce que gere ce processus exactement dans le firewall de avira premium security suite,je veut bien.

 

Voila donc rien de grave,tous va bien.

 

Merci

 

@++++

 

PS: je laisse le topic comme non resolu pedant un petit temp,au cas ou j'aurai d'autres questions sur l'utilisation de SSM.Sera plus simple que de recrer un topic a chaque fois.

Modifié le 31 août 2007 par TA-K-2-PT

[TA-K-2-PT]

Salut,

 

Alors j'ai besoin de quelques renseignements svp :

 

-1er: au niveau de ces processus doit je bloquer les aplication enfant de ceux ci :

 

-svchost.exe

-wmiprvse.exe

-spoolsv.exe

 

Et d'une maniere generale bloquer d'autre aplication enfant d'autres processus ?

 

 

Ensuite apre reboot j'ai cette fenetre qui s'ouvre (sur le coup sa m'a fait flipper serieu)

 

 

On voit sur ce screen le chiffre 2 apres PHYSICALDRIVE j'ai les meme fenetres jusqu'au chiffre 31

 

C'est quoi ce truc et c'est dangereux ?,svp rassurez moi,car je fait attention avec mon pc je verifie souvent si il n'y a pas d'infection j'ai des outils apparement efficace,j'ai bien regardé la methode de desinfection de zeb depuis longtemp et m'en sert pour faire mes verifications.

 

Et rien n'est trouvé,dans le gestionnaire de taches l'UC est normal,c'est a dire pas bloquer a 100%,et basse.

 

 

-Et ensuite dernier point pour ces processus:

 

-alg.exe

-rundll32.exe

 

doit je les autoriser et pareil bloquer les aplication enfant de ceux ci ou pas? (sa revient un peu a ma 1er question)

 

Pour rundll32.exe il n'apparait plus dans le gestionnaire de taches,ni dans SSM apre ce reboot,cela a t-il un rapport avec le fait que j'ai bloker les fenetres 2-->31 de PHYSICALDRIVE ?

ou cela vient il du bloquage d'un autre processus ?

 

Merci

 

@+++

[Sacles]

Re,

 

Ton PC est clean, OK.

 

Mets donc SSM en mode apprentissage durant quelques heures sans avoir de conduite "dangereuse" (le mieux étant de ne pas surfer durant ce temps, de ne rien prendre d'un support extérieur).

 

Durant la phase d'apprentissage

- redémarre ton PC;

- lance tes programmes et leurs sous programmes.

 

Les réglages vont se faire automatiquement. Tu passeras aux réglages fins après.

 

Si tu n'optes pas pour le mode apprentissage, tu vas poser une question toutes les cinq minutes pour une fenêtre d'alerte de SSM.

 

Salut.

Modifié le 31 août 2007 par Sacles

[TA-K-2-PT]

OK j'ai donc fait ce que tu ma dit ,mode aprentissage et j'ai ouvert et executer toutes les aplication et sous aplication.

 

Maintenant ,et je pense que au niveau securité c'est important c'est pour firefox et IE.Bon IE je m'en sert que pour allé sur windows update.

 

Pourrait tu m'aider dans ces configurations stp ?

 

Ensuite juste une question j'ai reglé les MAJ windows sur "me prevenir lorsque les MAJ sont telecharger et prette a installer" un truc comme ça.

 

Est ce que je doit ajouter une regle precise pour que cela s'effectue ?

 

 

Merci beaucoup de ton aide tres precieuse.

 

@+++

 

 

heu j'ai une question sur le mode aprentissage:

 

Lorsque je l'ai decocher j'ai eu cette fenetre:

 

 

Je pense que cela vient par exple du fait que pour Nero je n'ai pas graver de CD juste comme sa pour le plaisir,et True image je n'ai pas fait d'image non plus.

 

Je n'ai ni mit oui ni non j'ai fermer la fenetre.

 

Sur ce point que foit je faire ?

 

PS: desolé de posé autant de questions ,j'espere que je ne vous soule pas.

Modifié le 1 septembre 2007 par TA-K-2-PT

[Sacles]

Bonjour,

 

Tu peux répondre oui à ce gendre de question.

 

Cela correspond à nettoyer des règles inutiles qui se sont créées dans certaines circonstances: sélectionner un règle quelconque >>> clic droit >>> Editer règles>>> Supprimer les règles pour les fichiers inaccessibles.

 

Salut.

[TA-K-2-PT]

OK,j'ai bien suprimé les regles "inutiles" et donc je n'ai plus cette fenetre.

 

A ce moment je n'ai plus de fenetre qui apparait lorsque je lance une aplication,je met le topic comme resolu.Et en cas de doute je reposterai ici pour pas en cre un 2eme.

 

Merci bien.

 

@+++

[Sacles]

Bonjour,

 

Je suppose que, maintenant, tu as enlevé le mode apprentissage.

 

Conseils:

 

1/ Remets le mode apprentissage lorsque tu installes les mises à jour de Windows.

 

2/ Lors de l'installation d'un programme, passe en mode installation (liste déroutante disponible à partir de la 1re fenêtre de SSM qui s'ouvre directement après le programme d'installation).

 

 

Salut.

Modifié le 2 septembre 2007 par Sacles

[TA-K-2-PT]

OK merci de ces conseils bien utile.

 

Je suis en train d'etablir des regles pour firefox,et une me "pose probleme"

 

Dans l'onglet Regles --->protection--->Proteger du contrôle du code par un autre processus

 

Alor quand je coche oui (enfin tiret vert) sa ralenti considerablement mon surf et je n'ai aussi pas le meme affichage de la page (par exple quand j'arrive sur google).

 

Donc est ce que au nivreau de la securité c'est une option importante (meme si on pert en rapidité),ou est ce que je peu ne pas cocher cette case ?

 

Merci bien encore une fois pour ton aide.

 

@+++

 

PS: effectivement apre avoir mit le mod aprentissage et lancer mes aplications (sauf le web) j'ai bien decoché cette case.

 

A pardon un complement,pour les modules est ce qu'il faut activer le module pour les services car apres reboot certain service on etait modifier,ceux ci correspondait a des service que j'avait desactiver suite a ce topic

Modifié le 3 septembre 2007 par TA-K-2-PT