Kerio et intrusions incontrolées
Le
Lo
salut
J'utilise sans probleme Kerio depuis quelques temps.
j'ai voulu faire fonctionner mon nouveau réseau 2 postes avec et pour
faire un test j'ai eu le malheur de le désactiver 2 min car mon réseau
ne marchait pas. (en fait, ce n'était pas un pb logiciel)
la machine a visiblement rebooté toute seule. quand je suis revenu, ni
antivir ni kerio impossible de les relancer manuellement .
j'ai essayé de reinstaller Antivir avec une version d'octobre et
durant l'install il m'a détecté BACKDOOR j'ai supprimé , mis à
jour l'antivir et il m'en a encore dectecté 2 autres.
entre temps, j'ai fait un sfc scannow
ensuite j'ai réinstallé kerio et le fichier SVDHOST.exe n'arretait pas
d'essayer de se connecter à différentes adresses IP. apparemment c'est
un service espion pour surveiller les faits et gestes des enfants (
hum) sur la machine
j'ai arrété le service dans le gestionnaire et renommer le fichier qui
est daté d'aujourdhui. je le suspectais donc je l'ai testé avec
antivir mais rien.
1 ) ce fichier peut il etre viré?
je l'ai renommé puis j'ai rebooté. ensuite je l'ai renommé à nouveau
mais ça recommence
comment etre sur de ne plus avoir de saletés?
1) j'ai passé spybot, adaware et antivir mis à jour mais cela
suffit-il? je crois que non car sur secuser.com il m'a ensuite
détecté encore un worm ras le bol de ces conneries !
d'une manière générale, sur Kerio, je ne sais parfois pas trop faire
la différence entre certains messages liés à une connexion d'un
utilisateur d'emule et à une intrusion. les protocoles, j'y comprends
rien et la FAQ de clubic qui est pas mal ne m'a pas trop fait avancer
la dessus. j'ai du sasn faire expres activer une regle qui a donné
carte blanche aux intrusions.
a un moment donné. je n'avais plus accès à rien (ni news, ni mail, ni
web) . j'ai réinstallé kerio et ça remarche.
j'ai oublié de dire aussi le fameux compte à rebours qui reboote la
machine et qui survient brutalement. ça craint.
des programmes comme APPLICATION ou SVDhost (supprimé) veulent envoyer
des paquets à des adresses IP inconnues ça ralentit la machine car
le firewall les bloque
j'ai l'impression que j'ai encore une grosse saleté ?
que puis je faire de plus que tout cela.?
pour ceux que ça interesse, je conseille ces sites:
http://www.secuser.com/antivirus/index.htm
les applications autorisées au démarrage :
http://www.pacs-portal.co.uk/startu...rtup_c.php
je n'y connais pas grand chose. soyez simples merci
autre question: dois je refuser ceci dans kerio ?
j'ai mis oui.
'Application Layer Gateway Service' sur votre système veut se
connecter à d213-103-234-81.cust.tele2.fr [213.103.234.81], port 21
ceci dois je l'autoriser? j'ai mis non
Quelqu'un (ALille-106-1-2-231.w81-49.abo.wanadoo.fr [81.49.232.231],
port 3598) essaye de se connecter au port 445 par 'SYSTEM' sur votre
système
et ceci ?
Quelqu'un (ALille-106-1-2-231.w81-49.abo.wanadoo.fr [81.49.232.231],
port 4284) essaye de se connecter au port 5000 par 'Generic Host
Process for Win32
c:\windows\system32\svchost.exe
avez vous des exemples de regles pour emule? merci
--
petit site perso (musique):
http://perso.wanadoo.fr/ziklo/
J'utilise sans probleme Kerio depuis quelques temps.
j'ai voulu faire fonctionner mon nouveau réseau 2 postes avec et pour
faire un test j'ai eu le malheur de le désactiver 2 min car mon réseau
ne marchait pas. (en fait, ce n'était pas un pb logiciel)
la machine a visiblement rebooté toute seule. quand je suis revenu, ni
antivir ni kerio impossible de les relancer manuellement .
j'ai essayé de reinstaller Antivir avec une version d'octobre et
durant l'install il m'a détecté BACKDOOR j'ai supprimé , mis à
jour l'antivir et il m'en a encore dectecté 2 autres.
entre temps, j'ai fait un sfc scannow
ensuite j'ai réinstallé kerio et le fichier SVDHOST.exe n'arretait pas
d'essayer de se connecter à différentes adresses IP. apparemment c'est
un service espion pour surveiller les faits et gestes des enfants (
hum) sur la machine
j'ai arrété le service dans le gestionnaire et renommer le fichier qui
est daté d'aujourdhui. je le suspectais donc je l'ai testé avec
antivir mais rien.
1 ) ce fichier peut il etre viré?
je l'ai renommé puis j'ai rebooté. ensuite je l'ai renommé à nouveau
mais ça recommence
comment etre sur de ne plus avoir de saletés?
1) j'ai passé spybot, adaware et antivir mis à jour mais cela
suffit-il? je crois que non car sur secuser.com il m'a ensuite
détecté encore un worm ras le bol de ces conneries !
d'une manière générale, sur Kerio, je ne sais parfois pas trop faire
la différence entre certains messages liés à une connexion d'un
utilisateur d'emule et à une intrusion. les protocoles, j'y comprends
rien et la FAQ de clubic qui est pas mal ne m'a pas trop fait avancer
la dessus. j'ai du sasn faire expres activer une regle qui a donné
carte blanche aux intrusions.
a un moment donné. je n'avais plus accès à rien (ni news, ni mail, ni
web) . j'ai réinstallé kerio et ça remarche.
j'ai oublié de dire aussi le fameux compte à rebours qui reboote la
machine et qui survient brutalement. ça craint.
des programmes comme APPLICATION ou SVDhost (supprimé) veulent envoyer
des paquets à des adresses IP inconnues ça ralentit la machine car
le firewall les bloque
j'ai l'impression que j'ai encore une grosse saleté ?
que puis je faire de plus que tout cela.?
pour ceux que ça interesse, je conseille ces sites:
http://www.secuser.com/antivirus/index.htm
les applications autorisées au démarrage :
http://www.pacs-portal.co.uk/startu...rtup_c.php
je n'y connais pas grand chose. soyez simples merci
autre question: dois je refuser ceci dans kerio ?
j'ai mis oui.
'Application Layer Gateway Service' sur votre système veut se
connecter à d213-103-234-81.cust.tele2.fr [213.103.234.81], port 21
ceci dois je l'autoriser? j'ai mis non
Quelqu'un (ALille-106-1-2-231.w81-49.abo.wanadoo.fr [81.49.232.231],
port 3598) essaye de se connecter au port 445 par 'SYSTEM' sur votre
système
et ceci ?
Quelqu'un (ALille-106-1-2-231.w81-49.abo.wanadoo.fr [81.49.232.231],
port 4284) essaye de se connecter au port 5000 par 'Generic Host
Process for Win32
c:\windows\system32\svchost.exe
avez vous des exemples de regles pour emule? merci
--
petit site perso (musique):
http://perso.wanadoo.fr/ziklo/
Poser une question
tu nous disais :
ça sent le virus a plein nez, effectue un bon nettoyage...
Une application cherche à se connecter sur un serveur FTP. A première
vue, rien d'alarmant si tu étais en train de demander un téléchargement.
Tu as bien fait de refuser :
2 possibilités :
1) C'est une tentative d'accès au partages réseau d'un W2K, XP :
http://www.iss.net/security_center/...efault.htm
2) ça peut également être une machine infectée par le dernier ver RPC
à la mode qui tente de te véroler. (ports concernés habituellement :
135-139 et 445 - plus rarement : 593 rpc over http)
Si c'est un ver RPC, ce tentative de connexion sera répétée fréquemment...
Tu refuses également. (En général, je refuse toute connexion venant de
l'internet en direction des ports : 135 à 139 + 445 + 1900 + 5000 de ma
machine)
Il me semble qu'il suffit de copier les ports indiqués dans les paramètres
réseau d'eMule. (Ex : autoriser une connexion entrante sur le port TCP
xxxx pour l'appli. eMule // pareil pour le port UDP)
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
Site Doc'XP : http://perso.wanadoo.fr/doc.jm/
WebLog : http://msmvps.com/docxp/
FAQ XP : http://a.vouillon.free.fr/faq-winxp.htm
Pour eMule, il faut faire 4 regles :
Outgoing TCP local : all remote : all
Incoming TCP local : Le port TCP de la mule (4662 par defaut)
remote : all
Outgoing UDP local : all remote : all
Incoming UDP local : Le port UDP de la mule (4672 par defaut)
remote : all
Eventuellement une dernière si tu te sert du serveur web de la mule:
Incoming TCP local : Le port web de la mule (4711 par defaut)
remote : all
N'oublie pas de specifier l'application emule.exe dans les regles ;-)
Bon courage.
"Lo"