Avast! message de scan à l'accès
Utilisateur anonyme
-
tyo18 -
tyo18 -
Bonjour,
J'ai depuis quelques jours un avertissement de mon antivirus Avast! qui m'apparait dès que je suis connecté à internet :
avast! Message de Scan à l'accès
"DCOM Exploit" - TCP Packet from 84.98.3.168:135
Le valeurs soulignées changent à chaque apparition du message, c'est à dire toutes les 5 secondes en moyenne !!!
J'ai fait un scan minutieux et complet avec Avast!.
J'ai fait un scan complet avec Ad-Aware SE.
Ces 2 logiciels sont à jour de leurs définitions.
Sous XP Pro, je suis à jour de mes mises à jour de sécurité (j'ai installé le SP2).
Le message n'apparait plus si je bloque le trafic avec mon firewall (Kerio Personnal Firewall).
Je pense qu'il s'agit d'un cheval de troie mais je suis étonné qu'aucun scan ne l'ai trouvé. Pourquoi avast! m'envoit-il alors ces messages ?
En cherchant sur les forum, j'ai vu que les gens fournissaient un "log HijackThis" qui pouvait aider au diagnostic. Je le colle ici :
Logfile of HijackThis v1.97.7
Scan saved at 22:00:45, on 14/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HamsinClock\HamsinClock.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
G:\Docs de PIERRE\~ Pierre ~\~20~LOGI\TOOLS\PROTEGER des SPYWARES\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [psvClock] C:\Program Files\HamsinClock\HamsinClock.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HamsinClock.lnk = C:\Program Files\HamsinClock\HamsinClock.exe
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02cef9b42ab4ea4fd921/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096742457784
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3370B61E-4AF7-41B2-8E24-A9322964FDE8}: NameServer = 212.30.96.108 213.203.124.146
Pouvez-vous m'aider ? D'avance, MERCI !
Edouard :D)
J'ai depuis quelques jours un avertissement de mon antivirus Avast! qui m'apparait dès que je suis connecté à internet :
avast! Message de Scan à l'accès
"DCOM Exploit" - TCP Packet from 84.98.3.168:135
Le valeurs soulignées changent à chaque apparition du message, c'est à dire toutes les 5 secondes en moyenne !!!
J'ai fait un scan minutieux et complet avec Avast!.
J'ai fait un scan complet avec Ad-Aware SE.
Ces 2 logiciels sont à jour de leurs définitions.
Sous XP Pro, je suis à jour de mes mises à jour de sécurité (j'ai installé le SP2).
Le message n'apparait plus si je bloque le trafic avec mon firewall (Kerio Personnal Firewall).
Je pense qu'il s'agit d'un cheval de troie mais je suis étonné qu'aucun scan ne l'ai trouvé. Pourquoi avast! m'envoit-il alors ces messages ?
En cherchant sur les forum, j'ai vu que les gens fournissaient un "log HijackThis" qui pouvait aider au diagnostic. Je le colle ici :
Logfile of HijackThis v1.97.7
Scan saved at 22:00:45, on 14/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HamsinClock\HamsinClock.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
G:\Docs de PIERRE\~ Pierre ~\~20~LOGI\TOOLS\PROTEGER des SPYWARES\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [psvClock] C:\Program Files\HamsinClock\HamsinClock.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HamsinClock.lnk = C:\Program Files\HamsinClock\HamsinClock.exe
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02cef9b42ab4ea4fd921/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096742457784
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3370B61E-4AF7-41B2-8E24-A9322964FDE8}: NameServer = 212.30.96.108 213.203.124.146
Pouvez-vous m'aider ? D'avance, MERCI !
Edouard :D)
A voir également:
- Avast! message de scan à l'accès
- Scan qr code pc - Guide
- Recuperer message whatsapp supprimé - Guide
- Acces rapide - Guide
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Message absence thunderbird - Guide
11 réponses
Salut Edouard,
Tu es complètement à côté du problème. Il s'agit d'une tentative de connexion entrante (probablement sur le port 135), et non sortante ! Ton firewall - KPF, très bien, quelle version ? - doit aussi être très mal configuré. Ouvre le Firewall Status (version 2.1.5) : il doit y avoir plusieurs processus DCOM/RPC en écoute, notamment sur le port 135. Visite d'urgence ce site : http://www.grc.com/dcom/ ; télécharge DCOMbobulator et exécute-le ; profite-en aussi pour faire un scan des ports en ligne. Ensuite, il faudra sérieusement te pencher sur la configuration de KPF... Heureusement, avast! était là en deuxième ligne de défense ! Bon, rien de grave en somme, à part une incompréhension totale de ce qu'est un ordinateur ;-)
Sites pour configurer KPF intelligemment :
http://babin.nelly.free.fr/kerio.htm
http://blueduck.free.fr/informatique/windows/kerio/configuration.html
http://www.blarp.com/faq/faqmanager.cgi?toc=kerio
http://www.dslreports.com/faq/security#3
Tu es complètement à côté du problème. Il s'agit d'une tentative de connexion entrante (probablement sur le port 135), et non sortante ! Ton firewall - KPF, très bien, quelle version ? - doit aussi être très mal configuré. Ouvre le Firewall Status (version 2.1.5) : il doit y avoir plusieurs processus DCOM/RPC en écoute, notamment sur le port 135. Visite d'urgence ce site : http://www.grc.com/dcom/ ; télécharge DCOMbobulator et exécute-le ; profite-en aussi pour faire un scan des ports en ligne. Ensuite, il faudra sérieusement te pencher sur la configuration de KPF... Heureusement, avast! était là en deuxième ligne de défense ! Bon, rien de grave en somme, à part une incompréhension totale de ce qu'est un ordinateur ;-)
Sites pour configurer KPF intelligemment :
http://babin.nelly.free.fr/kerio.htm
http://blueduck.free.fr/informatique/windows/kerio/configuration.html
http://www.blarp.com/faq/faqmanager.cgi?toc=kerio
http://www.dslreports.com/faq/security#3
Merci Lecuistre....
J'imagine que le ton de ton messages est là pour justifier ton pseudo... ou le contraire...
Je vais suivre tes recommandations autant que mon pauvre petit cerveau est capable de le faire... probablement de façon infiniment plus médiocre que toi...
Je te tiendrai au courant car l'élève est toujours friand de la reconnaissance du maître.
A bientôt.
Edouard :D) ... qui garde le sourire...
J'imagine que le ton de ton messages est là pour justifier ton pseudo... ou le contraire...
Je vais suivre tes recommandations autant que mon pauvre petit cerveau est capable de le faire... probablement de façon infiniment plus médiocre que toi...
Je te tiendrai au courant car l'élève est toujours friand de la reconnaissance du maître.
A bientôt.
Edouard :D) ... qui garde le sourire...
Au fait, pour KPF c'est la version 4.
Dommage que les sites indiqués ne se réfère pas à cette version et donne des conseils sur la base d'une version anglaise.
@+
Edouard :D)
Dommage que les sites indiqués ne se réfère pas à cette version et donne des conseils sur la base d'une version anglaise.
@+
Edouard :D)
Lecuistre... et les autres,
Port 135 bloqué = plus de "DCOM Exploit" - TCP Packet from xxx.xx.xx........" BINGO Elcuistro !!!
Oui, "DCOMbobulator" est un outil remarquable (il faudra le proposer à quelques traducteurs de http://www.toutfr.com !).
Oui, il faut être trés attentif lorsqu'on laisse passer des choses au travers de son pare-feu. Je vais maintenant tenter de comprendre le contenu des sites sur KPF. Je n'irai pas jusqu'à tout assimiler des protocoles TCP et UDP parce que je refuse d'être bon en tout... et pour tout ;-)
Pour remettre de l'ordre dans mes règles de KPF, y-a-t'il une autre manière de les réinitialiser que de désinstaller/réinstaller KPF ?
Allons Lecuistre, tu dois savoir ça ?!
Merci et bravo.
Edouard :D) ... qui a apprécié le coup de main... de maître ;D)
Port 135 bloqué = plus de "DCOM Exploit" - TCP Packet from xxx.xx.xx........" BINGO Elcuistro !!!
Oui, "DCOMbobulator" est un outil remarquable (il faudra le proposer à quelques traducteurs de http://www.toutfr.com !).
Oui, il faut être trés attentif lorsqu'on laisse passer des choses au travers de son pare-feu. Je vais maintenant tenter de comprendre le contenu des sites sur KPF. Je n'irai pas jusqu'à tout assimiler des protocoles TCP et UDP parce que je refuse d'être bon en tout... et pour tout ;-)
Pour remettre de l'ordre dans mes règles de KPF, y-a-t'il une autre manière de les réinitialiser que de désinstaller/réinstaller KPF ?
Allons Lecuistre, tu dois savoir ça ?!
Merci et bravo.
Edouard :D) ... qui a apprécié le coup de main... de maître ;D)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
...
Info supplémentaire pour THE cuistre...
Dans le paramétrage de "mon" KPF4, je n'ai trouvé dans "Filtrage..." aucune règle qui aurait laissé le port 135 ouvert. Pourtant le scan en ligne l'a bien diagnostiqué comme tel. Pourquoi alors KPF ne l'a-t-il pas bloqué par défaut ? D'autre part, je ne comprend pas pourquoi Avast! signale une intrusion (mais la bloque-t-il ?) alors qu'il ne trouve rien en scan minutieux ?
Avast! me pose un problème. En faisant un scan en ligne sur le site de PC-Cillin, WORM_RBOT.UE a été trouvé alors qu'Avast! l'a ignoré !...
C'était mes dernières observations; pour le moment.
Avec le bonsouard d'Edouard :D)
Info supplémentaire pour THE cuistre...
Dans le paramétrage de "mon" KPF4, je n'ai trouvé dans "Filtrage..." aucune règle qui aurait laissé le port 135 ouvert. Pourtant le scan en ligne l'a bien diagnostiqué comme tel. Pourquoi alors KPF ne l'a-t-il pas bloqué par défaut ? D'autre part, je ne comprend pas pourquoi Avast! signale une intrusion (mais la bloque-t-il ?) alors qu'il ne trouve rien en scan minutieux ?
Avast! me pose un problème. En faisant un scan en ligne sur le site de PC-Cillin, WORM_RBOT.UE a été trouvé alors qu'Avast! l'a ignoré !...
C'était mes dernières observations; pour le moment.
Avec le bonsouard d'Edouard :D)
Bonjour Edouard,
J'essaierai d'être moins cuistre qu'Elcuistro himself... Je trouve d'ailleurs assez facile de se faire mousser avec cette faille, qui est effectivement un grand classique ; aux dernières nouvelles, personne n'a jamais eu la science infuse, et surtout pas la science informatique. J'ajouterai que s'il avait daigné lire votre log - excellente idée -, il aurait su que votre firewall était au minimum la version 4.0.0 !
Je ne connais que la version 2.1.5 (mai 2003) de Kerio Personal Firewall, qui est effectivement la mieux documentée ; étant donnée la rapidité d'évolution de KPF (13 versions en un an), on comprend que les traducteurs bénévoles aient un peu de mal à suivre... ou attendent une version stabilisée. Dans KPF 2.1.5, donc, il est possible de réinitialiser les règles de filtrage en supprimant le fichier "persfw.conf". Cependant, les règles par défaut sont loin d'être optimales, et doivent de toute façon être adaptées à vos configuration et applications. Le fichier d'aide de la version 2.1.5, en français, pourrait peut-être vous aider : http://www.kerio.com/manual/kpf/fr/index.html.
Pour ce qui est de TCP/IP, UDP/IP et autres ICMP, le site de sebsauvage, "Comprendre l'ordinateur", me paraît fournir le strict nécessaire :
http://sebsauvage.net/comprendre/index.html.
Quant à DCOM/RPC, c'est à l'origine un service Windows... qui pour la plupart des internautes s'avère être une faille ; ce n'est donc pas un cheval de Troie détectable par un logiciel anti-virus. Par contre, la tendance actuelle étant à la surenchère de fonctionnalités, les anti-virus se mettent à jouer aux firexalls, et inversement, les dernières versions d'avast! ou de Kerio en sont une bonne illustration.
Enfin, la base de définitions de virus d'avast! 4 Home Edition ne comportant à ce jour qu'un peu plus de 31500 signatures (celle de Kaspersky en compte plus de 100000), il est normal qu'avast! ne puisse pas tout détecter :-(
Ultime détail : avez-vous bien désactivé le pare-feu de Windows XP SP2 ?
Voili voilo, je suis désolé d'avoir été un petit peu long... chacun a sa conception de l'entre-aide ;-)
Cordialement,
pierrotlefou
J'essaierai d'être moins cuistre qu'Elcuistro himself... Je trouve d'ailleurs assez facile de se faire mousser avec cette faille, qui est effectivement un grand classique ; aux dernières nouvelles, personne n'a jamais eu la science infuse, et surtout pas la science informatique. J'ajouterai que s'il avait daigné lire votre log - excellente idée -, il aurait su que votre firewall était au minimum la version 4.0.0 !
Je ne connais que la version 2.1.5 (mai 2003) de Kerio Personal Firewall, qui est effectivement la mieux documentée ; étant donnée la rapidité d'évolution de KPF (13 versions en un an), on comprend que les traducteurs bénévoles aient un peu de mal à suivre... ou attendent une version stabilisée. Dans KPF 2.1.5, donc, il est possible de réinitialiser les règles de filtrage en supprimant le fichier "persfw.conf". Cependant, les règles par défaut sont loin d'être optimales, et doivent de toute façon être adaptées à vos configuration et applications. Le fichier d'aide de la version 2.1.5, en français, pourrait peut-être vous aider : http://www.kerio.com/manual/kpf/fr/index.html.
Pour ce qui est de TCP/IP, UDP/IP et autres ICMP, le site de sebsauvage, "Comprendre l'ordinateur", me paraît fournir le strict nécessaire :
http://sebsauvage.net/comprendre/index.html.
Quant à DCOM/RPC, c'est à l'origine un service Windows... qui pour la plupart des internautes s'avère être une faille ; ce n'est donc pas un cheval de Troie détectable par un logiciel anti-virus. Par contre, la tendance actuelle étant à la surenchère de fonctionnalités, les anti-virus se mettent à jouer aux firexalls, et inversement, les dernières versions d'avast! ou de Kerio en sont une bonne illustration.
Enfin, la base de définitions de virus d'avast! 4 Home Edition ne comportant à ce jour qu'un peu plus de 31500 signatures (celle de Kaspersky en compte plus de 100000), il est normal qu'avast! ne puisse pas tout détecter :-(
Ultime détail : avez-vous bien désactivé le pare-feu de Windows XP SP2 ?
Voili voilo, je suis désolé d'avoir été un petit peu long... chacun a sa conception de l'entre-aide ;-)
Cordialement,
pierrotlefou
Oups ! Mes liens ne sont pas valides, voilà qui devrait être mieux :
http://www.kerio.com/manual/kpf/fr/index.html
http://sebsauvage.net/comprendre/index.html
En plus, il y a un fôte d'hauretograffe dans la dernière phrase... j'espère qu'Elcuistro ne repassera pas par là ;-)
http://www.kerio.com/manual/kpf/fr/index.html
http://sebsauvage.net/comprendre/index.html
En plus, il y a un fôte d'hauretograffe dans la dernière phrase... j'espère qu'Elcuistro ne repassera pas par là ;-)
Merci Pierrot le Fou !
J'ai bien désactivé le pare-feu de Windows. Je n'ai plus de problème depuis le blocage du port 135.
Concernant le post de notre ami Lecuistre, je crois qu'il faut le prendre avec humour... même si ça n'est pas la réaction initiale !
Je vais mettre à profit vos infos. Je suis étonné et déçu par ce que vous me dites sur le nombre de définitions de virus d'avast! par rapport à Kaperski : 68500 définitions d'écart !!! Comment cela est-il possible ? Est-ce dù aux capacités d'analyse heuristique de Kaperski ?
A une prochaine fois !
Edouard :D)
J'ai bien désactivé le pare-feu de Windows. Je n'ai plus de problème depuis le blocage du port 135.
Concernant le post de notre ami Lecuistre, je crois qu'il faut le prendre avec humour... même si ça n'est pas la réaction initiale !
Je vais mettre à profit vos infos. Je suis étonné et déçu par ce que vous me dites sur le nombre de définitions de virus d'avast! par rapport à Kaperski : 68500 définitions d'écart !!! Comment cela est-il possible ? Est-ce dù aux capacités d'analyse heuristique de Kaperski ?
A une prochaine fois !
Edouard :D)
Re-bonjour Edouard,
Concernant la taille des bases de définitions de virus, il faut reconnaître que Kaspersky est un cas extrême. D'ailleurs, l'écart que vous avez mentionné correspond à peu près à la taille de la base de Norton AntiVirus ! La diversité de l'offre de logicielle est importante, voire déroutante... Les plus performants n'étant pas forcément les plus connus, ni les plus chers. Il se trouve qu'avast! 4 Home Edition est gratuit, et que Kaspersky Anti-Virus Personal 5 coûte 50 €, mais ce n'est qu'un début de réponse.
Quant au moteur d'analyse heuristique, il ne fait - par définition - pas appel à la base de données :
http://www.linux-france.org/prj/jargonf/H/heuristique.html
Cordialement,
pierrotlefou
Concernant la taille des bases de définitions de virus, il faut reconnaître que Kaspersky est un cas extrême. D'ailleurs, l'écart que vous avez mentionné correspond à peu près à la taille de la base de Norton AntiVirus ! La diversité de l'offre de logicielle est importante, voire déroutante... Les plus performants n'étant pas forcément les plus connus, ni les plus chers. Il se trouve qu'avast! 4 Home Edition est gratuit, et que Kaspersky Anti-Virus Personal 5 coûte 50 €, mais ce n'est qu'un début de réponse.
Quant au moteur d'analyse heuristique, il ne fait - par définition - pas appel à la base de données :
http://www.linux-france.org/prj/jargonf/H/heuristique.html
Cordialement,
pierrotlefou
Bonjour,
J'ai eu le meme probleme que toi, suite a une mise à jour, je pense y avoir remédié en allant dans Gestion de la protection residente, bouclier standard, personnaliser, avancée, là tu décoches "afficher infos détaillées sur l'action en cours"
PS Je ne suis pas dutout un pro d'internet, j'espère avoir résolu ton problème
J'ai eu le meme probleme que toi, suite a une mise à jour, je pense y avoir remédié en allant dans Gestion de la protection residente, bouclier standard, personnaliser, avancée, là tu décoches "afficher infos détaillées sur l'action en cours"
PS Je ne suis pas dutout un pro d'internet, j'espère avoir résolu ton problème
Bonjour, j'ai reçu ce message "dcom exploit bloqué" par avast, et le lendemain, plus de connexion internet possible.J'ai donc rebranchez sr mon autre tour mon modem, et là, impeccable tout marche bien!! Après avoir réinstaller mon modem et le reste, toujours rien. Pensez vous que les 2 problemes (message et plus de connexion) puissent etre liés??
j'a ile meme probleme qu'edouard, je viens de charger dcom mobulator mais je ne sais pas m'en servir....
qui pourrait me guider svp
merci!
Dans l'onglet DCOMbobulate Me!, clique sur le bouton Disable DCOM et voilà !