Comment me débarrasser de lop

Dans l'antivirus Avast!, la protection de votre ordinateur est fixée par défaut au niveau standard. Vous pouvez améliorer la protection afin que tous les fichiers créés ou modifiés soient également analysés en temps réel.

1. Cliquez avec le bouton droit de la souris sur l'icône d'Avast! à côté de l'horloge puis choisissez la commande Démarrer Avast! Antivirus.

2. L'interface de l'antivirus est lancée.

3. En face de l'élément Protection résidente, cliquez sur Standard.

4. Déplacez alors le curseur à droite, vers Elevée.

5. Vous pouvez alors fermer la fenêtre d'Avast!. Vous êtes désormais mieux protégé.

Comment vérifier si AVAST est à jour ? 07/06/06

Quand Avast n'est pas à jour, le par-feu de Windows se charge de le dire trés rapidement.... (moins d'une semaine sans mise à jour et HOP!)

Donc pas de soucis... sinon si vraiment vous voulez voir ou vous en êtes, rien de plus simple :

Clic droit sur "le petit A" en bas à coté de l'heure puis clic sur "A propos d'AVAST".
Ensuite clic sur le petit plus devant "Fichier VPS" et voila la date de la derniere compilation qui représente la dernière mise à jour.

Désactiver la notification sonore de AVAST 05/06/06

A chaque fois que l'antivirus Avast! est mis à jour, afin de détecter les nouveaux virus, vous en êtes averti par une voix de femme. Vous pouvez désactiver cette notification sonore qui n'a que peu d'intérêt. Les mises à jour resteront vérifiées automatiquement toutes les 4 heures.

1. Dans Windows, cliquez sur le bouton Démarrer, sur Paramètres puis sur Panneau de configuration.

2. Double cliquez sur l'icône Sons et périphériques audio.

3. Dans la fenêtre qui apparaît, ouvrez l'onglet Sons.

4. Déroulez la liste Evènements puis cliquez sur l'élément Mise à jour VPS automatique de la rubrique Avast! antivirus.

5. Déroulez la liste Sons puis cliquez sur l'option Aucun.

6. Confirmez la désactivation du son en cliquant sur le bouton Oui de la fenêtre qui apparaît.

7. Cliquez enfin sur Ok.

Troyen Swizzor 4C 02/02/06

1-faire le menage
dans internet explorer outils>option internet>supprimer les cookies et supprimer les fichiers temporaires meme contenu hors connexion
vous pouvez aussi faire le menage dans parametres afficher les fichiers>supprimez tous et pareil dans afficher les objets

2- telecharger antivir (sur telecharger.com par exemple)
il est gratuit et surtout il supprime ce virus!!
le mettre à jour

3- désactiver la restauration systeme (panneau d configuration> systeme> restauration systeme (cocher la case)

4- redemarrer et maintenir la touche F8 enfoncée jusqu'à voir apparaitre un menu choisir demarrer en mode sans echec

5-c'est tout moche c'est normal !! lancer antivir et supprimer les virus qu'il détecte

Comment vérifier si il y a une MAJ AVAST à faire 03/06/06

Malgré que la MAJ de AVST soit nthéoriquement automatique, en cas d'alerte de sécurité extérieur (mail, forum, site etc…) il faut savoir forcer le process.

Clic droit sur le bouton AVAST en bas à droite / lancer AVAST / OUTILS / MAJ cliquer sur programmes et refaire la manip ensuite pour la définition des virus

Mettre un premier contact AAAAAAA dans son carnet d'adresses n'a aucune incidence sur un éventuel virus 02/02/06

L'antispam Wanadoo a le hoquet 02/02/06

L'antispam s'est déréglé et me met tous mes messages en "indésirables"

En ce qui concerne l'antispam il y a 2 possibilités soit tu désactives le filtrage en faisant tout arriver dans ta boite au lettre ou tu sors manuellement les bonnes adresses de ta liste rouge.(cela se paramètre sur la page d'accueil)

Le pb semble s'être réglé tout seul

Comment installer SpySweeper 25/01/06

Petite précision pour SPYSWEEPER dont je viens de faire la MAJ gratuite (les

utilisateurs ayant payé leur logiciel ont un an de MAJ gratuites), faire

(comdab) l'installation personnalisée et non l'installation standard et

cocher comme indiqué sur la copie d'écran ( pas de lancement avec Windows,

pas de protection Messenger)

Vérifier la validité de son Norton 25/01/06

ouvrir NORTON SYSTEM WORKS / ANTI VIRUS

cliquer sur ETAT DETAILLE en bas à gauche et voila, on a tous les détails

Notons que la date de validité affecte tous les outils du Norton System Works dont le Ghost

Comment se débarasser de LOP 25/01/06

Pour supprimer le malware "lopdotcom":

* Armez-vous de patience et ayez la foi, c'est un malware assez

difficile à désinstaller, on a souvent l'impression que c'est fait

et au prochain démarrage de la machine il réapparaît le bougre!

Si vous n'avez pas de solides compétences techniques en

informatique, laissez tomber et appelez un technicien. Voici le

genre de compétences techniques qu'il vous faut pour vous

débarasser de Lop:

* Savez-vous ce qu'est la base de registre?

* Avez-vous déjà parcouru la base de registre et modifié ou

supprimé des clés?

Si vous avez répondu non à au moins une des deux questions, appelez

un technicien. Ou un prètre si vous tenez vraiment à continuer

seul(e).

* Récupérez les outils de réparation ad-hoc à l'adresse suivante:

http://www.vitis.fr/echange/lop

Il s'agit des fichiers suivants:

hijackthis.exe

lopremover.exe

new_uninstall.exe

toolbar_uninstall.exe

* Ouvrez Internet Explorer et dans les options, sélectionnez "Page

vierge" pour la page de démarrage. Fermez Internet Explorer.

* Exécutez les programmes lopremover, new_uninstall et

toolbar_uninstall.

Chacun de ces programmes vous demande de taper un nombre

apparaissant sur l'écran. Pourquoi? Je pense que c'est pour nous

emmerder le plus possible. Mon hypothèse est que c'est l'éditeur du

malware lui-même qui a été contraint sous la pression de fournir

des programmes de désinstallation de sa créature, et que dans un

dernier geste de méchanceté il a imposé cette étape pénible à

toutes ses victimes. Y'a des éditeurs de logiciels qui méritent des

baffes, et c'est bien à cause d'eux que les éditeurs honnètes

finiront par perdre tout crédit et que la philosophie open source

s'imposera, par nécessité (la necessité d'être certain de savoir ce

qui s'exécute sur son propre ordinateur, sans être obligé de s'en

remettre à la confiance qu'on porte à tel ou tel éditeur de

logiciels). Mais je m'égare...

* Exécutez HijackThis (ce programme ne s'installe pas, il suffit de

double-cliquer sur l'exe pour le lancer, il ne laissera rien sur

votre PC) et cliquez sur "Scan".

Repérez dans la liste les entrées suspectes. Pour chaque programme

suspect, lancez une recherche Google pour savoir si c'est un

logiciel légitime ou pas.

Cochez les entrées suspectes, puis cliquez sur "Fix checked".

* Ouvrez l'explorateur Windows et rendez-vous dans le dossier

C:\Documents and Settings\All Users\Application Data

Vous allez probablement trouver là des noms de dossiers composés de

un ou plusieurs mots anglais sans signification réelle.

Supprimez ces dossiers (la suppression va les placer temporairement

dans la corbeille, donc même si vous supprimez un truc important

vous devriez être capable de le remettre à sa place). Si vous

trouvez que supprimer est trop violent, déplacez simplement ces

dossiers ailleurs, ça marchera aussi.

* Allez, pour la route on s'en met encore un petit coup.

Exécutez à nouveau lopremover, new_uninstall et toolbar_uninstall.

Je ne sais pas si c'est bien nécessaire, mais ça peut pas faire de

mal.

* Redémarrez la machine.

* Ouvrez Internet Explorer et vous devriez constater que la barre de

recherche argentée a disparu. Ouf. La page de démarrage devrait

également rester bien blanche.

* Passez un petit coup de SpySweeper, si vous l'avez, histoire d'être

bien rassuré sur le fait qu'aucune trace de "lopdotcom" n'est plus

détectée.

NOTE: Spy Sweeper et en téléchargement gratuit et fonctionnera sans

aucune limitation pendant 14 jours sur votre PC, donc si vous

pensez avoir contracté un "malware", ça peut être une bonne

idée d'aller le télécharger chez son éditeur:

* allez sur http://www.webroot.com

* cliquez sur "Home and small business + Downloads"

* dans la section "Spy Sweeper", cliquez sur "Free trial"

Un dernier mot pour vous dire que je ne suis pas 100% certain que

cette procédure soit rigoureusement correcte. Il se trouve qu'en

suivant ces étapes j'ai fini par nettoyer "lopdotcom" de la machine

d'une de mes clientes, mais je ne saurais garantir l'ordre dans

lequel j'ai effectué ces étapes. Ce que je peux vous garantir, c'est

que je me suis débarassé du malware en n'utilisant que les outils

déjà cités.

...et quand le prètre est arrivé lopdotcom avait déjà trépassé.

Un très bon article sur le site de Alain Vouillon qui propose le téléchargement d'un utilitaire spécifique: http://a.vouillon.free.fr/faq-winxp.htm#132

Une petite recherche dans google sur LOP

http://www.doxdesk.com/parasite/lop.html

pas vraiment convivial, mais pour les bricoleurs avertis ça doit pouvoir

aider, pour les autres c'est plutôt déconseillé.

http://sarc.com/avcenter/venc/data/adware.lop.html

idem, en anglais et il faut bidouiller la BDR...hyper dangereux !

J'ai trouvé cet exécutable

http://www.malwareremover.com/download/mws.exe

dans la page http://www.malwareremover.com/

A tester

http://www.spy-bot.net/lop.asp

Le site de l'éditeur de lop: http://www.lop.com

sa page d'aide http://66.220.17.157/help.html

son soft de désinstallation http://lop.com/new_uninstall.exe

Je conseillerais aussi de télécharger et utiliser en complément la dernière

version de spysweeper (version 4).

Télécharger et installer AVAST ANTI VIRUS 25/01/06

Cliquez directement sur le site suivant :

http://files.avast.com/iavs4pro/setupfrepro.exe

Une fenetre va apparaitre, cliquez alors sur /éxécuter/.

Le fichier va se charger sur votre PC ... une deuxieme fenetre

s'ouvre... cliquez encore sur /executer/... l'installation va se lancer

automatiquement !

Ensuite il n'y a plus qu'a se laisser guider... c'est du Français...

Vous aurez alors la version Pro, gratuite pendant 50 jours, il vous

faudra ensuite vous enregistrer et payer l'abonement en ligne...

Je vous mettrez la marche à suivre sur ce même Forum.

Pour la version Home gratuite on va sur le site http://www.avast.com/eng/down_home.html et on clique sur DOWNLOAD comme sur la photo en PJ que je joins au message que je

repasse en sujet initial pour que tout le monde le voit mieux.

Ensuite on exécute et tout va bien. Il faudra ensuite penser à s'enregistrer.

Surtout désinstaller antièrement NORTON si il est présent avant d'installer AVAST

Telechargement Version Gratuite :

http://files.avast.com/iavs4pro/setupfre.exe

Page enregistrement version gratuite :

http://www.avast.com/i_kat_207.php?lang=FRE

Telechargement version Pro :

http://files.avast.com/iavs4pro/setupfrepro.exe

Page Enregistrement Version Pro :

https://secure.shareit.com/shareit/checkout.html?sessionid=293086964&random=d55a8b8023304a64ad739da291a44b01&productid=192878&quickbuy=1

Désactiver la surveillance des mails sortants dans AVAST 05/02/06

Pour supprimer la surveillance des mails sortants, il faut faire un double clic dans l'icône AVAST en bas dans la barre des tâches , cliquer sur le bouton "détails" à gauche sélectionner "courrier électronique" et cliquer en haut sur "personnaliser", cliquer sur l'onglet SMTP et décocher "analyser le courrier sortant"

L'arnaque du physing 25/01/06

En amenant un internaute à cliquer sur un lien piégé pointant vers un site

de confiance mais commandant l'exécution d'un certain code javascript, il

est possible de lui laisser croire qu'une fenêtre pop-up ou qu'une boîte de

dialogue apparaissant au premier plan appartient au site de confiance alors

qu'elle appartient à un site tiers malveillant. Cette exploitation n'est pas

à proprement parler une faille des navigateurs mais peut être en théorie

utilisée pour soutirer à l'internaute des données sensibles ou pour afficher

un message qui serait faussement attribué au site de confiance. Tous les

navigateurs web sont concernés mais le risque est faible.

http://www.secuser.com/communiques/2005/050621_navigateurs.htm

Pour éviter les soucis :

- taper à la main l'url de la banque :
- ne pas faire mémoriser le code d'accès et le mot de passe par le navigateur
- vérifier le cadenas et le certificat du site
- travailler que sur un seul onglet ou fenêtre
- refuser tout lien reçu par email

Désactiver la protection contre les vers internet de NSW 25/01/06

Vérifiez dans les options anti-virus de NSW que la protection contre les

vers Internet est bien désactivée. On a eu en effet l'occasion de remarquer

que lorsqu'on devait réactiver le NSW cette fonctionnalité qui fait double

emploi avec le firewall de XP réapparaissait, comme la fameuse surveillance

des courriers sortants (dans l'onglet Courrier) qui nous bloque les TT.

Donc merci de vérifier ces deux points pour éviter des soucis, la

fonctionnalité de protection contre les vers arrivant à bloquer des

applications parce que les réponses aux avertissements de Norton ont été

cliquées au hasard.

S'assurer que Norton n'est pas démarré 25/01/06

Pour être sûr que Norton n'est pas démarré, retirer avec msconfig la ligne CCAV des programmes de démarrage.

Mettre un antispyware 24/01/06

il semble bien qu'on puisse mettre cette verison anglaise de Microsoft anti spyware sans problème.

elle reste en beta et la version définitive devrait sortir en janvier et

devrait continuer à être gratuite

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=321cd7a2-6a57-4c57-a8bd-dbf62eda9671&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f8%2f1%2f5%2f815d2d60-49b5-44dc-ae35-fca2f2c6f0cc%2fMicrosoftAntiSpywareInstall.exe

Je rappelle qu'il est pour l'instant préférable d'y adjoindre SPYSWEEPER

dont vous pouvez télécharger la version gratuite 4.5 ici pour ceux qui n'ont

pas téléchargé les précédentes versions de demo:

http://www.webroot.com/shoppingcart/tryme.php?bjpc=64012&vcode=FR-DT02&lang=fr

Pour les autres, il sera nécessaire d'acheter le produit pour 29.95?, ce qui

semble par ailleurs logique:

https://webroot.asknet.de/cgi-bin/cart/reg=FR?ID=192080

Vous vous enregistrez, payez en CB et recevez par mail le lien de

téléchargement de la version payante.

Winfixer 05/01/06

C'est un spyware qui n'est pas facile à retirer :

http://www.commentcamarche.net/forum/affich-1734107-%5Btrojan-Moo-et-Winfixer-2005%5D

Logiciel anti physing 05/01/06

http://www.zdnet.fr/actualites/internet/0,39020774,39258093,00.htm

Le crédit mutuel et la société générale ont été victimes récemment de

campagne de physing si j'en crois les nouvelles.

Il faut donc se méfier des mails prétendant vous diriger vers un site X ou Y

pour y vérifier vos informations. On a eu le cas avec des mails paraissant

en provenance de Wanadoo et annonçant la fermeture du compte sauf à aller

corriger ses informations sur un lien;

Microsoft antispyware 05/01/06

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=fr

Ne pas installer GOBACK dans les installations NORTON SYSTEM WORKS 30/12/05

Il y a incompatibilité avec les images disques.

Le spyware lop 30/12//05

on le chope notamment dans les MAJ automatisées de MESSENGER PLUS. Toujours

faire des install personnalisées. Dans Messenger Plus, ne pas accepter le

sponsor, parce que c'est lui la merde lop!

Test AVG 7 30/12/05

Installé et en test depuis 20 jours sur mon PC...

Pour le moment rien à signaler, l'antivirus fonctionne à merveille....

Il me lance environ une analyse par jour (bien sur c'est parametrable)

mais ce qui surprend par rapport à Norton c'est qui le fait en fond de

tache, sans prévenir l'utilisateur.... qui n'aura donc pas tendances à

appuyer sur Annuler...

L'annalyse est beaucoup moins gourmande que celle de norton en ressource.

Du coté de l'analyse des mails... ras.... cela fonctionne excatement

comme Norton... et on peut bien evidement parametrer d'analyser

uniquement les messages entrant pour ne pas bloquer la télétransmission.

L'interface de son coté est beaucoup plus.... moche !!! Entendez par la

qu'il n'y a pas possibilité en un seul coup d'oeil de verifier la

derniere mise à jour ou la fin de l'abonement.... il n'y à pas d'alerte

non plus pour les maj à faire... (de toute facon, il les fait

systematiquement à chaque démarage du PC, mais je ne sais pas ce que

cela va donner sur du RTC...)

Les maj, sont rapide ! trés rapide !

Bref, je n'ai aucune mauvaise surprise.... par contre aucun autre outils

que l'antivirus....

Désinstaller NORTON 26/12/05

En fait il m'a fallu beaucoup plus de temps pour retirer Norton et ses multiples composants (LiveUpdate, LiveReg, WMI Update, etc...). La désinstallation automatique est impossible. Il faut utiliser MSCONFIG (retirer des commandes Symantec dans l'onglet "démarrage", effacer des fichiers un peu partout, puis passer un utilitaire SymNRT qu'on ne trouve que sur le site de Norton afin de nettoyer la base des registres...

ftp://ftp.symantec.com/public/english_us_canada/linked_files/tsgen/SymNRT.exe

Problèmes de blocage du fait de l'option de blocage des vers internet de Norton Anti-virus 26/12/05

Attention, NSW2005 integre une protection contre les vers.... et bloque

parfois des programmes qui n'en sont pas....

Il m'est encore arrivé le cas tout a l'heure... Il me bloqué mon

gestionnaire de télécopie dés que je le lançait...

Pour modifier des options, il faut aller dans "Options" / "Norton

Antivirus.."

puis sur "Protection contre les vers" a gauche...

et de cliquer sur "controle des programmes"

il va vous faloir ajouter les programmes que Norton vous bloque

impromptement et sans délicatesse.... dans mon exemple il s'agit de

C:\windows\system32\fxsclnt.exe

En fait, il est préférable de décocher cette protection qui veut se sibstituer au contrôle du parefeu Windows et bloque souvent des applications et les connexions entre serveur et poste client.

Sécurité: le phising 26/12/05

Un autre mécanisme qu'on peut citer est celui du phising qui consiste à

attirer l'internaute sur un site piégé ressemblant à s'y méprendre au site

officiel. Plusieurs utilitaires existent qui permettent de détecter et

interdire l'accès à ces sites piégés:

http://toobar.netcraft.com

http://www.corestreet.com/spoofstick

http://www.trendmicroeuropecom pour PC Cillin internet Security 12 (solution

anti-virus et firewall payante (60€).

Par ailleurs ne pas oublier que l'indication d'un site sécurisé se manifeste

par un petit verrou dans le navigateur

L'antiscript de Kaspersky empêche l'acces à ces pages et même

maintenant l'antivirus mail de wanadoo.

Ports et protocoles 25/12/05

Ping. Ping est un utilitaire de dépannage réseau qui demande à votre ordinateur de confirmer son existence. Il y a davantage de risques que les pirates ciblent votre ordinateur s'il répond de manière positive à un ping.

21 FTP (File Transfer Protocol). Ce protocole est utilisé pour transférer des fichiers entre votre ordinateur et d'autres ordinateurs. Le port 21 doit être ouvert uniquement si vous utilisez un serveur FTP.

22 SSH. Les connexions TCP à ce port peuvent indiquer une recherche du shell SSH comportant quelques fonctions exploitables. SSH, qui remplace Telnet, permet une connexion sécurisée. Généralement, le shell SSH est utilisé pour se connecter et copier des fichiers à partir d'un serveur, de façon sécurisée.

23 Telnet. Telnet peut être utilisé pour se connecter à votre ordinateur à partir d'un terminal distant. Ce port doit être ouvert uniquement si vous utilisez un serveur Telnet.

25 SMTP (Simple Mail Transfer Protocol). Protocole utilisé pour le transfert de courrier électronique entre deux hôtes. Ce port doit être ouvert uniquement si vous utilisez un serveur de messagerie.

79 Finger. Utilitaire Internet qui permet d'obtenir des informations vous concernant, notamment votre nom, l'état de votre connexion et diverses informations relatives à votre profil.

80 HTTP (Hypertext Transfer Protocol). Protocole utilisé pour le transfert de pages Web sur Internet. Le port 80 doit être ouvert uniquement si vous utilisez un serveur Web.

110 POP3 (Post Office Protocol). Les serveurs de messagerie Internet et les programmes de filtre de messagerie utilisent ce port. Il doit être ouvert uniquement si vous utilisez un serveur de messagerie.

113 Ident / Authentication. Ce service est requis par certains serveurs de messagerie, de news ou de relais de discussions pour en autoriser l'accès. Des problèmes de performances peuvent se produire si ce port est masqué.

119 NNTP (Network News Transfer Protocol). Service utilisé par les serveurs de news pour la distribution d'articles Usenet vers des programmes de lecture de news et entre plusieurs serveurs.

135 Location service (loc-srv). Ce port est utilisé pour acheminer les services RPC (Remote Procedure Calls ou Appel de procédures à distance) vers les ports appropriés, mappés de façon dynamique. Les pirates peuvent l'utiliser pour déterminer quel port est utilisé par divers services Windows. Ce port ne doit pas être visible depuis Internet.

139 NetBIOS. NetBIOS est utilisé pour le partage de fichiers et d'imprimantes sous Windows. Si le port 139 est ouvert, il est possible d'avoir accès à votre ordinateur et de partager des fichiers sur Internet. D'autres composants de NetBIOS peuvent communiquer le nom de votre ordinateur, son groupe de travail, votre nom d'utilisateur, etc. Pour en savoir plus sur les méthodes permettant d'empêcher les connexions sur vos ports NetBIOS, voir : Instructions de configuration et informations relatives à NetBIOS

143 IMAP (Internet Message Access Protocol). Protocole évolué permettant d'envoyer des messages électroniques. Ce port doit être ouvert uniquement si vous utilisez un serveur IMAP.

443 HTTP over TLS/SSL. Protocole permettant de sécuriser les communications HTTP. Ce port doit être ouvert uniquement si vous utilisez un serveur Web.

445 Windows NT / 2000 SMB. Norme utilisée pour partager des protocoles SMB. Elle peut être exploitée de différentes façons, notamment pour obtenir vos mots de passe.

1080 SOCKS. Ce protocole permet aux ordinateurs d'accéder à Internet par le biais d'un pare-feu. Il est utilisé lorsque plusieurs ordinateurs partagent la même adresse IP. En général, ce protocole autorise uniquement les communications vers l'extérieur. Cependant, il est souvent mal configuré, ce qui permet aux pirates de contourner le pare-feu.

1723 PPTP (Point-to-Point Tunneling Protocol). Ce service est utilisé pour établir des connexions à des réseaux privés virtuels.

5000 UPnP (Universal Plug and Play). Ce service est utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau.

5631 pcAnywhere. Ce port est utilisé par le logiciel pcAnywhere de Symantec en mode hôte.

Il faut fermer ICMP

L'ICMP ( Internet Control Message Protocol) est un protocole de communications destiné à véhiculer le message d'erreur d'une connexion TCP/IP et qui aide à identifier des problèmes.

Par exemple ICMP est utilisé par Ping, notamment, pour déterminer si un hôte répond sur le réseau.

A l'aide d'une technique nommée "firewalking", un pirate peut découvrir quels services ne sont pas filtrés par le coupe-feu, mais dresser aussi la cartographie du réseau derrière le coupe-feu. L'ICMP est utilisé.

http://gerard.melone.free.fr/IT/IT-Intrus.html

La méthode repose sur la création de paquets (UDP, TCP ou ICMP), dont la durée devie est calculée pour être supérieure à celle du nombre de sauts nécessaires pour atteindre le coupe-feu. Lorsque le paquet arrive sur le coupe-feu (ou le routeur filtrant), celui-ci peut l'ignorer ou l'accepter, selon les règles définies par l'administrateur. S'il l'ignore, le pirate sait que le port est fermé. En revanche, si le port est ouvert, le paquet est naturellement autorisé à passer. Il atteint cependant la limite de sa durée de vie et meurt immédiatement après avoir franchi le coupe-feu. Le pirate reçoit alors un message ICMP de type 11 (TTL dépassé). Cette information est très précieuse, puisqu'elle lui permet de reconstruire le jeu de règles de filtrage de tous les dispositifs filtrants de l'entreprise. En connaissant l'adresse d'un hôte derrière le coupe-feu, le pirate peut utiliser la même technique pour cartographier le reste du réseau en ciblant chaque adresse IP derrière le coupe-feu. Il recherche particulièrement les serveurs DNS internes, les passereles de courrier supplémentaires, les serveurs debases de données, etc.

Tester son parefeu 23/12/05

Pour savoir si ton pare feu est efficace , va visiter les sites qui te

proposent de le tester , genre :

http://check.sdv.fr/

http://www.pcflank.com/

Choisir son anti-virus 23/12/05

AVg est un produit qui en vaut d'autres, peut-être un ton en dessous

d'autres produits selon les test mais dans un mouchoir de poche en

pratique.

Pour les prix, il faut voir avec la configuration, combien de postes,

serveur ou pas, quel poste est relié à Internet etc...

A noter que Kaspersky fait des prix interessants pour les configurations

multipostes.

http://kaspersky.telechargement.fr/list_users.html?change_onglet=business&change_os=ALL&N=R%E9seau&PHPSESSID=0d8e94c457bb1606c85d90a91598dddb

<http://kaspersky.telechargement.fr/list_users.html?change_onglet=business&change_os=ALL&N=R%E9seau&PHPSESSID=0d8e94c457bb1606c85d90a91598dddb

La version Personal pro 5 est vendue avec licence pour déjà deux postes.

On a testé AVG qui est très bien, mais au final notre choix s'est porté sur AVAST qui est gratuit pour sa version perso

Toujours privilégier des installations personnalisées (custom) et non standard pour éviter les spywares 23/12/05

C'est en effet souvent à travers les installations en standard que sont installés les spywares et changés le moteur de recherche, la barre d'outils, la page de démarrage.

Eradiquez les troyens 13/12/05

A2 traîte plus de 9000 signatures http://www;emisoft.net:fr/software/free

On peut aussi utiliser un anti-troyen en ligne: http://www.windowsecurity.com/trojanscan

Comment me débarrasser de lop.com ? 10/11/05

chargez et lancez le programme de désinstallation fourni par l'éditeur de lop: http://www.lop.com/new_ uninstall.exe.

Comment se débarasser de Search lop.com 07/11/05

Origine Faq Vouillon

http://a.vouillon.free.fr/faq-winxp.htm

A la suite d'un clic malvenu, vous avez désormais une nouvelle barre d'outils dans Internet Explorer et de nouvelles icônes sur votre Bureau?

Voici comment se débarrasser de ces deux éléments et se prémunir d'une nouvelle intrusion:

1. Désinstallation de la barre d'outils:

* Sélectionner Uninstall dans le menu "Help" du logiciel installé.

* S'il est impossible de trouver le logiciel coupable, utiliser le désinstalleur de la barre.

http://lop.com/toolbar_uninstall.exe

Attention, le téléchargement de ce programme peut être difficile. En effet le site lop.com est blacklisté par les outils de protection (dont SpywareBlaster et Spybot). De plus le fichier est signalé à tort comportant un virus.

Voici le résultat d'un scan par plusieurs moteurs antivirus Aussi je vous mets une copie à disposition ici

http://a.vouillon.free.fr/ftp/Search_Lop_toolbar_uninstall.exe_delete

, vous devez la télécharger en désactivant votre antivirus et vous devrez ensuite supprimer le '_delete' de 'exe_delete', l'extension du nom de fichier. Vous pourrez alors lancer le désinstalleur.

* Télécharger et utiliser Ad-Aware http://www.lavasoftusa.com/

qui supprime les derniers résidus dans le Registre.

2. Se débarrasser du pop-up sur le Bureau.

Si une icône transparente se promène sur le bureau (search lop.com), il y a des chances que cela provienne de l'exécution d'un ActiveX. Une fois qu'il est lancé, il vérifie quel papier peint est utilisé et le met en arrière plan du fichier "desktop.html". Il ajoute également un javascript pour lancer un flash movie. Le pop-up est désormais lié à l'arrière-plan du Bureau. Une partie de ce papier peint servant à surveiller IE, le pop-up s'active en général lorsqu'une erreur DNS se produit.

Pour s'en débarrasser, il suffit de cliquer du bouton droit sur le Bureau, de choisir "Propriétés". Changer le papier peint sous l'onglet Bureau, rubrique Arrière-plan, Cliquer sur Appliquer et le tour est joué.

Vérifiez la sécurité de votre machine 22/01/05
Pour éviter de vous faire attaquer par des personnes mal intentionnées sur votre PC, et qu'ils s'introduisent sur votre PC pour y récupérer des données ou des fichiers, il est conseillé de vérifier que tous les ports ne sont pas ouverts.
En effet, un port ouvert est synonyme de faille de sécurité.
Pour vérifier que les ports ne sont pas ouverts, connectez-vous au site
http://www.pcflank.com
Dans le menu Test Your System qui se trouve à gauche, cliquez sur Advanced
Port Scanner.
Cliquez ensuite sur le bouton Start Test, puis sur Continue.
Cochez la case TCP connect scanning (standard) et cliquez sur le bouton
Continue.
Cochez la case Scan typical vulnerable and Trojan ports et cliquez sur le bouton Continue.
L'analyse pour détecter des failles débute alors. Patientez quelques
instants, puis le résultat s'affiche.
Si un port est ouvert et donc susceptible d'être une brèche pour les
pirates, le statut Open en rouge apparaît alors.

Autre site de test: http://www.advnetcom.net/fts.htm
securitymetrics est assez fiable pour autant que je me souvienne.

Tentative d'installation de NSW2005: impossible 20/05/04

il propose d'installer ou de désinstaller le produit « CoBrandedProductName » (???) et signale espace disque disponible à 0. Ca ressemble à un virus et je quitte cette fenêtre.

Exécution de l'antivirus en ligne de secuser.com (20min).

Finalement la secrétaire me parle d'une ancienne version de Norton qui n'était peut être pas bien désinstallée. Sachant qu'il n'y a pas de virus sur la machine je relance l'installation de NSW2005 et cette fois-ci je demande de désinstaller le fameux « CoBrandedProductName ». La désinstallation de ce truc se passe bien et ensuite l'installation de NSW2005 peut démarrer normalement! (10min)

Eliminer la fonction de surveillance des fichiers compressés de NORTON ANTI VIRUS 25/07/04

il faut décocher les 2 cases "analyser les fichiers compréssés" dans les options de NAV

A faire dans "autoprotect" mais pas dans "analyse manuelle" (danger potentiel)

Conflit MAILWASHER et F-SECURE 25/07/04

j'ai une alerte avec l'antivirus F secure securitoo "virus " localisé dans le fichier mailwasher pro /....../training archive.junkMbox
nom du virus
NAME: Dyfuca
ALIAS: Downloader.Dyfuca, TrojanDownloader.Win32.Dyfuca
je n'ai pu refaire fonctionner mailwasher sans declencher l'alerte F secure
qu'apres avoir choisi l'option "renommer automatiquement"
pourquoi les options:"nettoyer automatiquement" ou "supprimer
automatiquement" ne fonctionnaient pas pour ce probleme?

Pas de panique, il suffit de vider la sauvegarde de mailwasher qui
contient le script (quelque dizaines de lignes) et l'alerte cessera.

comment fait on ?

Avec Tools, statistics ou plus court control-S et appuyer sur la case
clear log. C'est tout.
Pour info, Mailwasher archive les emails détruits (1500 octets), le
trojan.downloader est un script de quelque ligne de texte qui force la
machine virtuelle Java Microsoft à accepter des commandes interdites
comme charger des composants d'IE vérolés dialer, barre d'aides etc...

Conflits entre les MAJ de F-SECURE et le firewall 25/07/04

C'est tout à fait possible car le moteur de mise à jour de F-secure
est backweb dont la plupart des antivirus considèrent comme un spyware
et les pare-feux bloquent souvent et l'installation et les mises à
jour.

Problème avec BACKWEB 03/07/04

BackWeb
Pierre Pinard© (05.11.2003)
Généralités
a.. Nom
BackWeb
b.. Autres noms
Connu sous le nom de "Active Update" de Compaq, Cisco, Hewlett-Packard,
Ericsson, IBM, Schlumberger Dowell etc. ... C'est aussi, chez Packard Bell,
ActivSurf.
c.. Description Résumée
BackWeb est un outil de download silencieux très souvent utilisé par les
fournisseurs de logiciels et de matériel informatique qui le livrent en
bundle avec leurs produits pour, prétendent-ils, permettre des mises à jour
automatiques de leurs produits ou des download de données telles que des
informations sur leurs nouveaux produits (il s'agit d'une forme publicitaire
dite de "push"). Il a donc, à ce dernier titre, un comportement de type
adware et il est également suspecté d'être utilisé pour downloader des pubs,
mais c'est là le moindre des soucis qu'il pose.
Dans le cadre de "réseaux privés", BackWeb permet de faire de la promotion
sur des cibles déjà clientes et non pas au simple stade de prospect. C'est
la "push technology". Son comportement est fonction de son paramétrage
d'exploitation par la tâche qui le sollicite. Il peut être utilisé à bon
escient et, par exemple, en 1999, la société SAP, éditrice de la gamme de
logiciel du même nom, SAP (solutions commerciales et comptables pour les
très grands groupes multinationaux), à passé un accord avec la société
éditrice de BackWeb afin que SAP, par sa plate-forme de maintenance mySAP,
puissent diffuser des informations, alertes ou mises à jour auprès de ses
clients en utilisant la plate-forme Internet de BackWeb. Des tâches "client
BackWeb" sont donc "à la réception". La technologie "BackWeb" permet donc de
créer des "réseaux privés" depuis 1996 et Général Motor, l'une des toutes
premières entreprises du monde, fut un des tout premiers clients. La société
BackWeb est cotée au Nasdaq et est spécialiste des infrastructures de
communication Internet.
Il n'a pas encore été prouvé qu'il était malicieux mais il est très
suspect dans son comportement et dans son installation à tel point que
beaucoup d'observateurs le classe parmi les Spywares.
HP (Hewlett Packard) est l'un de ces fournisseurs de matériel utilisant la
technologie BackWeb mais lui (et sans doute les autres mais on ne le sait
pas encore) est allé tellement loin que son logiciel Internet Netropa ping
régulièrement un serveur pour maintenir une connexion vivante et transmet
l'usage des touches de fonction étendues des claviers type One Touch
Internet Keyboard, ce qui l'apparente à un keylogger.
Compaq utilise la technologie BackWeb pour son service Active Update comme
Cisco, Hewlett-Packard, Ericsson, IBM et Schlumberger Dowell. Le but
apparent est de permettre à ces constructeurs d'accéder à tous leurs
ordinateurs (tous les ordinateurs qu'ils vous ont vendus) et downloader
(télécharger) des composants logiciels et des mises à jour automatiquement,
dès que vous êtes connectés. Ceci nécessite un scan de l'ordinateur pour
savoir quels logiciels sont installés, dans quelles langues, avec quelles
numéros de version etc. ... Y a-t'il un seul naïf pour croire un seul
instant qu'ils trient l'information et ne font remonter que ce qui les
concerne ...? BackWeb est un cheval de Troie connu.
Il est identifié pour être livré encore avec, au moins, Network
Associates, Real Networks, Logitec (drivers), F-Secure, Western Digital Data
Lifeline, Kodak digital camera sync software, Kodak Software Updater (Kodak
Easyshare digital cameras), Packard Bell ActivSurf... Usage inconnu.
Notons qu'un vrai FireWall bidirectionnel (comme ZoneAlarm), mais
certainement pas le FireWall d'XP, suffit à le bloquer. Il est impératif de
supprimer backweb sur tous les ordinateurs familiaux et individuels et de
demander précisément de le faire au directeur du SI pour les grands comptes.
D'après des notes de cexx.org il ressemble à DSSAGENT et à CameoCast. Les
fichiers BackWeb sont downloadés depuis main.cameocast.com
d.. Variantes
Ce qu'il fait
      Publicité Violation de la vie privée Introduit une faille de sécurité
Introduit une instabilité du système
     a.. Publicité :
Oui et non. Oui dans le push mais c'est alors dans le cadre de contrats
informatifs spécifiques.
b.. Violation de la vie privée :
Oui. BackWeb est installé sur de très nombreuses machines dès l'origine.
Par nature, les mises à jour automatiques nécessitent que de l'information
soit collectée sur nos ordinateurs, on ne sait pas exactement laquelle, et
renvoyée vers des serveurs, on ne sait pas exactement lesquels.
Il est légitime de se demander qu'est-ce qui peut pousser un bête driver
de souris (Logitech) à manager des connexions Internet.
Même interrogation en ce qui concerne Western Digital.
c.. Introduit une faille de sécurité :
Oui. Par nature, les mises à jour automatiques sont destinées au download
et installation de code non vérifié et non vérifiable sur nos machines.
d.. Introduit une instabilité du système :
Il a été signalé le message d'erreur "BackWeb caused an invalid page fault
in module BackWeb.EXE at 017f:004024f9."
Runner Error Invalid Backweb application id. Ce message d'erreur est
souvent signalé, suivi d'un code. Il s'agit probablement de l'usage d'un
anti-spyware qui a partiellement ou totalement désinstallé BackWeb alors
qu'une application tente d'y accéder. Il peut s'agir aussi de l'installation
concurrente de plusieurs BackWeb sur le même ordinateur.
Editeur
Backweb
Détection
.

Informations techniques
La technologie BackWeb permet à des tierces parties d'ajouter aisément des
plug-ins donc, même il ne peut être tiré de conclusion générale quant-au
produit backweb de base dont les caractéristiques et la dangerosité peuvent
être augmentés dans chaque implémentation. L'un de ces plug-in identifié est
"BackWeb Polite Upstream" qui permet de renvoyer de l'information vers les
serveurs.
Utilise le port 6670.
Utilise un protocole basé sur UDP.
Eradication
a.. Manuelle
Vous devez connaître et maîtriser les actions manuelles suivantes
    a.. Tuer un processus actif
    b.. Retirer une entrée de la liste de démarrage
    c.. Détruire des fichiers
    d.. Détruire des répertoires
    e.. Détruire des clés de registre
    f.. Détruire une entrée dans un clé de registre
    g.. Désenregistrer des DLLs
Rechercher une procédure de désinstallation dans "Ajout/Suppression de
programmes" - elle existe quelquefois.
S'il n'y a pas de désinstalleur, rechercher le répertoire "BackWeb" et le
détruire. Il n'y a pas de clé de registre.
Pour le conserver, au cas ou, rechercher un fichier nommé
BackWeb-XXXXXXXX.exe (XXXXXXXX étant le numéro de version) et le renommer
n'importe comment (typiquement BackWeb-XXXXXXXX.ex_, ceci l'empêchera de se
lancer au prochain démarrage de l'ordinateur.
Western Digital's Data Lifeline BackWeb Lite Installer (DLGLI.EXE) - comme
pour Logitech, voici un usage complètement inattendu et incompréhensible :
    a.. DLGLI.EXE utilise BackWeb pour installer silencieusement des
composants inconnus sur nos ordinateurs. Lorsque Western Digital Data
Lifeline est installé, une référence à DLGLI.EXE est placée dans la liste de
démarrage de Windows de manière à être automatiquement. Pour le détruire :
    1.. Tuer le processus DLGLI.EXE avec le gestionnaire tâches
(CTRL-ALT-DEL). Il peut être repéré en tant que "Downloading Software..." ou
"Resuming Downloading of Software..."
    2.. Rechercher le fichier DLGLI.EXE et le détruire.
    3.. Rechercher la dll Iadhide3.dll et la détruire.
    4.. Retirer l'entrée dans la liste de démarrage avec l'un des
utilitaires préconisés.
Tuer le processus suivant:
dc1.exe
Supprimer les fichiers suivants s'ils existent
dc1.exe
dc10.hlp
dc6.r
Toujour exécuter l'intégralité de "LA MANIP" après cette désinfection.
a.. Automatique avec son propre uninstal
Quelque fois
Toujour exécuter l'intégralité de "LA MANIP" après cette désinfection.
b.. Automatique avec un outil
PestPatrol
Toujour exécuter l'intégralité de "LA MANIP" après cette désinfection.
c.. Conséquences de l'éradication
.Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
127.0.0.1 main.cameocast.com
Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.Cookies à éradiquer utilisés par cette malveillance
.Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
PestPatrol
cexx.org
L'antivirus F-secure utilise ce logiciel pour les mises à jour.

Après installation d’un Anti-virus, il n’y a plus de connexion entre le serveur et le client 14/03/05

modification de la BDR et la clé suivante HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

et modifier la valeur de la clé IRPStackSize en lui donnant 12 en valeurdécima modification effectuée sur le poste serveur.réinitialisation des postes et contrôle du bon fonctionnement de la configuration .

Paramétrage de SpySweeper 12/03/05

http://www.webroot.com

Comme prévu, je viens d'avoir quelques soucis avec ceux qui ont gardé

Spysweeper en résident et ne l'ont pas désactivé du lancement de Windows

dans (options). Le logiciel bloque les éléments de certaines install qu'on

peut retrouver et valider dans ALERTES. Il bloque aussi l'assistance à

distance pour ceux qui ont laissé cocher la case de protection contre le

service d'affichage de Windows Messenger à l'installation. On la retrouve et

la décoche dans PROTECTIONS. Ceci dit, cette dernière assertion peut-être remise en question, car je n’ai noté ce problème qu’une seule fois.

Eliminer le spyware LOP 20/02/05

Essayes de les retirer avec ces outils là :
http://lop.com/new_uninstall.exe
http://lop.com/toolbar_uninstall.exe
En anglais :
http://www.security-forums.com/forum/viewtopic.php?p=135474
Et repasse un coup de spysweeper après.

SpySweeper pour éliminer les spywares 20/02/05

Spysweeper est à essayer :
http://www.webroot.com/fr/products/spysweeper/

Ne pas le laisser résident en mémoire car il peut provoquer des conflits et demande ensuite systématiquement des confirmations des nouvelles installations.

L'achat nécessite quand même de télécharger un complément sur le site puis
de faire son installation par dessus la version d'origine sans avoir a
l'enlever avec le N° de licence renvoyer par Mail par la société après
contrôle du règlement: Bon courage à tous
A noter que théoriquement il s'agit bien sur d'un abonnement unique pour une
machine et pourtant ce petit logiciel est bien utile au cab comme à domicile

Essaie A2

http://www.emsisoft.net/fr/support/malware/

tu peux essayer
http://www.ordi-netfr.com/cwshredder.html

Problème lors de l'installation de NSW 20/02/05

Ceux qui ont installé eux-mêmes la version 2004 ont certainement installé
Password Manager (pour ma part, je ne l'installais pas, parce que je
pensais, à juste titre donc, que c'était un gadget inutile); quand ils vont
lancer l'install du NSW 2005, ils vont avoir un message leur indiquant que
Password Manager va être désinstallé, un autre leur demandant si ils veulent
conserver les infos (répondre NON, sauf pour ceux qui se servaient du
gadget) et puis un message de confirmation qui reste caché sous l'écran; il
faut donc mettre le 1er écran en barre des tâches pour accéder à ce message,
faute de quoi, le système tourne et tourne sans fin....

tu installes en "personnalisé", tu décoches CLEANSWEEP et tu installes le reste. Il n'y a un
lézard que lorsque NORTON te propose de le laisser gérer les vers par son
"worm internet security" ou qqch comme ça, que tu décoches de manière à
laisser Windows gérer lui même le parefeu.
Tu peux aussi avoir une autre proposition de NORTON de ésactiver les
messages d'alerte du centre de sécurité de Windows, afin d'éviter la
redondance. La encore, tu décoches et laisses Windows agir.
A part ça rien de compliqué. Bien faire les MAJ au préalable si possible.

Modifier l'installation de Norton System Works 20/02/05

Pour modifier l'installation de NORTON SYSTEM WORKS, notamment pour
désinstaller et réinstaller l'anti-virus, il vaut mieux se mettre en session
ADMINISTRATEUR.
Pour cela après le démarrage, lorsqu'on est à l'écran qui propose le choix
d'utilisateur pour
ouvrir le session Windows, on fait 2 fois CTRL ALT SUPPR et on tape
ADMINISTRATEUR dans la case Utilisateur
Pour le mot de passe, il faut mettre le mot de passe établi lors de
l'installation et si il n'y en a pas, cliquer directement sur OK.

Mettre Kerio en manuel après installation de la SP2 22/01/05

Cela fait plusieurs fois que j'interviens pour des pb Kerio, je rappelle
donc une nouvelle fois qu'une fois installée la MAJ SP2 de Windows XP via le
windows Update, il faut mettre Kerio en manuel, parce qu'il devient inutile.
Clic droit sur Kerio / administration / onglet miscellaneous ou divers /
cocher START MANUALLY ou CHARGER MANUELLEMENT et redémarrer la machine.

Télécharger la définition de virus de Norton manuellement 22/01/05

La bonne adresse :
http://securityresponse.symantec.com/avcenter/download/pages/FR-N95.html

La procédure manuelle:

Ouvrir Internet Explorer et aller à l'adresse htpp://www.symantec.fr
Cliquer sur Mises à jour des définitions des virus
Cliquer sur Intelligent Updater vs. Liveupdate: click here for information
En-dessous, cliquer sur English et sélectionner par un clic gauche Français
Normalement par défaut en-dessous c'est Norton AntiVirus for Windows
9x/NT/Me/2000/XP
cliquer sur Download Updates
Dans la page Security response qui s'ouvre, vous pouvez voir une ligne jaune
Nom du fichier / Date de Mise à jour/ Date du fichier/ Taille du fichier et
dessous les informations correspondantes.
Cliquer sur le nom du fichier qui apparaît en bleu souligné
ex:2005112-016-i32.exe
Dans la fenêtre qui apparait si vous ne voulez pas enregistrer le fichier
pour l'utiliser sur une autre machine, cliquer sur EXECUTER
Une animation va accompagner le téléchargement du fichier avec indication de
la progression en %

Forcer la MAJ WMI de NORTON 22/01/05

Sur certaines il faut forcer la mise à jour WMI
http://service1.symantec.com/SUPPORT/INTER/sharedtechintl.nsf/fr_docid/20040810144935934?OpenDocument&tpre=fr&csm=no&src=con_web_fr

Quel logiciel antispam utiliser 22/01/05

MAILWASHER PRO

http://www.firetrust.com/

Wanadoo propose une option antispam qui fonctionne correctement.
http://www.wanadoo.fr/bin/frame2.cgi?service=wanadoo_et_moi&u=http://nos-offres.wanadoo.fr/op1.html

Comment éliminer la barre search the web 22/01/05

Ad-AWARE et Spybot sont inefficaces

J'ai installé "Spy substract " en version d'essai et miracle il a réussi à
m'enlever la page search the web que spy bot et ad aware n'avait jamais
enlevé depuis plus de 6 mois.

Il existe un utilitaire très efficace :Highjackthis. Fais une recherche sur
Google, tu le trouveras ou va sur
http://assiste.free.fr/p/internet_utilitaires/hijackthis.php Attention aux
manips, cela peut-être dangereux.
Pour assurer, tu scannes, cela génère un log, ensuite tu postes le résultat
de ce log sur le Forum Général de ce site avec la demande habituelle :
"Demande d'analyse d'un log HijackThis" et on te donne la marche à suivre :
quoi détruire et quoi garder.
D'un autre côté, sur la machine de mon gamin, j'ai tout viré et je me suis
débarrassé de toutes ce genre de ToolBar.

Il fait un état des lieux uniquement pour internet explorer et laisse
les malwares autonomes tranquilles.
Spysweeper est à essayer :
http://www.webroot.com/fr/products/spysweeper/
d'autant que la version d'essai fait entièrement le ménage.

par rapport à Ad Awre, ou Spy Bot, il semblerait qu'il soit plus efficace
pas pour tout, mais pour les page search surajoutées
du style " CoolWebSearch, aka CoolWwwSearch, YouFindAll, White-Pages.ws et
une douzaine d'autres noms, qui ajoutent une barre de recherche dans
Internet Explorer, ralentissent votre navigateur, détournent les pages
d'erreur de recherche, changent votre page de démarrage et la redirige,
détournent les recherches de google"

Essaie A2

http://www.emsisoft.net/fr/support/malware/

Spywares et keyloggers 22/01/05

Comme je te le disais j'utilise SpyBot et AdAware AdAware semble plus
performant, mais SpyBot trouve certains SpyWares que Ad ne trouve pas et vis
versa ce qui prouve que certains doivent passer à traver..
tu peux essayer aussi
http://www.ordi-netfr.com/cwshredder.html

Pour compléter ce qu'à dit Philippe, il y a(urait) des spywares Keyloggers
Dans http://www.commentcamarche.net/virus/keylogger.php3
"Les keyloggers
Un keylogger (littéralement enregistreur de touches) est un dispositif
chargé d'enregistrer les frappes de touches du clavier et de les
enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif
d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les
courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
créer une vidéo retraçant toute l'activité de l'ordinateur !
Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier,
ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il
faut être particulièrement vigilant lorsque vous utilisez un ordinateur en
lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une
entreprise, une école ou un lieu public tel qu'un cybercafé). "

Désinstallation de NORTON ANTI VIRUS 03/04/06

2. Sélectionnez l'option I accept the Licence Agreement puis cliquez sur Suivant.

3. Recopiez dans le champ le texte qui apparaît dans l'image. Cliquez sur Suivant.

4. Cliquez enfin sur le bouton Suivant pour démarrer l'analyse de votre disque dur. Choisissez votre version de Norton Antivirus à désinstaller puis cliquez sur Suivant. Cliquez enfin sur Finish.

5. Redémarrez votre ordinateur.

6. Effectuez un nettoyage du Registre de Windows avec CCleaner afin de supprimer les informations laissées par Norton Antivirus. Cliquez ici pour savoir comment faire.

7. Vous pouvez alors installer un nouvel antivirus. A ce sujet, n'hésitez pas à lire notre dossier Se protéger gratuitement contre les virus.

Désactiver NORTON INTERNET SERVICE 22/01/05

dans les options de démarrage de NIS. Onglet "Général'. Mettre en
"manuel"

L'auto protect de Norton AV ne se lance pas au démarrage 22/01/05

J'ai ce problème qui n'en ai pas un, il suffit de lancer avec la ligne
de commande executer :
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
Cette application ccApp.exe est très sensible à l'ordre de lancement
des programmes au démarrage : j'ai eu ce problème avec le gestionnaire
Mspoint32.exe Microsoft depuis la sortie d'Xp.
La parade est de lancer la ligne de commande dans le groupe démarrage du menu démarrer plutôt que de le laisser dans la section run de la base des registres. Il sera lancé dans les derniers et ne sera pas en conflit.

Pour obtenir la version actuelle de LiveUpdate 21/01/05
1.. Rendez-vous sur la page de téléchargement des fichiers LiveUpdate.
http://www.symantec.com/region/fr/techsupp/files/lu/lu_files.html
2.. Dans Le tableau des mises à jours et correctifs propose deux fichiers
permettant d'installer LiveUpdate, choisir la version a, c'est à dire le 1er
et télécharger le
fichier lusetup-lt.exe Exécutez le directement.

Le logiciel va désinstaller l'ancienne version et installer la nouvelle.
Redémarrer ensuite la machine et tester LIVE UPDATE.

Effacer définitivement les traces d'un virus dans un logiciel de messagerie 21/01/05

Pour tous les logiciels emails il faut purger la corbeille et faire compacter la base de donnée

Précautions lors de l’installation d’un produit Norton 14/01/05

Pour ceux qui feront la mise à jour attention :

- avec Axiam, désactiver l'analyse des messages sortants dans les parametres de l'antivirus (comme avec 2004) ; désactiver la protection de confidentialité ; si l'antispam est activé, désactiver à son niveau l'apprentissage avec les messages sortants

- avec Aximessage , désactiver l'antispam ou ajouter à la liste des autorisés tous vos correspondants (labos compris)

Comment faire la MAJ manuelle de la définition des virus pour NORTON 13/01/05

Ouvrir Internet Explorer et aller à l'adresse htpp://www.symantec.fr

Cliquer sur Mises à jour des définitions des virus

Cliquer sur Intelligent Updater vs. Liveupdate: click here for information

En-dessous, cliquer sur English et sélectionner par un clic gauche Français

Normalement par défaut en-dessous c'est Norton AntiVirus for Windows 9x/NT/Me/2000/XP

cliquer sur Download Updates

Dans la page Security response qui s'ouvre, vous pouvez voir une ligne jaune Nom du fichier / Date de Mise à jour/ Date du fichier/ Taille du fichier et dessous les informations correspondantes.

Cliquer sur le nom du fichier qui apparaît en bleu souligné ex:2005112-016-i32.exe

Dans la fenêtre qui apparait si vous ne voulez pas enregistrer le fichier pour l'utiliser sur une autre machine, cliquer sur EXECUTER

Une animation va accompagner le téléchargement du fichier avec indication de la progression en %

Erreur LU1803 : "Echec de LiveUpdate pendant la récupération des mises à jour" ou "LiveUpdate a rencontré une erreur interne pendant qu'il récupérait les mises à jour" 13/01/05

Situation:
Ce document décrit deux messages d'erreur commençant tous deux par "LU1803". -- "LU1803 : Echec de LiveUpdate pendant la récupération des mises à jour. Une erreur interne s'est produite lorsque LiveUpdate a tenté d'obtenir vos mises à jour." Ce message d'erreur peut apparaître lorsque vous exécutez LiveUpdate manuellement à partir de l'interface utilisateur principale de votre programme Symantec™ ou à partir du menu Démarrer. -- "LU1803 : LiveUpdate a rencontré une erreur interne pendant qu'il récupérait les mises à jour. Vos programmes Symantec n'ont pas pu être mis à jour. Essayez de récupérer les mises à jour ultérieurement. Si LiveUpdate échoue de nouveau avec cette erreur, vous devrez réinstaller LiveUpdate." Ce message d'erreur peut apparaître après avoir cliqué sur le bouton Suivant dans la fenêtre "Bienvenue dans LiveUpdate".

Solution:

Avant de commencer : Norton Internet Security ou Norton Personal Firewall sont-ils installés ? Si le programme est désactivé lorsque vous démarrez Windows, ou si vous avez un doute, reportez-vous au document intitulé Norton Internet Security ou Norton Personal Firewall démarrent en mode désactivé ou leur icône n'apparaît pas dans la barre des tâches.

La première chose à faire est de télécharger et d'installer la dernière version de LiveUpdate.

Pour obtenir la version actuelle de LiveUpdate

Rendez-vous sur la page de téléchargement des fichiers LiveUpdate. http://www.symantec.com/region/fr/techsupp/files/lu/lu_files.html
Le tableau des mises à jours et correctifs propose deux fichiers permettant d'installer LiveUpdate :

lusetup-lt.exe
La plupart des particuliers doivent installer cette version de LiveUpdate.
lusetup.exe
Il s'agit de la version complète de LiveUpdate. Cette version comprend des fonctionnalités de gestion d'entreprise qui peuvent être utilisées dans un réseau d'entreprise géré. La plupart des utilisateurs de produits d'entreprise Symantec doivent installer cette version de LiveUpdate.

Cliquez sur lusetup-lt.exe ou lusetup.exe.
Enregistrez le fichier sur votre bureau Windows.
A la fin du téléchargement, cliquez deux fois sur l'icône lusetup-lt.exe ou lusetup.exe présente sur le bureau afin d'installer LiveUpdate.
A la fin de l'installation, exécutez LiveUpdate afin de télécharger toutes les mises à jour disponibles.
Redémarrez l’ordinateur si vous y êtes invité. Vous devrez peut-être exécuter LiveUpdate plusieurs fois afin d'obtenir toutes les mises à jour disponibles.

Remarques :

Si aucun message d'erreur n'apparaît, votre problème est résolu.

Si l'erreur LU1803 persiste, passez à la section intitulée "Si l'installation de LiveUpdate n'a pas fonctionné et l'erreur LU1803 persiste".
Si un autre message d'erreur apparaît, cliquez sur le lien proposé dans le message d'erreur, et suivez les instructions indiquées dans le document qui s'affiche.

Si l'installation de LiveUpdate n'a pas fonctionné et l'erreur LU1803 persiste
Commencez par la solution 1. Si le problème persiste, essayez la solution 2 puis la solution 3.

Ces deux solutions sont proposées dans des sections déroulantes. Cliquez sur l'icône précédant une section afin de développer ( ) ou de réduire ( ) cette section. (Si vous ne pouvez pas développer une section, consultez le document intitulé Impossible de développer les sections dans un document de la base de données Symantec.)

Supprimer les fichiers Settings.LiveUpdate
Si le message d'erreur LU1803 apparaît toujours après avoir suivi les instructions des sections précédentes, ils est possible que les fichiers Settings.LiveUpdate soient corrompus. Pour résoudre ce problème, vous devez supprimer les fichiers Settings.LiveUpdate.

Cette opération ne prendra que quelques minutes. Suivez les instructions du document intitulé Comment supprimer les fichiers Settings.LiveUpdate.

Comment supprimer les fichiers Settings.LiveUpdate

Situation:
Ce document explique comment supprimer les fichiers Settings.LiveUpdate et, si vous le souhaitez, comment réactiver le mode Interactif.

Solution:
Certains paramètres de LiveUpdate se trouvent dans le fichier Settings.LiveUpdate. A chaque exécution de LiveUpdate, un fichier Settings.LiveUpdate est créé. Les anciens fichiers Settings peuvent être différenciés au numéro ajouté au début du nom du fichier.

Si les fichiers Settings.LiveUpdate sont corrompus, il est possible que le fonctionnement de LiveUpdate soit affecté.

Pour remédier à cela, vous devez supprimer toutes les copies du fichier Settings.LiveUpdate. Ceci peut inclure les fichiers nommés, par exemple, 1.Settings.LiveUpdate, 2.Settings.LiveUpdate, etc.

Remarques :

Après la suppression de ces fichiers, l'exécution suivante de LiveUpdate se fera en mode Express. Si vous souhaitez exécuter LiveUpdate en mode Interactif, vous devez également apporter une légère modification aux paramètres. L'étape 2 détaille cette procédure.
Si vous avez ouvert ce document en cliquant sur un lien proposé dans un autre document, cliquez sur le bouton Précédente de votre navigateur après avoir suivi les instructions indiquées ici afin de retourner sur le document initial.

Etape 1 : Supprimer les fichiers Settings.LiveUpdate
Suivez les étapes pour votre version de Windows.

Windows 98/Me/2000

Sur le bureau Windows, cliquez deux fois sur l'icône Poste de travail.
Effectuez l'une des opérations suivantes :

Sous Windows 98, cliquez sur Affichage Options.
Sous Windows Me/2000, cliquez sur Outils Options des dossiers.

Cliquez sur l'onglet Affichage.
Désélectionnez "Masquer les extensions des fichiers dont le type est connu".
Effectuez l'une des opérations suivantes :

Sous Windows 98, dans la boîte de dialogue des paramètres avancés, cliquez sur "Afficher tous les fichiers" dans le dossier "Fichiers cachés".
Sous Windows Me/2000, désélectionnez "Masquer les fichiers protégés du système d'exploitation" et cliquez sur "Afficher les fichiers et dossiers cachés" dans le dossier "Fichiers et dossiers cachés".

Cliquez sur Oui si une boîte de dialogue d'avertissement apparaît.
Cliquez sur Appliquer puis sur OK.
Sur le bureau Windows, cliquez sur le bouton Démarrer Trouver ou Rechercher Fichiers ou dossiers.
Dans la fenêtre des résultats de la recherche, sélectionnez (C:) dans "Rechercher dans" et activez l'option "Inclure les sous-dossiers".
Dans l'un des champs de recherche des fichiers, tapez (ou copiez/collez) le texte suivant :

*SETTINGS.LIVEUPDATE
Cliquez sur "Trouver maintenant" ou "Rechercher maintenant".
Lorsque les résultats de la recherche sont affichés, cliquez sur le menu Edition Sélectionner tout.

Les fichiers trouvés et sélectionnés devraient être semblables à l'illustration suivante :
Appuyez sur la touche "Suppr" de votre clavier. Cliquez sur Oui si vous êtes invité à confirmer la suppression.

Windows XP

Cliquez sur le bouton Démarrer Poste de travail.
Cliquez sur Outils Options des dossiers.
Cliquez sur l'onglet Affichage.
Désélectionnez "Masquer les extensions des fichiers dont le type est connu".
Désélectionnez "Masquer les fichiers protégés du système d'exploitation" et sous le dossier "Fichiers et dossiers cachés" cliquez sur "Afficher les fichiers et dossiers cachés".
Cliquez sur Oui si une boîte de dialogue d'avertissement apparaît.
Cliquez sur Appliquer puis sur OK.
Cliquez sur le bouton Démarrer Rechercher.
Cliquez sur "Tous les fichiers et tous les dossiers".
Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez -ou copiez/collez- le texte suivant :

*SETTINGS.LIVEUPDATE
Assurez-vous que (C:) ou "Disques durs locaux" est bien sélectionné dans la boîte de dialogue "Rechercher dans".
Cliquez sur "Options avancées".
Sélectionnez "Rechercher dans les dossiers système".
Sélectionnez "Rechercher dans les sous-dossiers".
Sélectionnez "Rechercher dans les fichiers et les dossiers cachés".
Cliquez sur Rechercher.
Lorsque les résultats de la recherche sont affichés, cliquez sur le menu Edition Sélectionner tout.

Les fichiers trouvés et sélectionnés devraient être semblables à l'illustration suivante :
Appuyez sur la touche "Suppr" de votre clavier. Cliquez sur Oui si vous êtes invité à confirmer la suppression.

Etape 2 : Configurer LiveUpdate de sorte qu'il s'exécute en mode Interactif
Cette étape est facultative. LiveUpdate a deux modes de fonctionnement : Interactif et Express.

En mode Interactif, vous sélectionnez les mises à jour que vous souhaitez installer lorsque vous exécutez LiveUpdate.
En mode Express, LiveUpdate télécharge et installe automatiquement toutes les mises à jour disponibles pour les produits et composants Symantec.

La suppression des fichiers Settings.LiveUpdate rétablit LiveUpdate au mode Express, par conséquent si vous souhaitez utiliser le mode Interactif, vous devez apporter une légère modification aux paramètres.

Suivez les instructions indiquées pour votre version de Windows :

Sous Windows 98/Me/2000, cliquez sur le bouton Démarrer Paramètres Panneau de configuration.
Sous Windows XP, cliquez sur le bouton Démarrer Panneau de configuration.

Cliquez deux fois sur Symantec LiveUpdate.

Remarque : Si vous êtes sous Windows XP et vous ne trouvez pas l'icône Symantec LiveUpdate, cliquez sur "Basculer vers l'affichage classique".

Sur l'onglet Général, cliquez sur "Mode interactif".
Cliquez sur OK.

Après avoir suivi les instructions de ce document, exécutez LiveUpdate de nouveau. Si le message s'affiche toujours, cliquez sur le bouton Précédente de votre navigateur web pour revenir sur CE document et passer à la section suivante.

Supprimer des fichiers du dossier Downloads de LiveUpdate

Des fichiers corrompus se trouvant dans le dossier Downloads peuvent être à l'origine de cette erreur.

Après avoir configuré Windows pour afficher tous les fichiers, recherchez et supprimez le contenu du dossier Downloads.

Etape 1 : Configurer Windows pour afficher tous les fichiers

Effectuez l'une des opérations suivantes :

Sous Windows 98/2000/Me, cliquez deux fois sur l'icône Poste de travail sur le bureau Windows.
Sous Windows XP, cliquez sur le bouton Démarrer Poste de travail.

Effectuez l'une des opérations suivantes :

Sous Windows 98, cliquez sur Affichage Options.
Sous Windows Me/2000/XP, cliquez sur Outils Options des dossiers.

Cliquez sur l'onglet Affichage.
Désélectionnez Masquer les extensions des fichiers dont le type est connu.
Effectuez l'une des opérations suivantes :

Sous Windows 98, dans la boîte de dialogue des paramètres avancés, cliquez sur Afficher tous les fichiers dans le dossier "Fichiers cachés".
Sous Windows Me/2000/XP, dans le dossier "Fichiers et dossiers cachés", désélectionnez Masquer les fichiers protégés du système d'exploitation et cliquez sur Afficher les fichiers et dossiers cachés.

Cliquez sur Oui si une boîte de dialogue d'avertissement apparaît.
Cliquez sur Appliquer puis sur OK.
Fermez l'Explorateur Windows.

Etape 2 : Supprimer le contenu du dossier Downloads
Suivez les instructions pour votre système d'exploitation.

Windows 98/Me/2000

Sur le bureau Windows, cliquez sur le bouton Démarrer Trouver ou Rechercher Fichiers ou dossiers.
Dans la fenêtre des résultats de la recherche, sélectionnez (C:) dans "Rechercher dans" et activez l'option Inclure les sous-dossiers.
Dans l'un des champs de recherche des fichiers, tapez (ou copiez/collez) le texte suivant :

downloads
Cliquez sur Trouver maintenant ou Rechercher maintenant.
Il est probable que la recherche identifie plus d'un fichier ou dossier dont le nom contient le mot Downloads.

Le dossier que vous recherchez est celui dont le chemin d'accès finit par \LiveUpdate. En voici une illustration :
Cliquez deux fois sur ce dossier pour l'ouvrir.
Supprimez tous les fichiers ou dossiers contenus dans le dossier \LiveUpdate\Downloads. Dans la plupart des cas, il s'agira de Autoupdt.trg et Livetri.zip. Un ou plusieurs dossiers peuvent également s'y trouver. Supprimez-les tous.
Fermez toutes les fenêtres et exécutez LiveUpdate de nouveau.

Windows XP

Sur le bureau de Windows, cliquez sur le bouton Démarrer Rechercher.
Cliquez sur Tous les fichiers et tous les dossiers.
Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez :

downloads
Assurez-vous que (C:) ou Disques durs locaux est bien sélectionné dans la boîte de dialogue "Rechercher dans".
Cliquez sur Options avancées.
Sélectionnez Rechercher dans les dossiers système.
Sélectionnez Rechercher dans les sous-dossiers.
Sélectionnez Rechercher dans les fichiers et les dossiers cachés.
Cliquez sur Rechercher.
Il est probable que la recherche identifie plus d'un fichier ou dossier dont le nom contient le mot Downloads.

Le dossier que vous recherchez est celui dont le chemin d'accès finit par \LiveUpdate. En voici une illustration :
Cliquez deux fois sur ce dossier pour l'ouvrir.
Supprimez tous les fichiers ou dossiers contenus dans le dossier \LiveUpdate\Downloads. Dans la plupart des cas, il s'agira de Autoupdt.trg et Livetri.zip. Un ou plusieurs dossiers peuvent également s'y trouver. Supprimez-les tous.
Fermez toutes les fenêtres et exécutez LiveUpdate de nouveau.

Solution 3 : Désinstaller et réinstaller
Si les solutions précédentes ne vous ont pas permis de résoudre le problème, un ou plusieurs des programmes Symantec utilisant LiveUpdate sont endommagés. Pour résoudre ce problème, vous devez désinstaller tous les produits Symantec, rechercher et supprimer tout fichier ou dossier programme restant, puis réinstaller LiveUpdate et tous les programmes.

Avant de commencer : Pour réinstaller les programmes, vous aurez besoin des CD d'installation (ou des fichiers d'installation que vous avez téléchargés). Veuillez vous assurer que vous en disposez bien avant de désinstaller les programmes.

Désinstallation

Quittez tous les programmes.

Windows 98/2000 :
Windows Me :
Windows XP :

Remarque :

Redémarrez l’ordinateur.

Suppression des fichiers et dossiers restants

Windows 95/98/Me/NT/2000

liveupdate

Windows XP

liveupdate
Cliquez sur Options avancées.
Cliquez sur Rechercher.

Réinstallation

Exécutez LiveUpdate.

Votre problème persiste-t-il après avoir essayé ces solutions ?
Pour contourner le problème, vous pouvez télécharger directement les définitions de virus à partir du site web de Symantec Security Response. Ces définitions appelées Intelligent Updater sont identiques aux définitions de LiveUpdate, mais leur téléchargement est plus lourd.

Pour des instructions détaillées, consultez le document intitulé Comment mettre à jour les définitions de virus en utilisant Intelligent Updater.

Informations techniques
L'erreur LU1803 se produit lorsque LiveUpdate rencontre une erreur de programme interne lors d'une session LiveUpdate.

Références
Informations complémentaires
Comment obtenir la dernière version de Lrsetup.exe

Le centre de sécurité Windows ne reconnaît pas le statut de Norton 12/01/05

Ce n’est pas grave, un conflit aléatoire, une MAJ ultérieure le règlera. Il suffit dans les options du centre de séécurité de préciser que l’ongère soi-même l’anti-virus

Je n’arrive plus à réinstaller NORTON malgré le nettoyage de la base de registre de toutes les occurrences NORTON et SYMANTEC 12/01/05

En fait, j'avais un lecteur CD qui me foutait le binz. A noter dans ce cas, que j’ai cru longtemps que les pb venaient de l’install de Norton, alors que changer simplement le lecteur de CD a permis une install sans pb

Norton protect n’est plus actif 12/01/05

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe en ligne
de commande pour refaire démarrer correctement l'autoprotect de Norton

Fais un raccourci et mets le dans le groupe demarrage du menu programme
pour qu'il se charge en dernier.

Mets le CD Norton, désisntalle l'anti-virus reboote et réinstalle. C'est ce
que j'ai fait à chaque fois sans pb sauf hier parce que j'avais un lecteur
CD qui me foutait le binz. A noter dans ce cas, que j’ai cru longtemps que les pb venaient de l’install de Norton, alors que changer simplement le lecteur de CD a permis une install sans pb. Désinstalle NAV et réinstalle le; seulement la fonction AV de NSW, ne touche
pas au reste. Quand tu mets le CD NSW 2004, tu cliques sur MODIFIER

Ne désinstalle pas tout, seulement la fonction AV. Si ça ne marche pas, tu
vires tout, nettoies et réinstalles.
Nota: je ne mets jamais CLEANSWEEP et NORTON PASSWORD

Auto-Protect affiche "Désactivé" et Analyse des emails affiche "Erreur" dans l'écran Etat du système de Norton AntiVirus 2004

Situation:
L'icône Auto-Protect de Norton AntiVirus n'apparaît plus dans la barre d'état système ou est barrée d'une croix (x) rouge. Auto-Protect ne fonctionne pas et toute tentative d'activation de l'option échoue. Dans l'interface de Norton AntiVirus, l'écran Etat du système affiche le mot "Désactivé" en regard d'Auto-Protect et "Erreur" en face d'Analyse des emails.

Solution:
Ce problème peut survenir pour plusieurs raisons. Pour résoudre le problème, essayez les solutions proposées, dans l'ordre indiqué. Si la première solution ne résout pas le problème, passez à la solution suivante jusqu'à ce que le problème soit résolu.

Cliquez sur l'icône précédant une section afin de développer ( ) ou de réduire ( ) cette section. Si vous ne pouvez pas développer une section, il est possible que votre navigateur Internet ne permette pas l'exécution des scripts, ou le composant Script de Windows ne fonctionne pas correctement. Consultez le document intitulé Impossible de développer les sections dans un document de la base de données Symantec pour savoir comment résoudre ce problème. Revenez sur ce document lorsque vous avez fini.)

Vérification que l'ordinateur n'est pas infecté

Vérification du chargement des fichiers et services de Norton AntiVirus au démarrage

MSCONFIG

Symantec Event Manager
Symantec Password Validation
Symantec Settings Manager

Cliquez sur Appliquer.
Cliquez sur OK.
Redémarrez l’ordinateur.

Cliquez sur Appliquer OK.
Cliquez sur Appliquer OK.
Redémarrez l’ordinateur.

Cliquez sur Appliquer OK.
Cliquez sur Appliquer OK.

MSCONFIG

ccApp
ccEvtMgr
ccSetMgr

Cliquez sur Appliquer.
Cliquez sur OK.
Redémarrez l’ordinateur.

MSCONFIG puis cliquez sur OK.

ccApp
ccEvtMgr
ccSetMgr

SYMEVNT
SYMTDI
SAVRTPEL
SAVRT

Cliquez sur Appliquer.
Cliquez sur OK.
Redémarrez l’ordinateur.

Désactivation et réactivation d'Auto-Protect

Dans certains cas, ce problème a été résolu en désactivant l'option qui permet de démarrer Auto-Protect avec Windows, en redémarrant l'ordinateur, en activant de nouveau l'option de démarrage et en redémarrant l'ordinateur. Chacune de ces étapes est détaillée ci-dessous :

Pour désactiver l'option Auto-Protect

Cliquez sur OK.
Redémarrez l’ordinateur.

Pour réactiver l'option Auto-Protect

Cliquez sur OK.
Redémarrez l’ordinateur.

Vérification de votre pare-feu (si vous en avez installé un)

Suppression et réinstallation de Norton AntiVirus

Ou est stocké le N° de produit NORTON SYSTEM WORKS PREMIER 2005 16/10/04

Dans la base de registre HKLM / SOFTWARE / SYMANTEC / CCPD-LC / KSTROKE / 00000082/00000016/00000023/KEY

Testez votre antivirus 12/11/04

Vous avez installé un antivirus, commercial ou non, et vous souhaitez vérifier qu'il est bien configuré, qu'il est actif et que vous êtes bien protégé. Pas question cependant de jouer avec le feu et de chercher à récupérer un virus sur des sites douteux pour vérifier qu'il est bien détecté par votre antivirus. Vous risqueriez en effet d'exposer votre ordinateur à un risque très important pouvant aller jusqu'à la compromission de votre ordinateur et la perte de données.

Pour tester votre antivirus en toute sécurité, vous pouvez utiliser le fichier de test Eicar. Ce fichier est détecté comme un virus par les antivirus mais ce n'en est pas un, il ne contient aucun code viral. Si le faux virus est détecté, c'est que votre antivirus est actif et vous protège.

1. Pour créer ce faux virus, vous avez simplement besoin du bloc-notes de Windows. Cliquez sur le bouton Démarrer, sur Programmes, Accessoires puis sur Bloc-notes.

2. Recopiez alors la chaîne de caractères suivante dans le bloc-notes :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Enregistrez alors le fichier en cliquant sur le menu Fichier puis sur Enregistrer sous.

4. Déroulez la liste Type puis sélectionnez l'option Tous les fichiers.

5. Saisissez ensuite eicar.com dans la zone de texte Nom du fichier. Choisissez l'emplacement où enregistrer le fichier dans le cadre d'Explorateur puis cliquez sur le bouton Enregistrer.

6. Si votre antivirus est correctement activé, il doit alors instantanément vous alerter de la présence du virus Eicar.

7. Demandez alors à votre antivirus de supprimer le fichier.

Si votre antivirus ne voit rien, c'est qu'il y a un problème. Ou bien vous l'avez mal installé, ou bien la protection permanente est mal configurée. Consultez donc la documentation de votre logiciel pour corriger ce problème.
Si le faux virus n'est toujours pas détecté, vous devez alors songer sérieusement à changer de logiciel antivirus.

Efficacité de votre antivirus

En détectant le virus de test Eicar, votre antivirus vous a prouvé qu'il était actif. Cependant, pour être à l'abri des virus récents, les bases antivirales de votre antivirus doivent également être régulièrement (une fois par jour si possible) mises à jour. Cette étape est essentielle pour votre sécurité.

Vérifiez que tous les ports ne sont pas ouverts 13/12/04

Pour éviter de vous faire attaquer par des personnes mal intentionnées sur votre PC, et qu'ils s'introduisent sur votre PC pour y récupérer des données ou des fichiers, il est conseillé de vérifier que tous les ports ne sont pas ouverts.
En effet, un port ouvert est synonyme de faille de sécurité.

Pour vérifier que les ports ne sont pas ouverts, connectez-vous au site http://www.pcflank.com

Dans le menu Test Your System qui se trouve à gauche, cliquez sur Advanced Port Scanner.

Cliquez ensuite sur le bouton Start Test, puis sur Continue.

Cochez la case TCP connect scanning (standard) et cliquez sur le bouton Continue.

Cochez la case Scan typical vulnerable and Trojan ports et cliquez sur le bouton Continue.

L'analyse pour détecter des failles débute alors. Patientez quelques instants, puis le résultat s'affiche.

Si un port est ouvert et donc susceptible d'être une brèche pour les pirates, le statut Open en rouge apparaît alors.

Comment se débarasser de la barre d'outils mywebsearch 17/09/04

http://www.free-web-browsers.com/support/remove-mysearch.shtml

Utiliser le logiciel noadware

Uninstall notice for MyWebSearch Toolbar.b
Notice that removing MyWebSearch Toolbar.b may cause the program that bundled it to not function as intended.

Uninstall procedure
Uninstall MyWebSearch Toolbar.b from "Add/Remove Programs" in the Windows® Control Panel..

Manual removal
Please follow the instructions below if you would like to remove MyWebSearch Toolbar.b manually. Please notice that you must follow the instructions very carefully and delete everything that is mentioned. In most cases the removal will fail if one single item is not deleted. If MyWebSearch Toolbar.b remains on your system after stepping through the removal instructions, please double-check by stepping through them again.

1. Start the registry editor. This is done by clicking Start then Run. (The Run dialog will appear.) Type regedit and click OK. (The registry editor will open.)

2. Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {07B18EA9-A523-4961-B6BB-170DE4475CCA}', if it exists.

3. Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ {07B18EA9-A523-4961-B6BB-170DE4475CCA}', if it exists.

4. Delete 'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar \ WebBrowser \ {07B18EA9-A523-4961-B6BB-170DE4475CCA}', if it exists.

5. Exit the registry editor.

6. Restart your computer.

7. Start Microsoft Internet Explorer.

8. In Internet Explorer, click Tools - Internet Options.

9. Click the Programs tab - Reset Web Settings.

Comment se débarasser de la barre d'outils HOTBAR et autres 17/09/04

http://www.free-web-browsers.com/browser_extensions.shtml

Utiliser le logiciel noadware.exe

What is HotBar?

According to the HotBar website, Hotbar is an add-on that instantaneously converts your email and browser applications into powerfully personalized instruments of enhanced functionality and visual appeal. The Hotbar Browser Toolbar presents buttons on your Internet Explorer browser that change while you surf to relate to the website you visit. These buttons also provide you instant access to Search, Yellow Pages and more! The Browser toolbar also spices up your Internet Explorer with your chosen image (skin) picked from a huge variety of skins numbering into the thousands found in hundreds of galleries at www.hotbar.com.

The Hotbar Email Toolbar is added to your mail (Outlook , Outlook Express, Hotmail and Yahoo mail) . This bar offers a wide assortment of options for customizing the design of your emails with Backgrounds, eCards, Animation and even a Business Card of your own design.

However, HotBar does track web site visits and also has an autoupdate feature that updates automatically. So there are both privacy and security concerns with this add-on program.

For more information you can read the Hotbar Terms of Use.

How to I Remove HotBar?

You can remove HotBar through Add/Remove Programs in the Control Panel, however it leaves behind some tracks that will have to be removed manually. After removing the program through the Add/Remove section, you'll want to run Regedit and remove the following keys in the registry.

HKey_Current_User\Software\Hotbar
HKey_Local_Machine\Software\Hotbar
HKey_Local_Machine\Software\Microsoft\Internet Explorer\Toolbar\B195B3B3-8A05-11D3-97A4-0004ACA6948E
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\Hotbar 3.0

You can also delete the 'HotBar 3.0' string from

HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent

Automatic Removal

For Automatic Removal of Hotbar, Click on the following link to download and run the HotBar uninstaller program from their site.

Download Hotbar Uninstall Program

Removal Instructions:
In comparison to something like Claria this is a rather easy uninstall. There's a TON of registry keys that this program makes. You don't HAVE to remove them all. The autorun, processes and DLLs are the top priority. You'll want to take a look at a number of registry cleaning applications to help keep your registry cleaned out.

Destroy Autorun:
Delete this key and then reboot
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\hotbar and/or
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\weatherontray

Also make sure you click start -- Run and type in msconfig. Then select the startup tab. Any references to:
hbinst.exe
hotbar.exe
hbsrv.exe
weatherontray.exe

Désactiver le firewall de NIS 06/09/04

Si, c'est dans les options de démarrage de NIS. Onglet "Général'. Mettre en
"manuel"

Fichiers à risque ADAWARE après scan de NORTON ANTI VIRUS 25/07/04

Je viens de faire un coup de NAV et j'ai trois fichiers dits a risque que je n'arrive pas a supprimer

Quand tu vois ADAWARE c'est qu'il s'agit d'un SPYWARE. Donc ce n'est pas
grave mais il faut d'abord être sur qu'il n'y aura pas de conséquences si tu
le vires; pour GATOR on pourrait le virer sans pb, mais je préfère le
supprimer dans le panneau de config.

Contre les spyware utiliser

http://www.lavasoftusa.com/ (le plus simple et sans danger)
ou
http://www.spybot.info/fr/index.html (le plus complet mais plus complexe )

Attention de s'assurer au préalable de ce qu'on élimine car les programmes gratuits qui associent un spyware ou logiciel espion risquent de ne plus fonctionner

Virus-troyen TROJ-AGENT Z2 01/07/04
Malgré antivirus j'ai chopé
TROJ-AGENT Z2
Je n'arrive pas à m'en débarasser meme avec A2 start
Il m'enleve ma page d'accueil sur Wanadoo pour me mettre une page de recherche US

Regarde tout de même dans OUTILS / OPTION INTERNET / GENERAL
ce que dit la 1ére ligne et regarde si ce n'est pas l'adresse de cette page
US !
Si ça se trouve, c'est tout bêtement là qu'est le problème...
C'est une "classique" qui n'est pas vraiment virale.
Il suffit alors d'effacer cette 1ére ligne et de la remplacer par ton adresse préférée.
c'est effectivement le cas mais j'ai beau remettre l'adresse de Wanado
dans page de démarrage et page par défaut , à chaque ouverture la page
us a repris la place et mon antivirus me signale qu'un nouveau fichier
est in fecté et qu'il ne peut l'effacer et qu'il est mis en quarantaine ,
a ce rythme tout l'ordi est vérolé en 8 jours ...

Essaie avec Spybot:
http://telecharger.01net.com/Total.php?searchstring=spybo&system=windows&x=17&y=11
cela très bien marché pour moi

J'ai eu le meme probleme que toi : ces spyware , chevaux de Troie et autres
sont tres bien enlevés par Spybot
C'est gratos en plus ....

Sinon, installe ça : http://www.simplysup.com/tremover/download.html

Paramétrages de NORTON INTERNET SECURITY 09/05/04

Avec NIS 2004, il faut :

- supprimer l'analyse des messages sortants

- désactiver Norton Antispam

- configurer la protection de confidentialité au niveau bas

Avec 2003, il faut :

- supprimer l'analyse des messages sortants

- désactiver la protection de confidentialité

Nous déconseillons nfortement NIS souvent cause de problèmes et très difficile à désinstaller.

Wanadoo et firewall 07/05/04

Le pare-feu de ton routeur peut répondre à une requête ping (toc toc
toc, y a quelqu'un) ou non. Certains services comme wanadoo exigent une réponse pour fonctionner normalement.
Ton routeur te laisse le choix entre répondre oui il y a quelqu'un ou
de faire le mort...

Je pense que le pb Wanadoo est le blocage ICMP, il faudrait que le FW reponde au moins au ping. Il me semble que la detection des abonnés est validée par un ping.

mcast.net est un des générateurs de bruit de fond du réseau, qui
envoit des requêtes icmp en permanence, on le retrouve dans le log de
tous les FireWalls

Francisation et renseignements sur Kerio 07/05/04

salut tu trouveras un patch pour le mettre en fr sur www.toutfr.com
comme bon firewall tu as kerio version 2.1.5 gratuit.
il est en anglais est s'adresse aux utilisateurs ayant un minimum de
Vous avez une francisation de Kério pour les ceusses qui ne maîtrisent
pas l'anglais
Vous pouvez trouver toutes les infos; documentation, téléchargements
.... à partir de cette adresse http://bailly.chez.tiscali.fr/Essais.htm

Mailwasher pour filter les spams 07/05/04

je viens d'avoir cette alerte virale .washerpro est il vraiment sur ? il me semble malheureusement washerpro visualise (par defaut?) le contenu de tous les messages ? cela pose t-il un probleme ?

Désactives la sauvegarde des messages en allant dans tools / option /onglet summery et ils ne seront plus stockés.

http://www.firetrust.com/products/

Attention aux dangers des logiciels de Peer to peer comme Kazza, E-donkey, e-mule etc…07/05/04

Ces logiciels permettent de télécharger d'autres logiciels ou des morceaux de musique ou de films notamment de poste à poste. 20% des fichiers ainsi téléchargés sont porteur de virus ou de logiciels permettant la prise de contrôle à distance du micro.

Utiliser des logiciels comme Ad Aware et Spy Bot ou MBSA (http://www.pcastuces.com/logitheque/mbsa.htm) pour détecter et éliminer ces programmes appelés troyens ou trojans ou spywares pour ceux qui font qur communiquer des infos.

Attention que certains logiciels du monde gratuit notamment ne fonctionnent plus si on élimine leur spyware.

Contrôler dans Norton et éliminer les virus trouvés et mis en quartantaine 06/05/04

Pour t'en débarrasser :
va sur Norton Anti Virus
puis sur RAPPORTS
puis sur Elements en Quarantaine - - -- Afficher Rapport
tu sélectionnes les fichiers infestés et du cliques sur la croix ( X
supprimer) qui permet de les supprimer,
mais, il n'est pas indispensable de les supprimer, ils ne sont pas dangereux

Contrôle anti-virus http://www.secuser.com 06/05/04

je suis allée sur le site secuser ,puis sur outils gratuits puis sur antivirus gratuit,là l'ordi a téléchargé je crois (je me suis endormie!) et puis il m'a affiché "poste de travail et C: et D: et autre chose encore" et ça a coché V comme si c'était vérifié.Est-ce que cela suffit comme
démarche?

Tu dois cliquer sur AUTO CLEAN si mes souvenirs sont bons et SCAN pour
lancer le contrôle de ton disque; Ce qu'on vherche c'est que l'anti-virus
scanne ton disque puisque Norton est défaillant et nous donne un résultat
positif ou négatif. Après on avise !

Tester son firewall 06/05/04

Voici quelques adresses pour tester son pare-feux :
http://scan.sygate.com/quickscan.html très simple
http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym
https://grc.com/x/ne.dll?bh0bkyd2 par un passionné. Cliquer sur le bouton
Common ports

Kerio ne démarre pas automatiquement alors qu'il est correctement configuré 06/05/04

Mettre KERIO en manuel clic droit sur l'icône dans la barre des tâches /
ADMINISTRATION / MISCELLANEOUS / Start manually
Réinitialiser la machine
Mettre Kerio en automatique,
Réinitialiser la machine.
J'ai déjà eu ce problème et l'ai réglé ainsi.

Si le pb persiste, désinstaller Kerio et le reinstaller.

J'ai plein d'alertes Kerio 06/05/04

Si tu reprends les messages que j'ai passé ici concernant Kerio, tu vas voir
que j'ai signalé un problème qui survient lorsqu'un boot se passe mal et qui
fait que Kerio perd son fichier de configuration AXILOG.CONF et reprend son
fichier de base. Tu peux t'en rendre compte en faisant en bas dans le
SYSTRAY clic droit sur le bouclier KERIO / ADMINISTRATION / ADVANCED et la
1ère règle de Kerio en haut doit être "Loopback en 1". Si ce n'est pas le
cas, tu recharges le fichier AXILOG.CONF en faisant clic droit sur le
bouclier / ADMINISTRATION / Onglet miscellaneous / LOAD et le fichier doit
se trouver dans c:\program files\kerio\personnal firewall
Tu peux aussi télécharger sur le forum le dernier fichier de règles que j'ai
publié.

Mettre en place une règle "bloque tout" dans le firewall 06/05/04

A la fin de toutes mes règles dans KERIO PERSONNAL FIREWALL, je mets une
règle intitulée BLOQUE TOUT qui interdit toutes les communications dans tous
les protocoles et pour toutes les applications, afin d'interdire toute
communication que je n'aurais pas expressément autorisé dans les règles
précédentes.
Donc quand je fais une MAJ ou l'installation d'un nouveau soft, je désactive
cette règle pour permettre à Kerio de me demander une autorisation quand une
appli que j'installe veut communiquer. Ca me permet ainsi de juger de
l'opportunité de l'autoriser ou refuser et ainsi de mettre en place une
règle spécifique.
C'est ainsi que j'ai été à plusieurs reprises sollicité sur des alertes
INCOMING , c'est à dire des tentatives d'intrusion après avoir désactivé
cette règle. Donc je suggère à tous ceux qui utilisent Kerio de vérifier
qu'ils utilisent bien un telle règle, ce qui évitera de donner par erreur
une autorisation à une demande entrante.

Décocher la restauration automatique lors du nettoyage d'un virus 06/05/04

Cette fonction possédant la propriété de réintroduire des fichiers infestés
même après les avoir éliminés du disque, il est préférable de la décocher
avant de procéder à la désinfection.
Clic droit sur l'icone POSTE DE TRAVAIL / PROPRIETES / onglet RESTAURATION
DU SYSTEME / cocher la case DESACTIVIER LA RESTAURATION DU SYSTEME SUR TOUS
LES LECTEURS

A quoi servent exactement le firewall et l'anti-virus 06/05/04

Le firewall permet de gérer les intrusions pendant que tu es en connexion et
donc d'éviter les nouveaux virus comme OPASERV, BUGBEAR, BLASTER qui
t'infestent par un port de ta machine (elle en contient près de 66000
ports). La difficulté est donc dans la conception du fichier de règles qui
délivre les autorisations et les interdictions.Personnellement j'ai choisi
KERIO parce qu'au moment de mes tests c'était le seul qui me permettait de
gérer mon réseau tout en laissant les outils de Messenger passer sur chaque
poste.

L'anti-virus, type Norton, te servira notamment à protéger ta messagerie
(quoique imparfaitement) en éliminant ou signalant les PJ infestées et à
éradiquer les virus qui auraient réussi à percer ton firewall. C'est en cela
qu'un firewall matériel comme le NETGEAR DG814 qui fait en outre office de
modem ADSL et routeur 4 ports ETHERNET pour un réseau est bien plus pratique
car il est plus difficilement attaquable et cache derrière lui les micros du
réseau (coût 150 € en métropole)

Et puis surtout, il faut s'abonner à la lettre de diffusion d'un site comme
SYMANTEC, MCAFEE, ou SECUSER.COM parce que les virus évoluant régulièrement,
il est indispensable de se tenir informé.

Appel automatique non sollicité de la connexion Internet 06/05/04

Essayes SpyBot ou Ad-aware pour savoir ce qui se passe et regarder les
derniers logiciels que tu as installé qui peuvent vouloir se mettre à
jour tout seul.
Kerio permettrait de savoir qui lance la connection
Attention que certains logiciels ne fonctionnent plus si on élimine le module de communication

Microsoft et Wanadoo n'envoient jamais de correctifs en PJ par mail 05/05/04

Ni Symantec, ni les institutionnels de la protection…ce sont donc des virus

Les Correctifs ne se téléchargent que sur le sites

Quelles sont les procédures de sécurité à suivre en matière de virus 05/05/04

Mettre à jour le fichier de règles Kerio à chaque fois que je le publie
Mettre à jour NORTON par LIVE UPDATE
Mettre à jour Windows par DEMARRER / WINDOWS UPDATE

Filtrer les messages non désirés (spams) 05/05/04

Ne reculant devant aucun sacrifice, en plus de Maiwasher, je te conseille la lecture et l'application de ceci : http://www.faqoe.com/ , antispamming.

A propos de Mailwasher, une précision puisque tu n'as pas encore testé. MW est très efficace et efface vraiment les messages avant leur arrivée sur ton PC mais les efface aussi du serveur. Donc si tu as plusieurs machines, tu ne pourras pas les recharger si l'effacement s'est produit.

De l'importance du firewall 05/05/04

Une enquête vient d'établir qu'en fait la plupart des virus actuels sortent
quand Microsoft publie une MAJ d'une faille de sécurité. En effet les
véroleurs savant bien que les Windows update ne sont pas systématiquement
chargés, dès la parution d'un patch, travaillent à découvrir quel était le
moyen d'utiliser la faille et conçoivent le virus. La diffusion est ensuite
un
jeu d'enfant.
Moralité, c'est dès que le patch Microsoft est sorti que le danger existe,
et il est indispensable de le télécharger au plus vite. Il faut ont
maintenant se donner comme impératif de faire un Windows Update toutes les
semaines ou pour ceux qui sont en ADSL programmer l'installation automatique
tous les jours ou toutes les semaines. Grâce à l'ADSL l'opération est
absolument transparente.

Firewall et anti-virus: dIfférents et complémentaires 05/05/04

Il apparaît dans les messages une certaine confusion entre le firewall comme
Kerio et l'anti-virus comme NORTON.
L'anti-virus est chargé d la détection et la suppression des virus à partir
d'une liste de définition de virus qu'il importe de mettre à jour. Donc, un
anti-virus ne détectera pas un virus nouveau si il n'est pas déja repéré et
identifié et en dehors des virus de messagerie, il détectera souvent les
virus une fois ceux-ci installés.
Le rôle essentiel en prévention de l'anti-virus est donc la messagerie où
il détecte et essaie de supprimer les virus contenus dans les pièces jointes
des messages.
Le firewall lui, gère les entrées et sorties des applications dans le micro.
On lui constitue donc un fichier de règles pour lui indiquer quelle
application a le droit ou non de communiquer, dans quel sens, avec quel
protocole de communication, sur quel port, quelle adresse etc... Le but du
firewall est d'empêcher les intrusions de personnes et/ou de programmes dans
la machine. Il permet notamment d'interdire l'utilisation des failles de
sécurité Windows par les nouveaux virus.
Pour donner un exemple, quand Microsoft détecte une faille de sécurité de
Windows, elle réalise un patch de sécurité, qu'on applique à partir du
DEMARRER / WINDOWS UPDATE et le commente. Dès la parution de ce patch, un
certain nombre de malveillants bossent le sujet et créent un virus qui va
attaquer les machines qui ne sont pas patchées. Bien évidemment,
l'anti-virus des premières machines infestées ne pourra pas donner l'alerte
puisque sa définition de virus ne contrôle pas ce virus encore inconnu. Il
faut donc un firewall efficace qui couvre les presque 66000 ports de
communication ouverts nativement que comporte un PC.

Voila pourquoi il faut donc mettre un anti-virus à jour et un firewall qu'il
faudra aussi mettre à jour. Voila aussi pourquoi il n'y a aucune interaction
entre les virus détectés dans les massages par l'anti-virus et le firewall.

Comment suspecter la présence d'un virus 05/05/04

- l'anti-virus qui ne fonctionne pas normalement ou disparaît
- le firewall qui ne s'installe pas ou disparaît
- le Windows Update impossible
- des arrêts intempestifs

Quand il ya suspicion de virus; le mieux est d'utiliser INTERNET EXPLORER si
il fonctionne pour aller sur le site http://www.secuser.com faire OUTILS
GRATUITS / ANTI VIRUS EN LIGNE pour lancer l'analyse du micro par un
programme anti-virus externe. Si le secuser ne peut pas non plus aller à son
terme, c'est une autre suspicion de la présence d'un virus et dans ce cas la
il faut monter le disque vérolé en esclave sur une autre machine pour tenter
une détection et une réparation à partir du disque de travail de la machine.

Installer NORTON SYSTEM WORKS sur chaque profil 05/05/04

A partir du CD 2004, il faut l'installer sur chaque profil, sinon il ne fonctionnera par défaut que dans le profil initial d'installation

Le lancement de Norton ne fonctionne que sur la session dans
laquelle il a été installé. Pour l'associé, si il double clique sur l'icône
Norton, c'est l'installation de Norton qui se lance et bloque faute de CD.
Clic droit sur la barre des tâches / GESTIONNAIRE DES TACHES /sélectionner
NORTON SYSTEM WORKS PROFESSIONNAL et cliquer sur le bouton FIN DE TACHE.
Ensuite faire un clic droit sur l'icône NORTON dans le bureau Windows
/ Exécuter en tant que / Cocher le bouton radio L UTILISATEUR SUIVANT et sélectionner la session correspondant à celle de l'utilisateur principal et son mot de passe,

Paramétrer l'installation de NORTON SYSTEM WORKS PROFESSIONNAL 05/05/04

Pour Installer, il suffit de suivre la procédure et de prévoir 1/2 heure.
Laisser faire l'anti-virus
Cliquer sur INSTALLER MAINTENANT /SUIVANT
Au reboot, Norton vous demandera une identification, elle est facultative.
Il vous demandera ensuite si vous voulez faire le LIVE UPDATE, c'est à dire
la mise à jour des fichiers, il faudra répondre oui et suivre par défaut les
choix proposés. Cette procédure nécessitera un appel à Internet et Kerio
présentera une OUTGOING CONNECTION ALERT à laquelle vous répondrez en
cliquant sur le bouton PERMIT après avoir coché la case "CREATE AN
APPROPRIATE RULE OR FILTER"
Il reste à paramétrer les options en double cliquant sur l'icône NORTON
SYSTEM WORKS sur le bureau Windows puis en cliquant sur OPTION dans la ligne
de menu du haut / NORTON GHOST / AFFICHAGE/ décocher la case AFFICHER
l'ICONE puis cliquer à gauche sur COMPRESSION et cocher la case HAUTE à
droite.
Re-cliquer sur OPTIONS/ NORTON CLEANSWEEP et cocher les deux cases
DESACTIVER

Dans les fonctions annexes intéressantes de Norton vous avez OUTILS WEB /
CONNECTION KEEP ALIVE qui permet à ceux qui subissent une déconnexion de
Wanadoo quand ils font leur WINDOWS UPDATE à des heures de pointe (par ex)
de simuler une activité sur Internet pour éviter cette déconnexion. Je
rappelle qu'en effet de manière toute à fait illégale, Wanadoo économise sa
bande passante en déconnectant les usagers dont l'activité semble être du
simple téléchargement au bout d'un certain temps variable selon l'occupation
du réseau.
Vous avez aussi dan AUTRES FONCTIONS le test de sécurité SYMANTEC pour vous
assurer que votre machine est bien protégée par son firewall et que les
virus type BLASTER ou OPASERV ne pourront s'introduire pendant que vous êtes
en connexion.

DRIVER KDSE.DLL exception occured.Firewall Driver interface will be closed" 05/05/04

J'ai cliqué sur OK et mon icone KERIO en bas a disparu.

C'est un conflit avec Kerio que je n'ai pas encore compris, j'attendais de la voir de visu pour la capturer avec un hypersnap et l'envoyer à Kerio pour plus d'info.
A priori, ce n'est pas très grave et il faut juste relancer Kerio.

Désactiver la restauration du système 05/05/04

pour nettoyer un virus type blaster et ne pas oublier de la remettre.
Clic droit sur poste DE TRAVAIL / PROPRIETES / ONGLET RESTAURATION DU
SYSTEME / décocher la case DESACTIVER LA RESTAURATION

Problème d'alertes répétitives de Kerio 01/05/04

Il existe un problème et une manip que tout le monde doit savoir faire pour
s'assurer que Kerio fonctionne correctement.
Il arrive lors d'un problème pendant le démarrage que Kerio ne puisse
charger le fichier qu'il avait en mémoire. Il revient donc au fichier
initial et à ce moment là c'est le binz parce que toutes les applications
demandent des autorisations et vous voyez fleurir des OUTGOING CONNEXION
ALERT en veux-tu en voilà.
Pour le vérifier, clic droit sir l'icône Kerio dans la barre des tâches/
ADMINSITRATION / ADVANCED et la vous arrivez sur les règles que j'ai
établies. La 1ere règle doit s'intituler LOOPBACK AXI + la date du fichier,
donc actuellement LOOPBACK AXI 30/11/03 (voir la PJ). Si la 1ere règle est
une règle intitulée DNS, c'est que Kerio est revenu à son fichier initial et
qu'il faut lui réindiquer le fichier de règles à utiliser. Pour cela, clic
droit sur l'icône KERIO /ADMINISTRATION / onglet MISCELLANEOUS / LOAD et
double clic sur AXILOG.CONF.
Pour vérifier, cliquer sur l'onglet FIREWALL/ADVANCED et vous retrouvez la
règle LOOPBACK en premier.

D'autre part, il est également possible que le fichier de règles soit cassé et que même si on voit la 1ere règle correcte, il faut refaire cette manip.

Installer NORTON SYSTEM WORKS 2004 01/05/05

Choisir une installation personnalisée et décocher CLEANSWEEP et PASSWORD
MANAGER qui ne nous servent pas.
Après l'installation, cliquez sur OPTIONS dans le menu et assurez-vous que
ANTI VIRUS / MESSAGERIE / analyser les emails sortants soit décoché pour ne
pas risquer de bloquer les FSE
Ensuite dans les options de GHOST / AFFICHAGE décocher l'affichage de
l'icone dans la barre d'état et dans COMPRESSION, sélectionnez HAUTE

Un firewall n'est efficace que couplé à un anti-virus 01/05/04

      "Un firewall n'est vraiment efficace que s'il est couplé à un
antivirus"
      Les firewall envahissent les PC grand public, pour le meilleur et
parfois pour le pire. Conseils d'expert pour bien choisir et mieux
comprendre. (Mars 2004)

      Pouvez-vous nous résumer brièvement le fonctionnement et l'utilité
d'un Firewall ?
      Le principe de base d'un firewall (ou pare-feu) est de bloquer ou
d'autoriser la communication sur certains ports réseau.

      Quand un ordinateur communique avec l'extérieur via un réseau, il
utilise différents canaux de communication appelés "ports", numérotés, ayant
chacun une fonction particulière. Chaque programme installé qui utilise le
réseau se verra attribuer un numéro de port particulier. Lorsqu'un programme
permet d'envoyer, à la demande, des données à un ordinateur distant, on
parle de service.

      Un serveur web, par exemple, fournit un service : il "sert" des pages
à un ordinateur client. Pour cela, il communique avec le client par son port
80 (port par lequel transitent les requêtes http).

      Il reste donc en permanence en attente de demandes en provenance de
l'extérieur. On dit alors qu'il "écoute". Son port 80 est donc "ouvert" en
permanence, pour permettre aux données de circuler librement.

      Si j'interdis à ma machine de se connecter à une autre machine via son
port 80, je ne peux plus naviguer sur le web.

      En quoi les utilisateurs grand public sont-ils concernés ?
      Lorsque Windows démarre, de nombreux services "écoutent", en attente
d'une requête, sur de nombreux ports (partage de fichiers Windows, partage
de fichiers peer-to-peer, etc.).

      Si l'ordinateur est connecté directement à l'ADSL, tous ces ports
"ouverts" sont accessibles de l'extérieur, et peuvent donc constituer une
cible pour des pirates éventuels.

      Il suffit qu'un des services écoutant sur un des ports réseau de votre
machine présente une faille de sécurité, et n'importe quel apprenti-pirate
peut l'exploiter pour prendre à distance le contrôle de votre ordinateur.

      Est-il facile d'installer un firewall sur son ordinateur ?
      Oui. Prenons l'exemple de PC-Cillin, notre antivirus. Dans ses
dernières versions, il dispose d'un pare-feu intégré, ce qui signifie que le
firewall est installé en même temps que l'antivirus.

      Y'a-t-il des astuces à connaître absolument pour bien le paramétrer ?
      La plupart du temps, les firewall personnels sont correctement
paramétrés dès l'installation. Une démarche correcte consiste à bloquer un
maximum de ports, puis à ré-ouvrir les ports nécessaires lorsque le besoin
s'en fait sentir.

      Dans 99% des cas, les utilisateurs n'ont pas besoin que l'on puisse
accéder aux ports réseau de leurs machines de l'extérieur, car ceux-ci ne
sont utilisés qu'en local (partage de fichiers, etc.).

      Comment distinguer les véritables alertes de celles liées à l'activité
"normale" du réseau ?
      Au cas par cas. L'activité "normale" du réseau varie d'un utilisateur
à l'autre et dépend des logiciels installés. La plupart des firewall
intègrent des signatures d'attaques connues. Couplé à un antivirus, le
firewall donne rarement de fausses alertes.

      Que faire en cas d'alerte ?
      Le plus simple est de stopper immédiatement tout trafic, excepté la
mise à jour de l'antivirus et du firewall. Ensuite, rétablir le trafic après
avoir vérifié que les nouveaux fichiers de signatures reconnaissent et
bloquent cette attaque.

      Les utilisateurs se sentent de plus en plus menacés et cèdent à la
paranoïa... Le grand public peut-il constituer une cible pour les pirates ?
Si oui, pourquoi ?
      Bien sûr, il y a les apprentis-pirates qui ne souhaitent que détruire
les données présentes sur la machine de l'utilisateur. Mais il y a plus
grave, ce sont les attaques DDOS (dénis de service distribués).
      Dans ce cas, le pirate utilise plusieurs machines qu'il a piratées
pour envoyer ses attaques et se dissimuler. Ainsi l'attaque semble provenir
de l'utilisateur "corrompu" et non du pirate. Puissant et dangereux.

      Comment s'assurer de l'imperméabilité d'un firewall ?
      Est-ce vraiment une mesure de sécurité efficace entre les mains de non
professionnels ?
      Pour les besoin courants, oui, mais le firewall personnel ne donne
      toute sa mesure que couplé à un antivirus. De nombreuses attaques
proviennent de virus (blaster, nimda, etc.) et non de hackers.

      Enfin, à quoi reconnaît-on un "bon" firewall ? Quelles fonctionnalités
et caractéristiques doit-on repérer avant
      l'achat ?
      Avant tout la simplicité d'emploi. Un firewall efficace mais complexe
à utiliser se voit rapidement désactivé et ne sert dans ce cas plus à rien.

      Ensuite, l'utilisation faite par le firewall des ressources de la
machine. Car à force de surcharger la machine avec des logiciels de sécurité
annexes, celle-ci finit par ne plus être disponible pour l'utilisation de
tous les jours. C'est dans ce cadre qu'il est particulièrement intéressant
de recourir aux offres intégrées antivirus + firewall.
      [Propos recueillis par M.T, L'Internaute]

Vu la vitesse de production des Virus actuellement (il y a un concours
entre les concepteurs de Netsky et Bagle, les dernières versions de
netsky détruisent bagle....) et leur facheuse habitude de laisser des
ports ouverts, cette attitude se conçoit.

Un firewall logiciel n'est pas parfait : ZoneAlarm s'est trouvé avec
une enorme faille de sécurité permettant de faire executer un code à
distance (RPC). Les virus actuels peuvent tuer la plupart des
firewalls soft.

La solution du routeur est la plus aboutie actuellement, le noyau du
routeur tourne 24/24 independament des machines connectés, celle-ci
peuvent travailler en réseau local sans poser un casse-tête de
configuration. On trouve des routeurs à partir de 80 euros d'où le
deuxième conseil pour l'adsl : modem ethernet.

Pour l'antivirus pas de soucis, mise à part pour les médecins qui font
de la TLT où on est obligé de baisser les défenses pour ne pas altérer
les fichiers.

Dr Eric Guetrelle

Paramétrer NORTON SYSTEM WORKS 01/05/04

Mettre le CD NSW tu cliques sur MODIFIER et tu décoches
les applis dont tu ne veux pas, soit tu vas dans le panneau de configuration
/ ajouter supprimer un progremme, tu sélectionnes NORTON SYSTEM WORKS et tu
cliques sur SUPPRIMER. il va te proposer le choix entre modifier ou
supprimer, tu cliques MODIFIER et désélectionne les applis en cause.

Franciser KERIO 01/05/04

une superbe page à propos de Kerio,
http://the.dark.sniper.free.fr/Progs/Kerio/index.html
un fichier d'aide que je vais mettre sur mes configs et surtout une
francisation du logiciel...

3 choses à savoir du fonctionnement de Kerio 01/05/04

Valider un OUTGOING (autoriser) ou INCOMING (interdire) alert, comme dans les autres firewall parce qu'un logiciel ne peut savoir par défaut si il donne ou non une permission de
connexion, télécharger le fichier de règles quand il y a une MAJ (la
dernière impérative est au 30/11!!!) et ils ont à leur dispo une explication
et un film, et savoir contrôler que Kerio n'a pas perdu son fichier de
règles, ce qui reste le seul défaut que je fais à Kerio.

Je reçois plein de messages d'alerte de Kerio 01/05/04

son seul défaut est le risque de perdre son fichier de règles si il y a un
pb lors du boot. Dans ce cas tu reçois une volée d'alertes et il te suffit
de faire clic droit/administration:onglet miscellaneous/ load et double clic
sur le fichier axilog.conf.

J'ai déja
expliqué qu'il arrivait, notamment lors d'un problème à l'initialisation que
Kerio perde son fichier et revienne au fichier initial. Dans ce cas, on voit
des salves d'alarme.
Donc on coche à chaque fois la petite case "create an appropriate rule" on
met DENY pour les INCOMING ALERT ET PERMIT pour les OUTGOING ALERT. Ensuite
on clique droit sur l'icône Kerio en bas à droite dans la barre des tâches /
ADMINISTRATION / ADVANCED et on vérifie si la 1ere règle est bien la règle
LOOPBACK AXI + date du fichier.
Si ce n'est pas le cas, on clique sur OK / onglet MISCELLANEOUS / LOAD /
double clic sur AXILOG.CONF
OK/OK et c'est tout neuf.
Il est possible d'avoir encore ensuite quelques alertes complémentaires
qu'il suffit de paramétrer comme expliqué au début.

Utilitaire MICROSOFT de test de sécurité 01/05/04

http://www.pcastuces.com/logitheque/mbsa.htm

Attention à KAZAA / IMESH et autres logiciels de peer to peer 01/05/04

Attention cette interdiction s'adresse aux Antillais que j'ai en charge, les
autres étant libres de faire ce qu'ils veulent, comme de bien entendu.
J'interdis qu'on me mette sur les machines que j'assure des logiciel peer to
peer comme Kazaa, Emule, Edonkey ou d'autres. Ces logiciels sont destinés à
permettre de copier des fichiers (films ou audios) à partir d'autres micros
comme le votre. Le blème c'est qu'actuellement entre 20 et 40% des fichiers
Peer to Peer sont vérolés, que les films ne sont pas toujours de bonne
qualité et que les autorités en Europe ont commencé à donner la chasse aux
pirates parce que c'est un délit de violation des droits d'auteur.
Donc ceux qui veulent faire ça à la maison le font, mais sur une machine
professionnelle c'est suicidaire ...surtout au prix ou je vous facture une
réinstallation en urgence.
Pour mettre un tel message, c'est que j'en ai évidemment un qui a joué à ça,
donc maintenant, il faut que j'aille me renseigner savoir comment je
contrôle qu'une machine n'est pas infestée par des programmes résidents
programmés à pirater le micro, les mots de passe, les coordonnées bancaires,
ou pour attaquer des serveurs.

Mode de diffusion d'un virus 01/05/04

Plus simplement les virus scannent tous les fichiers contenant les adresses emails valides pour pouvoir alimenter leur diffusion, la plupart ayant un serveur de courrier permettant de diffuser le venin à toutes les adresses trouvées sur le poste de travail.

En résumé rappelons qu'un virus peut piquer un message dans une messagerie
pour plus de véracité, garder l'expéditeur ou lui mettre un expéditeur tiré
du carnet d'adresses, voire même fabriquer un faux expéditeur et l'envoyer
aux adresses contenues dans le carnet d'adresses.

Il y a deux grands types de virus,

- les virus de messagerie transmis en PJ dans un mail; il faut exécuter la PJ pour que le virus s'active.

- Les virus de connexion qui s'infiltrent pendant la connexion sur le net en utilisant des failles de sécurité de Windows. Il est indispensable de faire les MAJ de Windows par la fonction Windows Update, car dès qu'un correctif d'une faille est publié par Microsoft, en moins d'un moins des virus utilisant cette faille sont lancés.

Doubles extensions, macros, bases de registres, moteurs SMTP et portes
dérobées : cinq mécanismes de contamination et de diffusion propres aux
virus informatiques.   (06/04/2004)

      Les virus utilisent des techniques variées pour se diffuser ou pour
percer les défenses d'un ordinateur. Voici cinq de ces mécanismes passés à
la loupe pour mieux les comprendre.

       La double extension d'une pièce jointe
      Un des ruses les plus couramment utilisées par les concepteurs de
virus est de camoufler leur code malveillant derrière un fichier de type
Word (.doc), Excel (.xls), texte (.txt), photo (.jpg notamment), page HTML,
document PDF, etc. Comment le dissimuler ? En profitant d'une
caractéristique de Windows et d'Outlook qui, par défaut, n'affichent pas les
extensions de ces fichiers. L'utilisateur est alors trompé parce qu'il ne
voit pas la double extension en .exe (fichier exécutable), .vbs (script),
.scr (Windows Screen Saver), .pif (Windows Program Information File), etc.
qui permettra au virus de s'exécuter avant le programme qui, normalement,
permet de lire la pièce jointe.

       Les virus de macro
      Ces virus ciblent principalement les documents Word, Excel, PowerPoint
et Access en utilisant le langage VBA (Visual Basic for Application) ou
WordBasic. Ces logiciels permettent de créer des commandes macros,
c'est-à-dire une succession automatisée de tâches. Mais ces logiciels
utilisent également des macros pour fonctionner eux-mêmes (macros pour
fermer, ouvrir ou imprimer un document par exemple). Les virus de macro
s'infiltrent au sein de ces mécanismes en infectant le fichier d'amorçage
puis en modifiant certains sous-menus (comme "Enregistrer Sous") ce qui leur
permet ensuite de se répliquer lors de la création de tout nouveau document.

       La corruption de la base de registres
      Dans Windows, la base de registres fait office en quelque sorte d'une
base de données destinée à sauvegarder des informations auxquelles le
système d'exploitation fait constamment appel pour fonctionner. Les virus
modifient certaines entrées de la base (par exemple c:\autoexec.bat pour
s'exécuter automatiquement à chaque démarrage du poste infecté) et/ou en
créent de nouvelles pour rendre plus difficile leur éradication, pour
faciliter toute autre action leur profitant (téléchargement d'un cheval de
Troie...) ou, plus récemment, pour annihiler l'action de virus
concurrents...

       Les moteurs SMTP embarqués
      La combinaison de plus en plus fréquente "virus + spam" permet aux
virus de se diffuser à grande échelle par l'envoi massif de courriels à tous
les destinataires trouvés sur un poste infecté. Pour cela, les codes
malveillants intègrent en leur sein leur propre moteur SMTP (Simple Mail
Transfer Protocol) capable de faire partir ces courriers électroniques à
l'insu du logiciel de messagerie installé sur le poste en question. Ils
utilisent pour cela des commandes sur le port 25 et le protocole TCP.

       La porte dérobée
      En anglais "backdoor", il s'agit d'une entrée cachée permettant de
prendre la main ou d'accéder à un système donné de manière partielle ou
totale. Véhiculées par les virus, les backdoors sont aussi parfois créées
par la suite, une fois que le virus s'est implanté sur le poste. Les
techniques sont multiples ensuite : altération du logiciel pare-feu pour
qu'une ou plusieurs adresses IP soient acceptées sans restriction,
utilisation d'un FTP (File transfer Protocol) ou d'une connexion Telnet,
ouverture de certains ports, etc.

             Fabrice DEBLOCK, JDN Solutions

Décocher la fonction de surveillance des mails sortants dans les options de NORTON ANTI VIRUS 01/05/04

Cette fonction bloque l'envoi des FSE en cas de connexion automatique par AXIAM. AXIAM déconnectera alors que NORTON est toujours en train de scanner le flux sortant.

Sasn retour d'ARL AXIAM réemet les FSE, mais si tu n'as toujours pas enlevé la
surveillance des mails sortants dans le paramétrage et que tu es toujours en
transmission automatique, il me semble que le résultat va être identique.
Même motif, même punition !

Désinstaller NORTON 25/02/06

Si tu veux désinstaller les produits Symantec proprement je te conseille d'utiliser leur outil spécialisé Norton Removal Tool que tu trouveras ici avec la procédure à suivre :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument

Comment utiliser l’outil de désinstallation Norton

Situation:
L’outil de désinstallation Norton désinstalle TOUS les produits Norton 2004/2005/2006 de l’ordinateur. Il désinstalle également Norton Ghost 10.0/9.0/2003.

Solution:
Pour utiliser l’outil de désinstallation Norton, téléchargez et exécutez trois fichiers puis réinstallez vos produits Norton.

Pour vous faciliter la tâche, imprimez ce document avant de commencer.

Etape 1 : Télécharger trois fichiers

Pour télécharger le premier fichier, cliquez sur SYMMSICLEANUP.reg.
Enregistrez le fichier sur votre bureau Windows.
Pour télécharger le second fichier, cliquez sur MSIFIX.bat.
Enregistrez le fichier sur votre bureau Windows.
Pour télécharger le troisième fichier, cliquez sur SymNRT.exe.
Enregistrez le fichier sur votre bureau Windows.

Etape 2 : Exécuter trois fichiers

Sur le bureau Windows, cliquez deux fois sur l'icône MSIFIX. L’icône se présente comme suit :
Sur le bureau Windows, cliquez deux fois sur l'icône SYMMSICLEANUP. L’icône se présente comme suit :
Cliquez sur Oui.
Cliquez sur OK.
Sur le bureau Windows, cliquez deux fois sur l'icône SymNRT. L’icône se présente comme suit :
Cliquez sur Suivant.
Cliquez sur I accept the License Agreement puis cliquez sur Suivant.
Saisissez les lettres et les chiffres qui s'affichent dans la zone blanche et cliquez sur Suivant.
Cliquez sur Oui ou OK à chaque invite.

Vous devrez peut-être cliquer plusieurs fois, et l'ordinateur pourra être redémarré plusieurs fois.
Vous devrez peut-être répéter les étapes 10 et 11 après le redémarrage de l’ordinateur.

Etape 3 : Réinstallez les produits Norton

Réinstallez tous vos produits Norton à partir des CD d'installation ou des fichiers d'installation que vous avez téléchargés, si vous le souhaitez.

La messagerie sécurisée 01/05/04

Va donc voir à
http://www.amula.asso.fr/site/rubrique.php?id_rubrique=48

Le Kermit est un protocole de transfert de fichier par modem, développé initialement par la Columbia University de New York City, en 1981, pour le transfert de fichiers texte et binaire entre différents types d'ordinateur. Le nom "kermit" vient de "Kermit the Frog", star de la série de télévision The Muppet Show (Henson Associates, Inc.)

Le Hprim est dérivé du standard américain ASTM E12-38 (version 4.2 du 2 août 1991) développé par les biologistes et utilisé pour la télétransmission, contenant des résultats d'analyse sous format texte qui est compacté et encrypté. La version V1 comprenait uniquement du texte, la V2 et V3 gère des données plus ou moins structurées permettant leur intégration dans les dossiers des patients sous la forme numérique.
http://www.medito.com/article175.html

L'Association HPRIM, celle qui a inventé la norme kermitt qui reste encore
aujourd'hui et de loin le moyen le plus utilisé et le plus fiable d'adresser
des bilans biologiques aux médecins, a opté il y a 2-3 ans pour l'HPrim Net.
L'HPrim Net c'est une enveloppe S-Mime sur des bilans biologiques. Cela
tombe bien puisque c'est aussi le protocole des nouveaux outils de
messageries médicales (avec une évolution plus sécurisée vers la signature
électronique sur la carte à puce).

Apicrypt 1 n'est pas compatible avec l'Hprim Net ou le S-MIME. La nouvelle
version en test actuellement sera S-MIME/CPS. Cette convergence avec les
autres outils de messagerie est très positive.

Développer une solution non compatible PGP-MIME avec son propre annuaire, ne
me semble pas dans ce contexte d'unification, une idée pertinente.
Les moyens techniques et économiques des laboratoires de biologie ne sont
pas illimités.
Il y a un moment où il faut choisir une voie et s'y tenir.

C'est un peu le principe d'apycript qui est une association.
Il semble que par contre la solution qu'ils ont choisie n'est pas des plus
rationnelle ( cf intervention JJf sur l'ancien site AMULA )
Par contre reprendre le même principe avec PGP ou dérivé pourrait être
interressant.

pour vous donner une idée du chemin qui reste à parcourir pour garantir un
minimun de confidentialité et de respect de la vie privée dans les echanges
via internet en général, et pour les médecins en particulier :
http://www.vie-privee.org/
ou encore ( plus techique, mais pas toujours "up to date")
http://www.chez.com/winterminator/#prive

Message d'erreur : «Norton AntiVirus a rencontré une erreur de programme interne.» (4002, 517)

Situation:
Après avoir installé Norton AntiVirus (NAV) ou Norton AntiVirus Professional edition (NAV Pro) 2003 avec les paramètres par défaut activés, puis redémarré l'ordinateur, vous remarquez qu'Auto-Protect est désactivée. Lorsque vous cliquez avec le bouton droit sur l'icône d'Auto-Protect de NAV 2003 dans la barre d'état du système et que vous cliquez sur Activer la Auto-Protect, le message d'erreur suivant s'affiche : «Norton AntiVirus a rencontré une erreur de programme interne». Dans la partie inférieure gauche de la fenêtre, vous voyez les chiffres 4002,517.

Solution:
Cette erreur peut se produire pour des raisons différentes selon le système d'exploitation que vous exécutez. Si l'erreur se produit sur Windows 98/Me, la cause peut être une clé de registre d'une version précédente de NAV qui n'a pas été supprimé avec succès lors de l'installation de NAV ou NAV Pro 2003. Si l'erreur se produit sur Windows 2000/XP, l'erreur peut se produire si le service Auto-Protect n'a pas été enregistré avec succès lors de l'installation.

Pour résoudre le problème, suivez les instructions qui s'appliquent à votre version de Windows.

Windows 98/Me :

Pour supprimer la clé de registre restante :

1. Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
2. Tapez regedit, puis cliquez sur OK. L'Editeur du registre apparaît.

ATTENTION : Il est vivement recommandé d'effectuer une copie de sauvegarde du registre système avant d'effectuer des modifications. Des modifications incorrectes du registre pourraient provoquer des pertes définitives de données ou corrompre des fichiers. Modifiez uniquement les clés spécifiées. Reportez-vous au document Comment sauvegarder le fichier de registre de Windows avant de procéder.

3. Naviguez vers la sous-clé suivante :

Hkey_Local_Machine\System\CurrentControlSet\Services\VxD\NAVAP

4. Cliquez avec le bouton droit sur NAVAP, puis cliquez sur Supprimer.
5. Cliquez sur Oui à la prochaine invite.
6. Quittez l'Editeur de la base de registre et redémarrez l'ordinateur.

Windows 2000/XP :

Pour résoudre le problème pour Windows 2000/XP, effectuez l'une des opérations suivantes afin d'enregistrer de nouveau le service Auto-Protect, puis redémarrez la protection automatique.

Pour enregistrer de Nouveau Auto-Protect :

1. Quittez tous les programmes en cours d'exécution.
2. Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
3. Tapez comme suit, puis appuyez sur Entrée :

"c:\program files\norton antivirus\navapsvc.exe" /unregserver

REMARQUE : Il s'agit ici de l'emplacement par défaut pour Norton AntiVirus lorsqu'il est installé comme produit autonome. Si NAV fait partie de Norton SystemWorks, substituez le chemin d'accès au programme pour Norton AntiVirus par celui approprié.

4. Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
5. Tapez comme suit, puis appuyez sur Entrée :

"c:\program files\norton antivirus\navapsvc.exe" /service

REMARQUE : Il s'agit ici de l'emplacement par défaut pour Norton AntiVirus lorsqu'il est installé comme produit autonome. Si Norton AntiVirus fait partie de Norton SystemWorks, substituez le chemin d'accès au programme par celui approprié pour Norton AntiVirus.

6. Fermez le programme Services.

Pour redémarrer Auto-Protect :

1. Ouvrez NAV.
2. Cliquez sur Options, puis sur Auto-Protect.
3. Dans l'écran de droite, cliquez sur« Activer Auto-Protect (Recommandé)» et sur «Lancer Auto-Protect au démarrage de Windows», puis cliquez sur OK.
4. Fermez NAV et tout autre programme ouvert.
5. Redémarrez l'ordinateur.

FERMER ET OUVRIR LE PARE-FEU

la solution: copiez sur votre Bureau le fichier pare-feu.vbs que vous trouverez sur notre CD-Rom. Il contient un script Visual Basic. Ce script teste si le pare-feu est actif ou non, affiche son état et vous propose de Je désactiver ou de l'activer.

Comment me débarrasser de lop.com ?

chargez et lancez le programme de désinstallation fourni par l'éditeur de lop: http://www.lop.com/new_ uninstall.exe.

Activer le pare-feu intégré ou installer un pare-feu tierce partie

Astuce: Pour interrompre le processus d'arrêt, ouvrir la boîte Exécuter par Windows+r et saisir la commande shutdown -a

En présence du virus Blaster ou Blaster / Lovsan

Suivre les procédures fournies sur le site Microsoft concernant Blaster

http://www.microsoft.com/france/technet/themes/secur/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026-eradiquer.html"

Activer le pare-feu intégré ou installer et activer un pare-feu tierce partie

Télécharger et exécuter l'utilitaire de nettoyage du ver Blaster ou du ver Blaster/lovsan

ainsi que le site Secuser.com

si le virus est Gaobot ou Agobot.

Télécharger et installer le correctif de sécurité

"http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA"

KB824146

Voir

également l'excellent article de Doc'XP sur la

http://perso.wanadoo.fr/doc.jm/RpcDcom.htm"

Courriels d'avertissements des administrateurs de serveurs

Pendant les grandes vagues de diffusion de virus par courriel, certains utilisateurs dont le système est parfaitement sain, l'anti-virus à jour le prouvant, reçoivent quotidiennement des avertissements d'administrateurs de serveurs informant que les messages envoyés par l'utilisateur contenait un ver ou un virus.

Cause: Un grand nombre d'administrateurs de réseau n'ont pas encore assimilé le fait que la plupart des vers actuels se diffusent en falsifiant l'adresse de l'expéditeur du message (l'adresse utilisée étant généralement récupérée dans le carnet d'adresse d'un autre utilisateur, contaminé celui-là).

Remède: Faire circuler l'information sur ces usurpations d'identité et obtenir des administrateurs qu'ils modifient le paramétrage de leur anti-virus afin de faire cesser ce spam totalement inutile des boîtes de courriel d'utilisateurs innocents! D'autant que cette masse d'avertissements contribue à surcharger le réseau, ce qui doit amuser grandement les créateurs de virus et de vers!

Paramétrer KERIO sur un poste client 01/12/02

Si le mot de passe n'est pas tapé avant que KERIO ne se mette en place, KPF bloque la sortie vers le serveur. Pour contourner, il faut mettre KERIO en mode manuel

- clic droit sur l'cône dans la barre des tâches / administration / onglet miscellaneous :et cocher START FIREWALL ENGINE MANUALLY

- Ensuite ouvrir l'explorateur et par un drag and drop à partir de l'icône KERIO la mettre dans le menu DEMARRAGE ! Documents and Settings / all users / Menu Démarrer / programmes / Demarrage

Comment éviter une intrusion dans mon système informatique ?

Pour ce genre d'attaque, il existe un logiciel bloqueur (donc un firewall);
tu as cité Norton internet Securtiy, que tu as déjà signalé, et surtout ZoneAlarm (version 2.0.26) de chez http://www.zonelabs.com : il est gratuit
et bloque de très nombreux ports TCP/IP.
Pour Back orifice, encore une fois, il n'est nocif qui si, et uniquement si, la partie host a été installée au préalable sur l'ordinateur "attaqué".

Paramétrage de ZONE ALARM

Zone alarm est un logiciel gratuit type "FIREWALL" pour interdire les intrusions sur un PC pendant qu'on est connecté.

configurer Zone Alarm Je ne vais pas essayer de vous faire un cours sur les firewalls, mais voici quelques indications pratiques qui vous permettront de mieux tirer parti du célèbre petit logiciel de Zonelabs... Ce mini didacticiel paraîtra sans doute laborieux aux plus expérimentés, mais il a vraiment pour but de simplifier la vie même au plus parfaits débutants. Vous êtes prêt ? Alors, commençons par la phase d'installation...

configurer Zone Alarm (Installation 1) Welcome! Une fois que vous avez doublecliqué sur l'exécutable que vous avez téléchargé, voici ce que vous devriez voir apparaître... Important Information!

Important Information! Ne paniquez pas en lisant le titre de cette nouvelle fenêtre, elle ne vise qu'à apporter quelques précisions sur la version que vous êtes en train d'installer.

Name... Aha ! Voici quelque chose de plus intéressant... Savez-vous que certaines personnes on envisagé, un moment, que Zone Alarm soit lui-même un espiogiciel ? En effet, en fournissant sur cette page votre adresse mail et votre nom, vous révélez quand même une partie de votre vie privée (sourire). Dites-vous bien, cependant,que Zone Labs perdrait toute crédibilité s'il se révélait que des informations privées étaient illégalement diffusées. Alors, accordons notre confiance à ces aimables concepteurs de logiciels et fournissons les indications demandées. Remarque : rien ne vous interdit de mentir sur cette page !

Cochez la case "I want to register..." si vous voulez être capable de télécharger les nouvelles versions de Zone Alarm depuis le logiciel lui-même. Cochez la case "Inform me..." si vous pratiquez l'anglais et avez envie d'être informé par mail des nouveautés Zone Labs. Cliquez sur Next>.

Select Destination Directory Choisissez maintenant le répertoire d'installation du programme... Acceptez le choix proposé ou cliquez sur "Browse" pour définir un autre emplacement.

Installation Infos Oui, oui, cette page n'a d'autre utilité que de permettre à Zone Labs de mieux vous "cibler" ("target") du point de vue marketting. Pas de soucis à avoir, toutefois, votre véritable adresse de courrier électronique n'est nullement indispensable pour configurer le programme et ne risque - a priori - pas d'être diffusée. N'oubliez pas, en effet, que vous pouvez toujours mentir...

Cliquez deux fois sur "Finish". Une fenêtre va vous demander de redémarrer votre ordinateur pour achever l'installation. Cliquez sur "OK".

CONFIGURATION

Main Screen Doublecliquez sur la petite icône se trouvant en bas à droite de votre écran (dans la partie "barre des tâches"). Voici qu'apparaît le tableau de bord de Zone Alarm.

Le cadenas ouvert vous indique que le trafic des informations entrant et sortant de votre ordinateur n'est pas systématiquement bloqué (rassurez-vous, le logiciel contrôle quand même la nature des données qui circulent). Le bouton "STOP" vous permet, à tout moment, de bloquer TOUTES les communications par un simple click. Les lignes "UP" et "DN" ( UP= trafic montant/sortie de données, DN= trafic descendant/entrée de données) s'illuminent lorsqu'il y a du trafic en entrée/sortie de votre ordinateur (ex.: quand vous relevez votre courrier). Les deux barres du haut correspondent au trafic "en cours", tandis que celles du bas montrent le trafic des dernières secondes écoulées (une espèce de minii "historique"). Des icônes apparaissent à droite du bouton "STOP" pour signaler quels programmes de votre bécane sont en communication avec l'extérieur. Dans le cas présent, il n'y en a aucune. Passons à la phase de paramétrage proprement dites. Cliquez sur ALERTS.

Alerts Voici une fenêtre particulièrement intéressante, puisqu'elle vous permet de savoir quelles "attaques" ont été menées contre vous. En effet, c'est ici que vous obtiendrez le détail des tentatives d'entrée dans votre ordinateur. Signalons, néanmoins, que le mot "attaque" est parfois un peu fort. En effet, il arrive régulièrement que les grands opérateurs Internet (ex.: votre fournisseur d'accès, France Télécom, Deutsche Telekom, etc.) opèrent des scans sur le réseau européen afin d'en vérifier le bon fonctionnement. Si vous vous trouvez sur leur chemin, ZA vous signalera leurs manoeuvres comme des attaques, bien que vous n'encouriez aucun danger.

"Today's summary" signifie "Résumé du jour". "Bytes sent" = nombre d'octets envoyés. "Bytes received" = "Nombre d'octets reçus". "Current alerts" = alertes "courantes" (ou plutôt "récentes"). La fenêtre en dessous vous indique les tentatives d'intrusion en précisant le numéro du "port" visé et l'adresse IP de l'intrus. En sélectionnant une alerte et en cliquant sur le bouton "More info" vous êtes ensuite redirigé sur le site Zone Labs où l'on vous fournit plus de détails. Les petites flèches en-dessous de ce bouton vous permettent, quant à elles, de naviguer entre les divers messages d'alertes de la journée. Enfin, le bouton "Clear Alerts" vous permet de supprimer les "alertes du jour", qui resteront néanmoins enregistrées dans votre "log" (voir plus bas). Depuis avril 2000, Zone Alarm vous offre la possibilité d'enregistrer dans un fichier "log" ("journal") toutes les alertes que vous subissez. Pour cela, il vous suffit de cocher la case à côté de "Log alerts..." La ligne suivante précise à quel endroit de votre ordi est stocké le "log". Un simple logiciel comme Wordpad suffit pour le consulter. Si vous cochez également la case en regard de "Show the alert popup window", vous aurez droit à un message "popup" (une petite fenêtre d'avertissement) chaque fois qu'une nouvelle alerte sera enregistrée. Le bouton "Delete Log File" vous permet d'effacer votre "log" quand il devient trop gros (à votre libre appréciation). Conseil : cochez les deux cases... Cliquez sur LOCK.

Lock Le "Verrou Internet" (Internet Lock") est encore une caractéristique sympa du logiciel. Il est symbolisé par le bouton rouge que nous avons vu sur le tableau de bord de ZA et a pour mission de bloquer les communications. Cette page permet de raffiner sa configuration...

"Lock Status" vous indique si le verrou fonctionne ou pas et récapitule son paramétrage. "Automatic Lock" permet de programmer le verrou (en sélectionnant "enable") de manière à ce qu'il se déclenche automatiquement. "Engage..." en cochant cette ligne, vous pouvez ensuite indiquer au bout de combien de temps d'inactivité (quand vous ne touchez pas à votre ordinateur) le verrou doit s'enclencher. "Engage... screen saver..." met en place le verrou dès que votre écran de veille se met en route. "Pass Lock programs..." en cochant cette option vous permettez aux programmes de votre choix (ex.: votre logiciel de courrier) d'accéder au Net, même quand le verrou est en fonction. Le paramétrage se fait dans l'onglet "PROGRAMS". "High security" Le verrou bloque tout, tout, tout au niveau Internet. Cliquez sur SECURITY.

Security Les "Réglages de sécurité" sont très importants... et très simples à effectuer. En règle générale, les niveaux de sécurité "Local" (colonne de gauche) et "Internet" (colonne de droite) devraient être en position "High" (régler en déplaçant leurs curseurs respectifs). Il peut cependant arriver que vous soyiez obligé de passer en sécurité Internet "Medium" pour que vos logiciels ftp, Irc et autres fonctionnent correctement. Rassurez-vous, vous ne courrez pas de trop gros risques, même dans ce cas. De plus, l'option Internet "High" a une facheuse tendance à susciter un grand nombre d'alertes, mieux vaut donc désactiver les popups qui vous informent de celles-ci. A propos des alertes d'intrusion : vous aurez régulièrement des messages du type "ZoneAlarm has blocked a connection attempt..." ("ZoneAlarm a bloqué une tentative de connexion..."). Est-ce à dire que vous êtes brusquement devenu la cible de tous les hackers du Web ? Pas du tout. En fait, il faut savoir que de nombreux opérateurs (fournisseurs d'accès, gestionnaires de réseaux de télécommunication, etc.) procèdent à des tests aléatoires afin de vérifier la qualité des connexions. C'est tout à fait normal et ne devrait pas vous inquiéter.

Le Bouton "Advanced" vous permet, lorsque vous avez un réseau local, de préciser quels ordinateurs composent ce réseau. Si vous cochez la case "Block local servers" les autres membres de votre réseau local ne pourront pas venir chercher des fichiers dans votre machine. "Block Internet servers" remplit le même office pour le Net. Attention : il est parfois nécessaire (ex.: logiciels ftp et/ou de courrier) de ne PAS bloquer les serveurs Internet... Note : les deux cases "Block" constituent un moyen commode de bloquer - temporairement ou non - tous les serveurs fonctionnant sur votre machine, même ceux que vous avez autorisés ("Allow server") sur l'onglet "Program". "MailSafe e-mail protection" intercepte les scripts Visual Basic contenus dans vos courriers et les place en "quarantaine" avant de vous demander si vous tenez vraiment à les exécuter. Quand on voit les dégâts causés par le "ver" ILOVEYOU on ne peut que se réjouir de cette idée... Pour désactiver cette protection, décocher la case. Cliquez sur PROGRAMS.

Programs Ah, nous voici au coeur de Zone Alarm ! C'est sur cette page, en effet, que vous trouverez les réglages permettant d'autoriser ou non vos programmes à accéder au réseau.

Quand un programme tente d'accéder au Net, un message "popup" apparaît... Zone Alarm vous demande si vous autorisez la connexion (boutons "Yes" ou "No"). Le nom du programme est indiqué (ici "RealProducer") et si vous cochez la petite case blanche à côté de "Remember..." le choix que vous allez faire sera considéré comme la règle pour toutes les prochaines tentatives de connexion du logiciel considéré (vous n'aurez pas à dire "oui" ou "non" à chaque fois). Conseil : quand un programme dont vous ignorez la fonction tente de se connecter à l'Internet, choisissez systématiquement "No" dans la fenêtre "popup" qui apparaît. Ainsi, vous serez sûr de bloquer les éventuelles "backdoors" de votre machine (voir chapitre sur les Virus). Dans la fenêtre "PROGRAMS", tous vos réglages sont récapitulés. En cliquant avec le bouton droit de la souris sur la ligne correspondant à une application, vous aurez la possibilité de modifier ces réglages ("Allow"= "Autoriser"). Les cases "Allow server" permettent d'autoriser une application à fonctionner en tant que serveur local et/ou internet. En clair, "Allow connect" permet une connexion simple, alors que "Allow server" autorise à peu près n'importe qui à se connecter au programme considéré (ce qui est plus risqué, mais parfois inévitable - voir "Notes", plus bas). En cochant la case située dans la colonne "Pass Lock" vous autoriserez le programme correspondant à utiliser le réseau même quand le "verrou Internet" est en fonction. Notes : Il peut être nécessaire d'autoriser Outlook Express à fonctionner en serveur local si vous utilisez l'antivirus mail de Norton Antivirus 2000. De même, Napster ou Gnutella sont - naturellement des applications-serveurs. En revanche, il est inutile d'autoriser ICQ à être "serveur"; c'est même déconseillé ! Cliquez sur l'onglet CONFIGURE.

configure : En dessous du numéro de version de ZA, deux lignes vous précisent si le système actif du programme - "TrueVector" - est chargé ou pas ("is loaded" ou "is not loaded") et donc s'il fonctionne. En cochant la case "On top..." vous indiquez que les fenêtre de Zone Alarm doivent toujours être au-dessus des autres lorsque vous êtes connecté à l'Internet. Cochez absolument la case "Load ZoneAlarm at startup" de manière à ce que le firewall se lance automatiquement dès le démarrage de votre machine !!! "Updates" (mises à jour) permet de vérifier automatiquement s'il existe une nouvelle version de ZA. Auquel cas, cliquer sur "get update" permet son téléchargement immédiat. "Check for update" vous offre la possibilité de vérifier "manuellement" l'existence d'une nouvelle version. Enfin, en cliquant "Change Registration" vous pourrez modifier les divers éléments de votre enregistrement auprès de ZoneLabs.

quelques remarques pour finir Dans certains cas, Zone Alarm peut éventuellement ralentir légèrement votre ordinateur. Ainsi, celui-ci mettra un peu plus de temps à accéder à vos boîtes aux lettres électroniques. C'est normal et prête peu à conséquence. Il arrive, toutefois, que certaines bécanes se mettent brusquement à traaaaîner dans toutes leurs tâches. ZoneLabs s'emploie toujours à trouver la raison de cet état de choses et on peut espérer que ce pépin soit très vite résolu. pour les abonnés AOL Pour l'instant, un petit problème d'incompatibilité avec AOL - qui devrait être résolu prochainement - vous contraint à régler le niveau de sécurité de ZoneAlarm sur Medium (onglet Security). A noter qu'une fois que vous serez parvenu à vous connecter à un site en dehors de la zone AOL, vous pourrez alors remonter la sécurité à "High"... mais vous devrez recommencer ce processus à chaque nouvelle connexion. Quelle différence entre High et Medium ? Medium ne vous garantit pas une "discrétion" absolue, mais vous protège néanmoins contre les communications entrantes et sortantes. Bref, vous êtes quand même BIEN protégé. pour les machines connectées en réseau Quand plusieurs ordinateurs sont connectés ensemble et partagent une même connexion gérée par l'un d'entre eux... Installez ZoneAlarm sur toutes les machines, mais réglez le niveau de sécurité (onglet Security) sur Medium sur celle qui se connecte effectivement à Internet.

Bon surf !

téléchargement à la source et sans peine du logiciel : http://www.zdnet.com 1.75 méga pour pc

Une bonne adresse pour installer zonealarm

WebSécu : http://websec.arcady.fr/ZA01.htm

Cette information est extraite du site MEDITO.

A propos des virus 02/09/01

Qu'appelle-t-on exactement un virus ?
Un virus est un programme malicieux capable de se répliquer sur un ordinateur, et c'est tout. Pour ce faire, il peut remplacer, se nicher à l'intérieur ou se greffer à des portions de codes éxécutables. Depuis le premier virus inventé par un étudiant californien pour son compte dans les années 60, suivi du premier lâché dans la nature au milieu des années 70 par deux programmeurs pakistanais, des dizaines de milliers ont fait leur apparition (10 000 selon certains, jusqu'à 50 000 selon d'autres).

Les vers sont-ils des virus ?
A la différence des virus, les vers ne se répliquent pas sur un même ordinateur. Leur caractéristique première vise à se propager à travers un réseau (généralement Internet), d'un ordinateur à l'autre. La catégorie la plus dangereuse de vers reste aujourd'hui les "mass mailers", qui s'auto-envoient au maximum de personnes possibles figurant dans le carnet d'adresse du client de messagerie. Un ver comme SirCam s'avère même capable de se servir des e-mails figurant dans le fichier cache du naivgateur Internet Explorer, qui conserve les informations de navigation de l'internaute sur les sites web qu'il a visités.
Certains vers peuvent aussi être des virus, mais la plupart ne le sont pas même si la tendance est au mélange des genres...

Comment différencier les virus et les vers des chevaux de Troie (ou Trojans) ?
A l'époque de la guerre de Troie pendant l'antiquité, les Achéens tentèrent de conquérir les Troyens en entrant dans l'enceinte de la ville à l'aide d'un cheval en bois offert comme cadeau, creux mais rempli de soldats. Une fois dans la place, ceux-ci avaient franchi les barrières sans difficultés et purent attaquer les habitants de la ville de Troie de l'intérieur. C'est ainsi que procèdent les Trojans, ou chevaux de Troie, qui à l'inverse des virus ne se répliquent pas d'eux-même.

Sous forme de fichiers compilés mais aussi de scripts éxécutables (VBScript, JavaScript...), les chevaux de Troie peuvent avoir plusieurs fonctions plus ou moins destructrices. Celles-ci s'étendent de l'ouverture d'une fenêtre avec un message, jusqu'au formatage du disque dur, en passant par l'ouverture d'une porte de derrière, ou "backdoor", qui donne le contrôle de la machine infectée à un pirate situé n'importe où sur la planète. Des outils de hackers comme BackOrifice et SubSeven sont caractéristiques de cette dernière tendance, et permettent au pirate de télécharger des fichiers sur le disque dur, de déplacer le pointeur de la souris, d'éteindre l'écran ou même d'ouvrir le lecteur de CD à distance. Ces symptômes représentent autant de signes de sa présence, tout comme le fait de constater un flux sortant disproportionné lors d'une connexion Internet en cas de vol de fichiers. Une fois détecté, un cheval de Troie devient le plus souvent inoffensif s'il ne combine pas cette fonction avec celle d'un virus, puisqu'il suffit de supprimer le fichier incriminé et de vider la corbeille. (lire à ce sujet la chronique de Joël Rivière)

Qu'en est-il des macro-virus ?
Ils constituent la plus importante (à 80 %) des quatre grandes catégories de virus, et sont apparus lors de l'introduction des premières "macros-commandes" dans les logiciels de bureautique de Microsoft (Word, Excel, Powerpoint...). Ces macros incluses dans certains fichiers .doc, .xls etc. donnent la possibilité d'éxécuter des traitements spécifiques sur le document qui les contient. Un virus peut donc s'insérer sous forme de macro, et utiliser les capacités du logiciel pour se copier à l'intérieur des autres documents du même type, voire créés par d'autres outils bureautiques avec lequel celui-ci peut communiquer.

Et les trois autres catégories de virus ?
La seconde concerne les virus de "boot", qui s'installent sur le premier bloc d'une disquette ou d'un disque dur, c'est à dire la séquence initiale de démarrage de l'unité en question. La troisième n'infecte que les fichiers éxécutables (extensions .COM, .EXE, .DAT, .LNK, .DRV, .DLL, .BIN, .SYS...). Et la quatrième catégorie, celle des virus multi-formes, combine les différentes méthodes d'infection ci-dessus.

Quelles sont les principales méthodes de propagation employées par les vers ?
Les vers ont donc pour propriété de s'envoyer tout seuls d'un ordinateur à l'autre sur Internet ou sur un réseau local. Pour cela, la méthode la plus usitée reste la messagerie avec l'expédition d'un email, infecté soit dans sa pièce jointe, soit plus rarement, dans le code HTML du message, aux utilisateurs du carnet d'adresse. Plus récemment, nous avons pu constater l'apparition d'un second type de vers relativement préoccupants. Il s'agit de la classe serveur intégrant CodeRed qui utilise les failles de sécurité non éradiquées à l'aide des correctifs en vigueur. D'autres vers, plus anciens mais encore peu répandus, se transmettent à un internaute via une simple connexion à une page web. Enfin, il en existe encore qui empruntent des chemins détournés, comme les réseaux d'imprimantes partagés, certains ports TCP/IP ouverts par exemple pour la messagerie instantanée (ICQ, AOL, Messenger), et les canaux de discussion sur IRC.

Tous ces codes malicieux sont-ils dangereux ?
Non. Certains affichent des messages et ne font que prendre un peu de mémoire pour cela. D'autres, qualifiés de virus antivirus, servent même à éradiquer certains de leurs prédécesseurs jugés dangereux, avant de se suicider en s'auto-effaçant. Mais attention à ces derniers, car ils ne sont pas programmés par des professionnels de l'antivirus et peuvent mal réparer les infections en laissant les codes malicieux toujours actifs. Enfin, il en existe qui font acte de charité, comme le ver VBS/Noped qui dénonce après examen des fichiers sur le disque dur, les pédophiles aux principales organisations chargées de les débusquer.

Existe-t-il des virus qui entrent dans plusieurs de ces catégories ?
Oui, comme vous l'aurez compris, un ver peut transporter et installer un virus, et peut aussi être un cheval de Troie. Il existe à l'heure actuelle plusieurs dizaines voire centaines de codes malicieux combinés ou enchaînés, et leur nombre croît très rapidement.

Pourquoi certains virus ou vers de conception récente retardent-ils les éditeurs d'antivirus dans la mise en place de correctifs ?
La dernière génération de codes malicieux devient d'une complexité presque machiavélique. En effet, certains spécialistes de la sécurité ont détourné l'acronyme PE (Portable Executable, le mode d'éxécution des applications sous Windows) pour qualifier ces virus et vers mutants. "Polymorphic encrypted" signifie que :
1/ le virus est polymorphe et modifie tout seul certaines de ses portions en vue d'empêcher une reconnaissance par les antivirus classiques.
2/ il chiffre les parties stratégiques de son code source afin de les rendre illisibles par les techniciens des laboratoires de recherche. Parfois, le programme dispose de plusieurs algorithmes et/ou modifie régulièrement les clefs pour rendre encore plus difficile le déchiffrement.
Malgré tout, certains éditeurs ont mis en place des méthodes qui leur permettent d'avancer beaucoup plus rapidement face à ces menaces dont les premiers représentants virtuels datent de 1999. La multiplication des virus polymorphiques réclamant un certain savoir-faire chez leurs auteurs n'empêche pas leur éradication, et ne justifie pas le refus d'installer un antivirus.

Rappelons également qu'un code malicieux peut exister en plusieurs versions différentes, notamment si un second pirate a mis la main sur le code source de la première version et a effectué quelques petites modifications. Mais globalement, une fois que la méthode employée par le ver pour se propager est identifiée et peut être contrée, celui-ci devient beaucoup moins dangereux en présence d'un antivirus mis à jour.

Tous les dégâts causés par un virus peuvent-ils être réparés ? Que se passe-t-il si un virus a "flashé" le BIOS ?
Certains dégâts ne peuvent être réparés, comme la perte de fichiers si le virus a remplacé leurs contenus par son propre code ou des chaînes de caractères. Mais s'ils sont seulement supprimés, il est parfois possible de les récupérer. Le formatage de certaines portions du disque dur peut lui aussi s'avérer fatal.

Mais l'une des pires choses qui puisse arriver suite à une infection est en effet le flashage du BIOS (Basic input/output system), provoqué notamment par les très dangereux CIH/Tchernobyl et Magistr. Le BIOS se trouve dans une puce réinscriptible sur la carte mère du PC et est chargé en mémoire dès l'allumage de l'ordinateur afin d'assurer sa mise en route, qui passe par la reconnaissance des différents périphériques de base comme le lecteur de disquettes et les disques durs. Une fois modifié par un virus de façon pernicieuse à même la puce électronique, il n'est plus possible de redémarrer l'ordinateur, même à l'aide d'une disquette de boot. Seul le fait de changer la carte mère permettra un redémarrage. Et il sera préférable d'isoler le disque dur infecté afin d'éviter cela ne se reproduise.

Que signifie l'appellation "in the wild" ?
Elle qualifie les virus et les codes malicieux qui sont répandus chez des utilisateurs et/ou dans des entreprises. Tous ne se sont pas propagés car certains ne sont jamais sortis des machines de leurs programmeurs qui ne souhaitaient pas les diffuser, voire même des laboratoires des éditeurs d'antivirus qui adoptent souvent une attitude proactive dans la détection des menaces.

Qu'est-ce qu'un "Hoax" ?
Un hoax est une fausse nouvelle, souvent reprise par un ou plusieurs médias. Il y a quelques années, certains éditeurs d'antivirus ont été accusés d'abuser de fausses annonces de nouveaux virus. Aujourd'hui, la plupart d'entre eux sont sérieux, et quelques-uns en dressent même une liste exhaustive (par exemple Symantec et Trend Micro). Il peut aussi arriver qu'un e-mail s'annonce comme un code malicieux, ou qu'un fichier éxécutable (.COM, .EXE, .SYS, .PIF...) ouvre une fenêtre avec marqué dedans "je suis un virus", mais qu'il n'en soit rien.

Pourquoi dans les encyclopédies de virus des éditeurs spécialisés, les codes malicieux portent-ils plusieurs noms ? Existe-t-il des initiatives de normalisation ?
Chaque éditeur travaille de son côté avec ses laboratoires et emploie son propre vocabulaire pour qualifier les codes malicieux qu'il identifie. Par exemple, le triste SirCam est nommé W32.Sircam.Worm@mm, TROJ_SCAM.A, et SCAM.A selon différents éditeurs. Selon ce que rappelle l'organisme américain indépendant WildList Organisation, dont l'un des rôles consiste justement à aboutir à une normalisation de la terminologie, cela peut s'avérer absurde. Car il se peut qu'un jour, un virus dangereux soit pris pour un inoffensif portant un nom identique ou suffisamment proche, et que les démarches pour le contrer ne soient pas mises en oeuvre d'une manière efficace.

Si mon PC est équipé de Linux, ou si je possède un Macintosh, suis-je à l'abri des virus ?
Non. Les systèmes Linux et les Macintosh ne peuvent généralement pas être infectés par des programmes conçus pour fonctionner sur Windows. Mais ces plates-formes ne sont pas hors de portée de développeurs mal intentionnés. Et il existerait à l'heure actuelle quelques milliers de virus au moins spécialement conçus pour infecter les ordinateurs de marque Apple. Sur Linux, moins d'une centaine sont recensés à l'heure actuelle en raison du caractère récent du système d'exploitation. D'autres comme certains Unix et l'ancien OS/2 Warp d'IBM n'en connaîssent que quelques-uns. Enfin, des ancêtres parmi les micro-ordinateurs comme l'Amiga de Commodore et l'Atari ST avaient eux aussi rencontré leur lot de virus au tout début des années 90, et plusieurs milliers voire dizaines de milliers ont été répertoriés rien que sur le premier des deux.

Que dois-je faire pour me protéger efficacement contre les virus et les autres codes malicieux ?
La première des précautions consiste à installer un logiciel antivirus. Au minimum, celui-ci doit passer au crible les fichiers sur le disque dur de façon régulière, et observer en permanence les mouvements de code suspects dans les zones de la mémoire ciblées par les virus. C'est le cas d'Antivirus Toolkit Pro de l'éditeur Kaspersky Labs qui n'est pas très cher. Si vous souhaitez installer plusieurs antivirus, choisissez-les de préférence complémentaires chez le même éditeur, et non concurrents entre deux éditeurs. Car ceux dont les objectifs sont les mêmes partagent certaines ressources système et peuvent ainsi occasionner des plantages parfois sévères (réinstallation de Windows...).

En terme de complémentarité, l'antivirus du poste client peut se coupler avec un autre au niveau de la messagerie, et un troisième pour surveiller les interactions avec les sites web. Dans une entreprise, tous les points d'entrée peuvent être surveillés par la plupart des gammes de produits (Trend Micro, McAfee, Sophos, Symantec). Ou alors, vous pouvez aussi combiner un antivirus fonctionnant par mises à jour d'une base de définitions de virus avec un analyseur de type Orion (déjà combiné dans F-Secure) ou Viguard (Tegam).

Ensuite, une bonne protection logicielle contre la plupart des chevaux de Troie et certains vers consiste à installer un firewall (pare-feu en bon français), qui va bloquer l'arrivage de fichiers intrusifs sur les ports TCP/IP écoutés par des applications. Vous pouvez au minimum installer et configurer ZoneAlarm qui s'avère être gratuit.

Ces outils mis à part, n'existe-t-il pas un comportement éthique qui puisse m'éviter, en tant qu'utilisateur, de devenir un relais de propagation ?
En l'absence d'antivirus installé, vous pouvez toujours utiliser régulièrement les systèmes de vérification en ligne proposés gratuitement par certains éditeurs, comme HouseCall de Trend Micro, ou le système de Symantec qui propose aussi une détection de certaines failles réseaux. Mais cela ne compense évidemment pas l'intallation d'un antivirus permanent sur le poste qui assure une réelle protection efficace. Quant au comportement éthique, en voici un condensé :

- ne pas lancer un fichier éxécutable sans être assuré qu'il ne contienne un virus ou un cheval de Troie. Ceci concerne aussi bien les logiciels téléchargés sur des sites douteux, que les pièces jointes aux emails avec des extensions éxécutables (voir plus haut) ou de langages de scripts (.VBS, .JS, .PHP...). Dans ce dernier cas, si vous attendiez ce type de fichier, passez le tout de même à l'antivirus, car l'on ne sait jamais ce qui peut arriver en cours de route. Si la formulation du message vous paraît inhabituelle, un simple appel téléphonique à l'expéditeur peut vous renseigner. Prévenez également, à chaque fois que vous le pouvez, la personne qui vous a transmis un virus qu'elle est infectée, afin qu'elle prenne les mesures nécessaires le plus rapidement possible.

- Si vous possédez un système antivirus, assurez-vous de le mettre à jour très régulièrement, car les éditeurs publient une ou plusieurs fois par semaine des mises à jour.

- Configurez proprement votre système d'exploitation pour éviter l'infection par des codes malicieux non encore reconnus. 1.Installez les correctifs des éditeurs qui réparent les failles d'applications parfois utilisées par de nouveaux codes malicieux. 2.Paramétrez vos options pour afficher tous les fichiers cachés et toutes les extensions. Vous verrez ainsi les extensions doubles comme ".JPG.EXE". 3.Bloquez dans Explorer ou Netscape l'éxécution des scripts, des contrôles ActiveX et des cookies lorsque vous visitez un site en lequel vous n'avez pas totalement confiance.

- Si vous êtes à peu près certains d'être tombé sur un code malicieux dont les éditeurs ne parlent pas encore dans leurs alertes (après l'avoir passé à l'antivirus, utilisez les moteurs de recherche dans les encyclopédies), transmettez-leur au plus vite le ou les fichiers suspects. Par ailleurs, ne paniquez pas en cas d'infection. Outre le fait que cela ne sert à rien, la période de soulagement qui s'ensuit peut amener à une baisse de la vigilance.

- Enfin, tenez-vous régulièrement informé, par la presse au minimum, mais surtout les alertes antivirus et celles des organismes de sécurité si vous voulez être considéré comme professionnel, des nouvelles failles touchant vos applications. Cet éveil peut vous permettre d'adopter un comportement proactif dans l'installation des correctifs. Car de nombreux codes malicieux qualifiés d'exploits (comme Code Red) emploient les vulnérabilités récemment découvertes pour se propager en s'appuyant sur la non-réactivité des utilisateurs.

[François Morel, JDNet]

Quelques ports sensibles pour la configuration du FIREWALL 09/09/01.

Les ports de votre ordinateur n'ont pas tous la même fonction et la même importance.
Voici une courte liste des ports les plus sensibles et communément utilisés pour des intrusions malveillantes :

N° port	Fonction du port	Risques	Attitude
7	echo (répond à l'identique à l'émetteur d'un paquet	Réponse à des adresses usurpées.	Fermer si pas de besoin.
19	Chargen (envoie du trafic vers l'émetteur de la demande)	"Agression" d'adresses usurpées.	Fermer si pas de besoin.
20,21	FTP (transfert de fichiers).	Copie illicites d'informations sur votre ordinateur.	Fermer le port si pas de besoin.
23	Telnet : prise de contrôle à distance.	Sans commentaires.	Fermer le port si pas de besoin.
53	DNS : convertir un nom logique en adresse IP.	Le plus utilisé et le plus sujet à problème dans l'implémentation la plus commune.	Fermer le port si pas de besoin.
80	HTTP : le web.	Mal configuré, un serveur Web peut donner la visibilité de votre disque dur à tout le monde.	Fermer si pas besoin de serveur Web.
25	SMTP : envoi de messages.	Votre serveur pourrait relayer sous son nom des messages indésirables (spam).	Fermer si pas besoin de serveur SMTP.
119	NNTP : serveur de news.	Votre serveur pourrait relayer sous son nom des messages indésirables (spam).	Fermer si pas besoin de serveur de news.
137,138,139	partage de disques.	Idem que le port 80. Attention : ouvert par défaut sur le machine fonctionnant sous Windows.	A fermer par un Pare-feu.

Sur une connexion permanente, les ports ci-dessous doivent faire l'objet de la plus stricte surveillance.Le recours à un pare-feu est d'autant plus nécessaire si vous disposez d'une connexion ADSL et restez connecté de longue période.

Des logiciels pare-feu sont disponibles gratuitement sur Internet. Vous pouvez avantageusement consulter la Logithéque de wanadoo.fr.

Précautions contre les virus 14/10/01

Celà indique que vous ouvrez les pièces jointes sans prendre la peine de
vérifier au préalable la teneur du message. Tous les messages qui vous
parviennent et qui vous semblent n'avoir aucune raison d'être ou être
inappropriés sont suspects. Il vous suffit de cliquer sur la pièce jointe et
de faire ENREGISTRER SOUS pour voir le nom exact de la pièce jointe
s'afficher. Attention de ne pas valider l'enregistrement mais d'annuler, car
cette procédure sert simplement à vérifier le nom complet de la pièce
jointe. Tout ce qui se termine par exe, bat, com, vbs, vba, pif doit être
détruit. Quand vous avez un doute, posez la question sur le forum.
Vraisemblablement la plupart de vos NORTON ANTI VIRUS doivent être obsolètes
(plus d'un an) et il va vous falloir racheter le NORTON ANTI VIRUS 2002 qui
détectera automatiquement la présence d'une pièce jointe infestée à la
réception du message.
Le virus est dans la pièce jointe, et il n'y a donc pas de danger si vous ne
l'ouvrez pas. Vous pouvez également renvoyer un mail à l'expéditeur lui
demandant de confirmer que l'envoi est bien de lui.

Comment détruire le virus MAGISTER 11/11/01

Vous Trouverez sur le site de SYMANTEC un petit programme MAGIC, qui permet de détruire le Virus MAGISTER

Comment configurer NORTON ANTI VIRUS 2002 10/10/01

Pour configurer NAV, cliquer en haut sur OPTIONS / NORTON ANTI VIRUS/
sélectionner à gauche AUTO PROTECT et vérifier que:
- les 3 cases à cochier dans le paragraphe COMMENT RESTER PROTEGE doivent
être cochées
-Cocher la case REFUSER L'ACCES AU FICHIER INFECTE dans le paragraphe
COMMENT REAGIR SI UN VIRUS EST DETECTE
-cocher la case ANALYSE COMPLETE dans le paragraphe TYPES DE FICHIERS A
ANALYSER

Ensuite cliquer sur ANALYSE MANUELLE à gauche et vérifier que
- les 3 cases du paragraphe ELEMENTS A ANALYSER EN PLUS DES FICHIERS sont
cochées
-cocher la case TENTER DE REPARER ET METTRE EN QUARANTAINE EN CAS D'ECHEC
-cocher les cases ANALYSE COMPLETE DES FICHIERS et ANALYSE DANS LES FICHIERS
COMPRESSES dans le paragraphe TYPES DE FICHIERS A ANALYSER

-cliquer sur EXCLUSIONS à gauche, sélectionner les deux choix (*.nch et
*.dbx) et cliquer sur SUPPRIMER à droite pour les éliminer des exclusions.
Nota *.dbx sont les fichiers de messagerie.

cliquer sur MESSAGERIE à gauche et vérifier que:
- les deux cases du paragraphe QUELS MESSAGES ANALYSER sont cochées
- cocher TENTER DE REPARER ET METTRE EN QUARANTAINE EN CAS D'ECHEC dans le
paragraphe COMMENT REAGIR SI UN VIRUS EST DETECTE
- les deux cases sont cochées dansle paragraphe QUE FAIRE LORS DE L'ANALYSE
DES MESSAGES

-Valider les modifications et sortir en cliquant sur le bouton OK

Comment lancer une analyse de virus de votre ordinateur 11/12/01
vous ouvrez par un double clic NORTON SYSTEM WORKS
Cliquer sur NORTON ANTI VIRUS à gauche, attendre quelques secondes, cliquer
sur ANALYSE ANTI VIRUS toujours à gauche et cliquer en bas sur Analyser (en
bleu) après avoir vérifié que c'est bien "analyser mon ordinateur" qui est
sélectionné dans la fenêtre.
Attention, la vérification est assez longue et utilise pas mal de
ressources; il est donc préférable de lancer l'analyse le soir avant de
partir.

Comment se rendre compte qu'un virus qui utilise son carnet d'adresse 11/12/01

Il est souhaitable de mettre sa propre adresse dans le carnet d'adresse ou
mieux une deuxième adresse quand on en a eu afin de recevoir soi même les
messages infestés envoyés éventuellement par un virus à partir de sa propre
machine. Actuellement un certain nombre de virus, mettent un _ devant
l'adresse d'expédition afin de gagner du temps quand un destinataire utilise
le bouton REPONDRE pour renvoyer le mail àl'expéditeur et le prévenir qu'il
est infesté.
En mettant son adresse, on peut ainsi gagner un temps précieux.

D'autre part, je crois que la perméabilité de W98 lié à l'explosion de la
diffusion des virus condamne ce système d'exploitation et qu'il est urgent
de passer sous W 2000 ou XP quand on l'aura bien testé.

Comment changer la date et l’heure de lancement automatique de NORTON ANTI VIRUS 17/02/02

Tu lances NAV, tu cliques sur ANALYSE ANTI VIRUS et ensuite en bas, tu cliques sur PROGRAMME en-dessous de Planifier la tâche et là tu peux régler les options de planification de l'anti-virus.

Désactiver KPF

Il y a moyen de désactiver (perso, ça ne me pose pas de problème) dans le
registre :
HKLM\System\CurrentControlSet\Services\fwdrv et mettre "KernelModuleAuth"
Valeur DWORD 0 (Hex) au lieu de 1

Paramétrage du réseau

- Vérifie dans les propriétés de chaque connexion locale (pour les 2 xp),
protocole tcp/ip, propriétés, avancé, onglet WINS, "activer netbios avec
tcp/ip" est coché (PAS "par défaut").
- vérifie que tu n'a pas des erreurs dans l'EventLog au sujet du réseau (par
exemple une erreur de MrxSmb ?)

Paramétrage de KPF

Installez Kerio MailServer et assurez vous qu'il soit en route. Accédez au programme Administration Console et configurez un mot de passe pour l'administrateur.

Dans Configuration/Services, configurez les services que vous prévoyez d'utiliser. Si vous comptez utiliser, par exemple, un serveur web sur la même machine, arrêtez le service WebMail ou assignez lui un autre port.

Créez des domaines locaux (Configuration/Domains). Le domaine primaire doit être créé en premier. Si vous ne savez pas quel domaine doit être primaire, choisissez le domaine ayant le plus d'utilisateurs. N'oubliez pas de préciser le nom de domaine du serveur SMTP.

Créez des comptes utilisateurs pour les domaines individuels (Domain Settings/Users). Les noms des comptes devraient correspondre à l'adresse principale des utilisateurs, mais vous pouvez également importer des comptes utilisateurs de sources externes.

Si nécessaire, créez des groupes (Domain Settings/Groups) et assignez leur des utilisateurs.

Définissez des alias pour les utilisateurs et les groupes, si besoin est (Domain Settings/Aliases).

Dans Configuration/Internet Connection, configurez le type de connection à Internet : Online pour leased line, modems cable et ADSL, ou Offline pour les autres types de connection.

Si le modem est installé sur le même ordinateur que Kerio MailServer, choisissez la ligne RAS correcte.

Si la connection Internet est de type Offline, configurez la périodicité d'exécution (Configuration/Scheduling). Si votre type de connection est Online, ne configurez la périodicité que si vous voulez récupérer des courriers de compte POP3 distant ou si vous recevez des courriers en utilisant la commande ETRN.

Si vous voulez récupérer des mails de compte POP3 distant ou de comptes de domaine, créez les comptes correspondant dans Configuration/POP3 Download. Si les mails de ces comptes doivent être triés vers des comptes locaux, déterminez également des règles de tri.

Si des courriers d'un certain domaine doivent être reçus d'un serveur secondaire en utilisant la commande ETRN, déterminez les comptes correspondant dans Configuration/ETRN Download.

Activez le contrôle par antivirus dans Configuration/Antivirus. Choisissez le plug-in correspondant à l'antivirus installé. Configurez ensuite l'action adéquate au cas où une pièce attachée infectée est découverte. Vous pouvez également choisir d'établir des règles de filtrage en fonction des types de pièces attachées (par ex. pour les exécutables).

Si Kerio MailServer fonctionne derrière un firewall, mappez le port approprié.

Si le serveur SMTP est accessible depuis Internet, configurez la protection anti-spam (Configuration/Antispam), pour éviter une utilisation abusive du serveur à des fins de spam. Sachez que vous pouvez également vous protéger vous-même de ces types de mails, venant d'autres serveurs.

Configurez, si nécessaire, la sauvegarde des courriers (Configuration/Backup).

Créez un certificat pour le serveur mail, pour l'utilisation d'une communication sécurisée, ou adressez-vous à une autorité de certification commerciale pour le faire.

Désinstaller ZONE ALARM

Vérifie la désinstallation correcte (expliqué chez zonelabs :
http://www.zonelabs.com/services/support.htm )

Quel antivirus utiliser avec win XP?

Kapersky Antivirus (disponible sur www.avp.ch en version d'évaluation 30 jours) fonctionne parfaitement, consomme très peu de ressources, et d'après plusieurs tests organisés par de grands magazines et entreprises, c'est le meilleur... Il ne laisse rien passer !
Panthère Noire ajoute une petite remarque pour AVP afin d'éviter quelques problèmes :
Lors de l'installation d'AVP sur une machine faisant partie d'un groupe de travail ou d'un domaine, il est impératif de sélectionner le mode "Application Utilisateur", faute de quoi l'accès aux dossiers et imprimantes partagés est instable voire impossible, allant même jusqu'au gel de l'explorateur. De plus, si vous utilisez Office XP, il est déconseillé d'installer le vérificateur de scripts d'AVP qui semble poser des problèmes avec celui d'Office. AideOnline.com a fait une page d'explications très détaillées.

Esafe desktop fonctionne parfaitement (intègre également un pare-feu et un bac à sable) disponible sur www.aladdin.fr ( évaluation 60 jours ).
Pour une liste plus complète d'antivirus cf. page Windows XP, section antivirus...

Quel pare-feu (firewall) utiliser avec Windows XP?

Zone Alarm, de ZoneLabs (disponible sur www.zonelabs.com , gratuit).
Freedom fonctionne également, disponible sur www.zeroknowledge.com.
Tiny Personal Firewall de Tiny Software (www.tinysoftware.com/pwall.php), plébiscité & gratuit, fonctionne parfaitement.
Notez que le pare-feu intégré ne protège que des connections entrantes, il ne permet pas de filtrer le trafic sortant. L'eXpert Patrice BONNEFOY, a fait une description détaillée du pare-feu intégré de Windows XP.

Qu'est-ce que ALG.EXE et SVCHOST.EXE qui veulent passer mon Pare-Feu "non XP" ?

ALG.EXE c'est une partie du pare-feu de XP qui contrôle (entre autres) les connexions FTP.
SVCHOST.EXE sert à exécuter des DLL (système ou non), il est normal que plusieurs threads soient visibles dans le gestionnaire de tâches.

Le firewall de XP est-il fiable ?

Il est sommaire et ne gère que les entrées et pas les sorties

Pour le configurer :
http://www.wininfos.com/autre/parefeu1.asp

Audit sécurité:

Microsoft Personal Security Advisor est un outil en ligne qui vérifie la présence des patch de sécurité, la pertinence de mot de passe, la configuration sécurité dans Internet Explorer et Outlook Express, et les options de sécurité de Microsoft Office. US mais recommandé.

Tester la sécurité

Ø Pour tester les trous laissés par le firewall : http://grc.com rubrique
> "Shields up"

Ne teste pas gd-ch, juste qq ports

> et aussi http://www.dslreports.com/scan
Pas bcp mieux en standard, déjà plus complet après enregistrement

Un excellent test par le plus performant des scanners, Nessus
https://secure1.securityspace.com/smysecure/login.html
Après t'être enregistré gratuitement, No Risk audit
Teste plus de 1500 ports pour plus de 850 vulnérabilité

Prend plusieurs heures et te fournit des tips pour paramétrer ton FW dans le
rapport que tu peux ensuite consulter on line.

Ouvrir un port sous XP

Dans les proprièté de la connection, il y a un onglet "avancé"... il faut
cliquer sur "Parametre" puis créer une nouvelle ouverture en suivant les
indications... ( le nom que tu donne à l'ouverture, on s'en fout, ce qui
compte c'est le numèro du port )

Le parefeu XP ne s'active pas

Vérifie que le service "Parefeu pour connexion.." est bien configuré sur
Automatique dans Services des outils système.

Sécurité Internet sous Windows

par Oxydius

16 Août 2001

Introduction

Avec l’avènement des accès haute-vitesse connectés en permanence et avec la multiplication fulgurante des réseaux locaux à domicile, la sécurité sur Internet devient plus importante que jamais. On sait bien que Windows est un des systèmes d’exploitation les moins sécuritaires à ce jour, mais on est souvent loin de se douter que notre disque dur est disponible sur l’Internet et partagé avec le monde entier. Effrayant, n’est-ce pas? Impossible, vous dites?

Cet article s’adresse à tous les utilisateurs de Windows pour qui la sécurité est importante et qui ne savent pas trop comment l’améliorer et la vérifier, en particulier ceux qui font usage du système de partage de fichiers intégré dans Windows. Il couvre les services NetBIOS, les partages de réseau, l’isolation de services et la spécification de protocoles, ainsi que les solutions de firewalls. Étant donné la gestion améliorée de ces services dans les versions NT de Windows, cet article est spécifique à Windows 9x. Poursuivez votre lecture, il se pourrait que vous ayez plusieurs surprises en découvrant la faiblesse de votre sécurité. Dans le meilleur des cas, vous ne pourrez que la renforcer!

Les Failles

Les failles

Sans que vous soyez au courant, Windows peut révéler à n’importe qui votre nom et vos informations d’utilisateur et de groupe de travail. Il suffit de connaître votre adresse IP sur Internet. Le serveur NetBIOS lié au protocole TCP/IP répond à toutes les demandes sur le port 137 en retournant les informations nécessaires à la connexion à votre serveur de partages sur le port 139.

C’est ainsi que ce site (GRC.COM) peut afficher mon nom dans l’image ci-dessous.

C’est encore ainsi que n’importe qui peut avoir accès complet à mes fichiers personnels qui étaient supposés être partagés uniquement sur mon réseau local (24.226.205.5 dans l'explorateur Windows).

On s’aperçoit que Microsoft n’a pas travaillé très fort sur la sécurité. En toute honnêteté, qui voudrait partager ses fichiers sur un réseau local et sur l’Internet par le même protocole TCP/IP? Maintenant que vous connaissez les implications de ces failles, je vais vous expliquer comment savoir si elles sont présentes sur votre ordinateur. Certains fournisseurs d’accès bloqueront les port 137 et 139, conscients de l’inutilité et du danger de permettre à n’importe qui de se connecter aux services NetBIOS par l’Internet. Toutefois, plusieurs fournisseurs, comme le mien d’ailleurs, ne s’en soucient pas le moins du monde, ou ne sont peut-être même pas au courant de ce problème. Ils vous faut donc régler le problème vous-mêmes.

Sur le site présenté au début de cette page, GRC.com, vous pouvez obtenir une analyse de la sécurité de votre ordinateur. Le service «Shields UP!» vous permet de savoir si votre port 139 accepte les connexions, est désactivé ou encore ne répond pas du tout. Il vous permet même d’avoir un aperçu de la gravité de la faille NetBIOS et encore de connaître le statut de tous les ports les plus fréquemment utilisés sur un serveur Internet, en l’occurrence les protocoles les plus populaires : FTP(21), Telnet(23), SMTP(25), Finger(79), HTTP(80), POP3(110), IDENT(113), NetBIOS(139), IMAP(143), HTTPS(443).

Dans mon cas, le test du «bouclier» (Test My Shields!) révèle que mes informations de réseau sont visibles pour tout le monde qui les demandent gentiment en cognant au port 137…

Mon port 139 se révèle aussi être ouvert, accueillant chaleureusement toutes demandes de connexion venant de parfaits inconnus. Il fait même preuve d’une grande générosité en mettant à leur disposition tous mes fichiers si j’ai oublié de mettre un mot de passe dans les options de partage. Si en plus j’ai donné l’accès complet, le serveur NetBIOS fait même assez confiance à n’importe qui pour supprimer tous mes fichiers, ou bien encore en envoyer. J’espère ne pas vous donner de mauvaises idées de coups à faire, mais il est possible d’envoyer un virus ou un trojan dans le dossier Démarrage du Menu Démarrer. Une façon astucieuse d’exécuter n’importe quel fichier au redémarrage de la victime. Vous comprendrez maintenant le danger principal de la chose, après la sécurité de vos fichiers précieux. Certains utilisateurs font usage de scanneurs qui essaient de situer les machines comportant une telle faille, de façon à installer un trojan pour exploiter leur machine et leur connexion Internet. Dire que mon système a été vulnérable par cette faille pendant plus d’un an! Je me considère extrêmement chanceux.

Plusieurs méthodes existent pour éliminer ce problème. Nous cherchons des solutions qui permettrons d’utiliser le partage de Windows tout en isolant ces services de l’Internet. Je vais donc vous en proposer quelques unes dans les pages qui suivent.

L’isolation des services et protocoles

Le protocole utilisé dans le cas de cette faille est bien entendu TCP/IP. C’est lui qui permet l’accès par Internet aux services de partage. Avant de se lancer dans des solutions externes comme des firewalls, je vais vous faire part de la première méthode de configuration alternative de votre réseau.

Il suffit en fait de détacher les services NetBIOS du protocole TCP/IP, c’est à dire d’utiliser un autre protocole. Deux options s’offrent à nous, soit NetBEUI et IPX/SPX. Étant donné que nous sommes tous des joueurs (n’est-ce pas?), il est préférable d’utiliser le protocole IPX, puisqu’il sert en même temps à plusieurs jeux utilisant ce protocole pour des parties multijoueurs locales. Les deux protocoles ont une performance assez identique, vous ne devriez donc pas remarquer de différence de performance de toute façon. Le protocole IPX a déjà fait ses preuves sur plusieurs réseaux Netware et en tant que lien rapide pour des parties réseaux.

Au départ, vous devez comprendre que lorsqu’un service est ajouté dans la configuration réseau, il crée des liens avec tous les protocoles présents sur la machine. Si vous n’avez que le TCP/IP, votre service de partage l’utilisera comme transport. Il faut donc premièrement installer un deuxième protocole. Pour ce faire, ouvrez la configuration réseau dans le panneau de configuration et suivez les instructions des graphiques ci-dessous.

Vous devriez au préalable avoir une configuration semblable à ceci.

Il vous faut ensuite ajouter le protocole IPX en suivant les instructions ci-dessus.

Lorsque le protocole IPX apparaît dans la liste, ouvrez ses propriétés et activez NetBIOS sur IPX. Ce protocole n’étant pas obligatoirement utilisé pour les services NetBIOS, il est nécessaire d’ajouter l’extension NetBIOS manuellement.

Vous obtiendrez alors ce nouveau composant dans la liste, signifiant que NetBIOS pourra fonctionner avec IPX.

Une fois le protocole IPX fonctionnel, Windows aura créé des liens entre tous les protocoles et services. Il ne reste plus qu’à isoler le service de partage du protocole TCP/IP. Pour ce faire, ouvrez ses propriétés et sous l’onglet Liens, décochez tous les services. Lorsque Windows vous demandera si vous souhaitez lier le protocole à un autre pilote, sélectionnez non. Cette étape est normale, il ne doit plus y avoir aucun lien.

La dernière étape, qui devrait normalement être effectuée automatiquement, est de vérifier l’onglet NetBIOS des propriétés TCP/IP. L’option ne devrait pas être cochée, le serveur NetBIOS sur TCP/IP doit être désactivé. Vous pouvez maintenant appuyer sur OK, attendre la fin de l’installation, et redémarrer votre système.

Le problème est maintenant réglé, le partage isolé sur un protocole non-routable, donc complètement isolé de l’Internet et de tout ce qui touche le protocole TCP/IP. Vos partages fonctionneront parfaitement, et les ports 137 et 139 seront détectés comme «fermés» par Shields UP!

Malgré cette situation très efficace, il demeure des occasions où il serait souhaitable ou même obligatoire de conserver les services de partages liés au protocole TCP/IP. De tels cas incluent des environnements de grande envergure pré-configurés pour utiliser ce protocole, ou encore une configuration de plusieurs systèmes d’exploitation qui doivent utiliser le protocole TCP/IP comme langue universelle pour partager des ressources. On note d’ailleurs les serveurs SAMBA sous UNIX qui fonctionnent beaucoup plus simplement avec TCP/IP, ou encore les serveurs NT/2000 qui éprouvent de grands délais lors de l’utilisation d’IPX, puisque le TCP/IP est utilisé par défaut et le deuxième protocole est utilisé lorsque le premier ne réussit pas à établir de connexions.

Pour tous ces cas, il existe d’autres solutions!

Firewalls

Il existe d’innombrables solutions et logiciels pour résoudre ce problème, mais une seule m’a frappée, autant par sa performance et sa fonctionnalité, que par le fait étonnant que ce logiciel répandu est aussi distribué gratuitement. Oui, je parles de la création de Zone Labs, le populaire Zone Alarm. Ce dernier est disponible depuis déjà près de 2 ans et est recommandé par plusieurs sites spécialisés sur le sujet. Il permet de contrôler l’accès à l’Internet de façon individuelle pour chaque programme installé sur votre ordinateur. Ses multiples options de sécurité permettent également de combler les failles dans Windows, notamment comme le partage de fichiers qui fait principalement l’objet de cet article. Simple à configurer, vous aurez une sécurité optimale à la première installation. Vous serez au courant de toutes les connexions établies par les programmes en fonction. Une fois plus confortable avec son fonctionnement, il vous sera possible d’assouplir les paramètres de Zone Alarm pour un fonctionnement plus transparent, qui vous assurera la meilleure sécurité pour vos besoins sans pour autant vous avertir à chaque nouveau programme que vous installez, ou bien ouvrir une boîte de confirmation de connexion lorsque vous lancez un jeu sur Internet. Personnellement, je configure Zone Alarm pour laisser tous les programmes établir des connexions par défaut, et je ne bloque que certains ports comme les ports 137-139 et certains ports que je souhaite réserver à mon réseau local, comme par exemple un serveur web local. C’est la configuration que je considère optimale et Zone Alarm ne pourrait faire mieux!

Pour une solution de plus grande envergure, lorsqu’un réseau entier est connecté à l’Internet et qu’un partage de connexion est utilisé, une solution de passerelle (gateway) est toutefois préférable. Sans trop venir dans les détails, je ne peux que faire une recommandation à tous ceux qui disposent d’un PC inutilisé, comme par exemple un vieux Pentium, et qui voudraient l’utiliser comme firewall et passerelle de partage Internet. Le logiciel ClarkConnect basé sur RedHat Linux est sans aucune hésitation l’un des meilleurs disponibles. Très sécuritaire et performant, il vous permettra d’isoler toutes les failles de vos systèmes Windows sans aucune modification. Un article futur couvrira de telles solutions alors que leur popularité augmente avec la croissance des connexions haute vitesse et la désuétude des systèmes informatiques.

Comme dernière anecdote personnelle, la sécurité et la connexion de mon réseau local est assurée par ClarkConnect, installée sur un Pentium 133 avec 48 Mo de RAM et un disque de 1Go, qui a depuis éliminé le besoin de Zone Alarm.

Une fois que vous aurez choisi une méthode pour sécuriser votre système, il est temps de s’en assurer en procédant au test de sécurité comme au début de cet article!

Le test de sécurité

Le site GRC.COM est parfait pour le test de la sécurité du système de partages. Son service Shields UP!. En cliquant le lien «Shields UP!», vous arriverez sur le site en question, et le premier paragraphe débutera par «Greetings!» si vous avez réussi à sécuriser votre système. Le bouton «Test My Shields» vous donnera un rapide aperçu de votre sécurité. Pour confirmer le tout par la suite, la section «Probe My Ports» vérifiera tous vos ports et le port 139 devra être fermé ou devra ne pas répondre du tout. Par exemple, sur mon système :

Si vous avez bien appliqué une des méthodes de cet article, tout devrait être en ordre. Félicitations! Votre système est sécuritaire et plus aucune information ni aucun fichier personnel ne réussiront plus à s’enfuir grâce à la générosité du service de partage de Microsoft!

Conclusion

Peu importe votre environnement de travail, que ce soit une variante d'UNIX, de Mac ou de Windows, il y a toujours des failles qui pourraient compromettre la sécurité de votre système. Il est important de s'en préoccuper pour ne pas être pris par surprise alors que nous évoluons dans un monde où les réseaux, l’informatique et l’Internet occupent une place de choix.

J’espère que cet article servira à plusieurs d’entre vous pour éviter de donner un accès public à votre ordinateur à n’importe qui pouvant être mal intentionné! Votre ordinateur n’est jamais assez sécuritaire et les problèmes n’arrivent pas qu’aux autres, malheureusement! :)

Liens utiles :

GRC.COM
Shields UP!
ZoneLabs
ClarkConnect

Gel de Windows XP à cause de True Vector Engine.

Désinstaller ZONE ALARM

Doc FIREWALL KERIO

Règles KPF : http://websec.arcady.fr/kerioPF.htm par JacK. Bien mettre les règles supplémentaires pour LAN.

http://www.optimix.be.tf/ explication des règles de paramétrage par Jack.

Alg.exe et Fxsvc.exe

Le programme alg.exe c'est celui qui gère le partage de ta connexion
Internet, alors c'est normal que celui-ci accède au firewall.
Quand au programme Fxssvc.exe, c'est le service de télécopie (fax)

Les ports

ICF installé et contrôlé sur plusieurs sites = tout est ok
Suivant la FAQ de Doc'XP j'ai créé la règle "Mirc ident" sur le port 113 ..
ça roule !
Sur les serveurs IRC, l'ordinateur est reconnu : host+IP .. donc tout est OK

Voici ce qui caracterise le DCC
By default, mIRC uses random ports in the 1024-5000 range
for DCC, but you can constrain that to something like 1024-
1034 in the DCC options, and open up those same ports in
the firewall.Ceci s'applique au mirc de base tout script
aditionnel peut modifier la valeur de ces ports.
Je t'invite donc à utiliser un firewall si tu veux
réellement réguler tes fluxs.
Jette un oeil sur http://www.firewall-net.com/ qui passe
en revue quelques firewall

Pour MIRC, il te faut ouvrir IN les ports 1024 à 5000.
Je crois que le FW natif ne te permet pas de définir une range de ports.

Using MiRC with Firewalls

Firewalls are great for keeping unwanted "guests" from accessing your computer but they can get in the way of legitimate connections.

In general, if you want to use mIRCs Ident Server, DCCServer, and DCC Chat and Send features you must open up the ports these features use in your firewall.

By default the Ident Server uses port 113. DCCServer uses 59, and DCC Chat and Send use ports 1024-5000.

The Ident Server port can be changed via File/Options/Identd. The DCCServer port is at File/Options/DCC/Server. The DCC Chat and Send ports are at File/Options/DCC/Options in the DCC Ports: box.

New IRC users are often confused about DCC Chat and Send. They tend to think that if they are initiating the Chat or Send then they are making an outgoing connection so they don't have to worry about a firewall. However, DCC Chat and Send don't work that way. Instead they cause mIRC (and all other IRC clients) to create a "Listening" socket on their computer. mIRC then sends the DCC Chat or Send request to the remote user in a CTCP packet. The packet includes the users IP address and the Listening socket port number. The remote user is the one that acutally makes an outgoing connection to the listening socket.

BlackICE Defender

BlackICE Defender is a firewall by NetworkICE. It is not free.

BlackICE leaves port 113 open by default.

Protection level Cautious closes port 59 (DCCServer) but leaves ports 1024-5000 (DCC Chat and Send) open. Protection levels Nervous and Paranoid block these ports. So, if you want to DCC Chat and Send using the default ports you should use the Cautious level. If you want to use the default DCCServer port (59) you will have to hand edit the firewall.ini file. Locate the section:

[MANUAL TCP low REJECT]

and add a line like:

ACCEPT, 59,dccserver, 1999-07-19 20:50:26, PERPETUAL

By the way, if you want to close port 113 then find a line like:

ACCEPT, 113, identd, 1999-07-19 20:50:26, PERPETUAL

and change it to:

REJECT, 113, identd, 1999-07-19 20:50:26, PERPETUAL

ZoneAlarm

ZoneAlarm is a firewall by Zone Labs. I don't have any information about how to configure ZoneAlarm at this time. I list it here in case you are curious and want to check it out. ZoneAlarm is free. Zone Labs recently came out with ZoneAlarm Pro which is not free.

The interesting thing about ZoneAlarm is that it can block outgoing connections as well as incoming connections. This means that not only do you have to open up the ports that mIRC uses but you must also allow mIRC to make outgoing connection

Using miRc with Wingate

WinGate is a very useful program that enables several networked computers to share one internet connection and one internet account. Unfortunately it can be a bit confusing on how to get certain mIRC features such as identd and dcc chat/send to work with it. This page will explain how to configure mIRC and WinGate so you can use all of mIRCs features.

Before I get into the details I must note that WinGate has gotten a bad reputation on IRC. This is because early versions of WinGate installed with defaults that enabled "hackers" to use them in ways that were not intended. The folks that make WinGate got the message and changed the defaults but not before the IRC community took action. At first scripters (mirc and eggdrop), including me, implemented WinGate checkers that automatically kick and ban unsecured WinGates. The problem got so bad that IRC servers were modified to check for unsecured WinGates when you connect. [If you run a WinGate checker on Undernet I suggest that you reevaluate your need to do so because the Undernet servers are checking Telnet and SOCKS.] You can use mIRC from WinGate as long as WinGate's Telnet and SOCKS Proxy servers are secured. You can verify their security by viewing their Bindings tabs in GateKeeper and ensuring that "Allow connections coming in on any interface" is NOT selected.

The instructions on this page are based on hands-on testing with mIRC version 5.61 and WinGate Standard version 3.0.5. These instructions may or may not work for other versions. Furthermore, these instructions assume you followed the WinGate installation instructions and have TCP/IP and WinGate running.

First, we must define some terms. WinGate can be installed as a server or a client. WinGate should be installed as a server on the computer that has the physical connection (modem, cable modem, etc.) to the internet. I will refer to this computer as the WinGate Server. WinGate should be installed as a client on all other computers on your network that need access to the internet. I will refer to these computers as WinGate Client's. [Note: WinGate is licensed for a certain number of simultaneous connections and enforces the limit. Therefore, if you have say five computers and have only a three computer license then don't expect to run internet applications (including mIRC) on all five at the same time.]

Getting mIRC to work with WinGate varies depending on whether you want to run mIRC on the WinGate Server or on one or more WinGate Clients. I will explain how to do both. If you follow these instructions you will be able to run mIRC on every computer on your network, simultaneously.

Common mIRC Configuration

Parts of mIRC must be configured one way when it is run on a WinGate Server and a different way when it is run on a WinGate Client. Other parts are configured the same way on both. This section describes the mIRC configuration that is common for both WinGate Server and Client.

Tell mIRC how to get your local host IP address. mIRC Options/Connect/Local Info - clear the Local Host and IP Address fields, check the Local Host and IP Address checkboxes, and select the Server Lookup method. This forces mIRC to get your public IP Address (assigned by your ISP when you connected to the internet) as opposed to your private IP Address. This is the IP Address mIRC will use when you do /dcc send or /dcc chat.

mIRC On A WinGate Client

Getting mIRC to run on a WinGate Client is alot easier than getting it to work on a WinGate Server.

Run the WinGate Internet Client application (Start/Settings/Control Panel/WinGate Internet Client). Select the advanced tab. Press the Add button. Type in mirc32.exe, select Global mode, and press the Ok button.

mIRC On A WinGate Server

The WinGate Internet Client really makes using mIRC a breeze but unfortunately you can't run the WinGate Internet Client on the WinGate Server. All internet applications running on the WinGate Server, including mIRC, must be configured to use SOCKS or various WinGate proxies.

To be able to connect to any IRC server AND use DCC Send and DCC Chat:

mIRC Options/Connect/Firewall, check Use SOCKS firewall, select Socks 5, set Hostname to "localhost", set Port to 1080, check Initiate DCCs through firewall.

To get mIRCs identd server to work: (This setup will cause WinGate to listen for ident requests on port 113 and relay them to mIRC on port 8113):

mIRC Options/Connect/Idend, check Enable Identd server, enter your User ID, set System to UNIX, set Port to 8113.

Add a reverse TCP mapping service to WinGate: WinGate GateKeeper, press Services tab. Right click in Services window, select New service, TCP Mapping Service. General tab: set Service Name: to "mIRC Identd Server". In the Connections to service box check the Accept connections on port checkbox and enter 113 in the editbox. In the Default Mapping box check the Enable default mapping to checkbox, enter "localhost" in the Server editbox, and 8113 in the on port editbox. Select the Bindings tab and select Allow connections coming in on any interface. GateKeeper will display a warning, just accept it.

To get mIRCs DCC Server to work:

mIRC Options/DCC/Server, check Enable DCC Server, set Listen on Port: to 8059, check the Listen for: check boxes that you want.

Add a reverse TCP mapping service to WinGate: WinGate GateKeeper, press Services tab. Right click in Services window, select New service, TCP Mapping Service. General tab: set Service Name: to "mIRC DCC Server". In the Connections to service box check the Accept connections on port checkbox and enter 59 in the editbox. In the Default Mapping box check the Enable default mapping to checkbox, enter "localhost" in the Server editbox, and 8059 in the on port editbox. Select the Bindings tab and select Allow connections coming in on any interface. GateKeeper will display a warning, just accept it.

Running Multiple mIRCs on a WinGate Network

Yep, it can be done. I've successfully use DCC Chat, DCC Send, fserve, etc. between several mIRCs on my WinGate network but here are some pointers.

Only one mIRC can run its identd server. The ident service can only use port 113 and only one application can listen on a given port in a WinGate network. Set up one mIRC to run its identd and set all of the others not to.
Similar to mIRCs identd server is its DCC Server. Fortunately however the DCC Server port is configurable. The default port is 59. I recommend you use the 59/8059 combination on the mIRC that runs on the WinGate Server and use other port numbers on the mIRCs that run on the WinGate Clients. These other port numbers must be unique, for example: 60 on one, 61 on the second, 62 on the third, etc. One word of note... when you tell someone to connect to your DCC Server they will by default try to connect to port 59. I recommend you use mIRCs $dccport identifier when you tell someone to connect to your DCC Server when you are running mIRC on a WinGate Client. Reserve port 59 for the mIRC running on the WinGate Server because its $dccport will return 8059 which remote clients will not be able to connect to.

Où trouver des explications pour la configuration des firewalls 09/05/02

Tu trouveras sur www.optimix.be.tf les explications complètes en Fr pour paramétrer KPF et d'autres logiciels de sécurité.

et sur www.websecurite.net les explications pour installer et paramétrer Outpost et KPF.Des explications également sur la FAQ d'Alain Vouillon.

Procédure anti-virus 10/05/02

Ce n'est pas parce que tu formates que le virus est out.... le format ne fait que reconstruire la
MBR, les FAT et le directory... de plus, les softs que tu réinstalles sont
eux mêmes vecteurs de virus... winamp peut-être lui-même...Un virus dans le secteur de boot n'est pas éradiqué par le formatage.

vérifie sur un site comme celui-ci :
http://soswindowsfr.free.fr/olivier/index.htm rubrique sécurité pour tester
ta machine en direct si tu n'as pas d'anti-virus dont tu es certain qu'il
est clean lui aussi.

Règles de KPF 10/05/02

http://www.tpffaq.com/cgi-bin/faqmanager.cgi?file=genrules&toc=faq#q1

GENERAL RULE SETS

Back to History and Updates
Forward to RULE CREATION FOR APPLICATIONS

1. What are some basic set of rules for kPF?

loopback rule isn't needed anymore unless you use apps that use loopback

check answer #19 for more info loopback info

(Notify) means => Display alert box (checkbox).

(Logged) means => Log when this tule match (checkbox).

Notes:

Rule 1 is your NetBIOS blocks. Enter them as displayed. Even if you have removed NetBIOS from your Network applet, these will serve to "Notify" you of any attempts. (Of course, this assumes you are NOT legitimately using NetBIOS on your system.)

Rule 2 - 4 allow any application to connect to your Domain Name Servers. If your ISP uses 4 different servers, yours may add and use more or less.

Rule 5 - 7 are the balance of the ICMP rules.

Rule 8 loopback rule to 127.0.0.1 (your computer) for Internet Explorer's cache.

Rule 9 - 10 are the "application specific" rules. only Internet Explorer and Outlook Express are given as examples

In general, you'll write one or two rules for each application that you want to access the internet.

for some common applications rules check here

Rule 11 is the "Block Everything" rule. Enter it as shown but don't enable it until all of the "kinks" are out of your ruleset. Let the Rule Assistant (ask for action when no rule is found) work for you to show you where problems are occurring.

RULE 1:

Description: Block Inbound/outbound NetBIOS TCP UDP (Notify)

Protocol: TCP and UDP

Direction: Incoming/outgoing

Port type: Port/Range

First Port: 137

Last Port: 139

Local App.: Any

Remote Address Type: Any

Port type: port/range

First Port: 137

Last Port: 139

Action DENY

= = = = = = = = = = = = = = = =

RULE 2:

Description: ISP Domain Name Server Any App UDP

Protocol: UDP

Direction: Both

Local Port: Any

Local App.: Any

Remote Address Type: Single

Host address: (Your ISP DNS) IP number

Port type: Single

Port number: 53

Action PERMIT

= = = = = = = = = = = = = = = =

Rule 3:

Dsecription: Secondary DNS ISP address

Protocol: UDP

Direction: Both

Local Port: Any

Local App.: Any

Remote Address Type: Single

Host address: (secondary ISP DNS) IP number

Port type: Single

Port number: 53

Action PERMIT

= = = = = = = = = = = = = = = =

Rule 4:

Description: Other DNS

Protocol: TCP and UDP

Direction: Both

Local Port: Any

Local App.: Any

Remote Address Type: Any

Port type: Single

Port number: 53

Action DENY

= = = = = = = = = = = = = = = =

RULE 5:

Description: Out Needed To Ping And TraceRoute Others

Protocol: ICMP

Direction: Outgoing

ICMP Type: Echo Request

Remote Endpoint: Any

Action PERMIT

= = = = = = = = = = = = = = = =

RULE 6:

Description: In Needed To Ping And TraceRoute Others

Protocol: ICMP

Direction: Incoming

ICMP Type: Echo Reply, Destination Unreachable, Time

Exceeded

Remote Endpoint: Any

Action PERMIT

= = = = = = = = = = = = = = = =

RULE 7:

Description: Block ICMP (Logged)

Protocol: ICMP

Direction: Both

ICMP Type: Select All

Remote Endpoint: Any

Action: DENY

= = = = = = = = = = = = = = = =

RULE 8:

Description: IE Cache

Protocol: UDP

Direction: Outgoing

Port type: Any

Local App: Only selected below => iexplore.exe

Remote Address Type: Single address => 127.0.0.1

Port type: Any

Action PERMIT

= = = = = = = = = = = = = = = =

RULE 9:

Description: Internet Explorer-Web browsing

Protocol: TCP

Direction: Outgoing

Port type: Any

Local App.: Only selected below => iexplore.exe

Remote Address Type: Any

Port type: List of ports

List of ports: 80,8080,3128,443,20,21

Action PERMIT

= = = = = = = = = = = = = = = =

RULE 10:

Description: Outlook Express

Protocol: TCP

Direction: Outgoing

Port type: Any

Local App.: Only selected below => msimn.exe

Remote Address Type: Any

Port type: List of ports

List of ports: 25,110,119,143

Action PERMIT

= = = = = = = = = = = = = = = =

RULE 11:

Description: Block Incoming/Outbound Unauthorized Apps(Notify)

Protocol: Any

Direction: Incoming/Outgoing

Port type: Any

Local App.: Any

Remote Address Type: Any

Port type: Any

Action DENY

If you are on a LAN you might need to allow NetBIOS to and from computers on your LAN. You should insert two rules before rule 1:

RULE a:

Description: Trusted Inbound NetBIOS TCP UDP

Protocol: TCP and UDP

Direction: Incoming

Port type: Port/Range

First Port: 137

Last Port: 139

Local App.: Any

Remote Address Type: Trusted Address Group

Port type: Any

Action PERMIT

= = = = = = = = = = = = = = = =

RULE b:

Description: Trusted Outbound NetBIOS TCP UDP

Protocol: TCP and UDP

Direction: Outgoing

Local Port: Any

Local App.: Any

Remote Address Type: Trusted Address Group

Port type: Port/Range

First Port: 137

Last Port: 139

Action PERMIT

= = = = = = = = = = = = = = = =

And you should enter your local IP addresses in the Trusted Address Group list.

***thanks to Pete Repete for updating the rule list***

[ Contents | Top ]

2. ICMP router solicitation to 224.0.0.2?

The ICMP router discovery messages are called "Router Advertisements" and "Router Solicitations". Each router periodically multicasts a Router Advertisement from each of its multicast interfaces, announcing the IP address(es) of that interface. Hosts discover the addresses of their neighboring routers simply by listening for advertisements. When a host attached to a multicast link starts up, it may multicast a Router Solicitation to ask for immediate advertisements, rather than waiting for the next periodic ones to arrive; if (and only if) no advertisements are forthcoming, the host may retransmit the solicitation a small number of times, but then must desist from sending any more solicitations. Any routers that subsequently start up, or that were not discovered because of packet loss or temporary link partitioning, are eventually discovered by reception of their periodic (unsolicited) advertisements. So don't worry to permit this. source: Tomas Soukup

[ Contents | Top ]

3. How do I backup the rules?

persfw.conf - contains rules stat.conf - status window settings persfw.key is not needed (will be renewed if its missing) If you also want to backup log, you will need filter.log.idx and filter.log files (both!). source: Tomas Soukup

[ Contents | Top ]

4. How do I get the time intervals to work?

Open Administration.

Click Advanced.

Select a rule and click Edit.

There HAS to be a list box titled "Rule valid" which is set to "Always"

initially. It's near the bottom of this dialog box, over the "Action" group

box and the Log/Alert checkboxes you already described.

Just change it from "Always" to "In this interval only."

source: baley

[ Contents | Top ]

5. Does the placement of a rule ahead of another rule gives it priority over the second?

Yes, Tiny tests each request for connection against the rules from the top down until it finds one that matches. No further rules are checked.

[ Contents | Top ]

6. What are the Hotmail servers?

64.4.52.7 64.4.53.7 64.4.54.7 64.4.43.7 64.4.44.7 64.4.45.7

[ Contents | Top ]

7. How do I move rules up and down?

You can move rules by using the arrows at the rigth side of the rules screen. You can also "insert" rules above the selected one by selecting "insert" button.

[ Contents | Top ]

8. What does the "network mask" do?

The network mask is basically a way for you to allow/or deny multiple ip's without having to specify each of them.

The way it works (to my knowledge) is like this:

Say you wanted a rule that would allow any IP that started with 111.222.111.xxx

What you would do would be to create a rule allowing 111.222.111.0 and a netmask of 255.255.255.0

Now when you get an IP you want to test to see if it matches your rule, you take this IP and do a binary AND of it against the netmask. You then compare this value to the IP in the rule (111.222.111.0). If it's a

match then the rule matches.

An example:

a) The Rule's IP: 111.222.111.0

b)The Rule's Netmask: 255.255.255.0

c) The IP to be tested: 111.222.111.5

First c) is ANDed with b):

111.222.111.5 AND 255.255.255.0

which means: (111 AND 255).(222 AND 255).(111 AND 255).(5 AND 0) (AND is a bitwise and operation. Look up boolean algebra if you're not familiar with it)

The result is: 111.222.111.0

which is compared with a) and so it matches.

If you're not familiar with binary/boolean algebra then this might sound like double dutch I understand ;)

source: Rukh

[ Contents | Top ]

9. Rules for DHCP

All you need is two or three rules depending on you, since I have a

hardware router some of this rule might sound odd for you. First

find out your DHCP server. In Windows 9x/ME, Start-->Run-->type

in "winipcfg /all" (without quotations). In Windows 2000, Start--

>Programs-->Accessories-->Command Prompt--type in "ipconfig /all"

(without quotations).

Rule #1:

Description: DHCP In/Out

Protocol: UDP

Direction: Both

Local End Port:68

Application: ANY (or your DHCP program)

Remote End Port: 67

Remote Address: DHCP Server IP

Rule Valid: Always

Action: Permit

Logging: None

Rule #2:

Description: DHCP

Protocol: UDP

Direction: Outgoing

Local End Port:68

Application: ANY (or your DHCP program)

Remote End Port: 67

Remote Address: 255.255.255.255

Rule Valid: Always

Action: Permit

Logging: None

After this try to release and renew your IP with Rule Learning thing on just to make sure the rules work.

source: zyklon

note on some servers it won't let you insert the DHCP sever ip address

"It was not possible to insert my DHCP server's IP address for a destination. My workstation does a broadcast to 255.255.255.255:67 so a rule for a specific address was being cuaght by one of the trojan rules. :)

The rule should be any address, port 67."

source: Scott Tyson

[ Contents | Top ]

10. How to block x10 popup windows?

Place this rule physically before any rule that allows your browser to access any unlisted website. I list all of my block rules well ahead of my permit rules. This way Tiny Personal Firewall will

only pass the sites that are not previously blocked.

Protocol: TCP

Direction: Both

Local Port: Any Port

Application: (your browser's location and filename)

Remote Endpoint:

Address Type: Network/Range

First Address: 64.85.92.0

Last Address: 64.85.92.63

Port Type: Single

Port Number: 80

Rule Valid: Always

Action: DENY

Logging: Check both boxes if you want to see how many ads this is

going to block. Check the "Log when this rule is matched" box to

only read about the blocked ads in your firewall log. After a while

you will probably want to uncheck the box to popup an alert, cause

they will drive you nuttier than the ads they are blocking!

Lastly, you might consider creating this rule as the last rule in

your ruleset:

Permit all TCP and UDP, in both directions, on all endpoint ports,

for your browser(s), with logging checked (but not the popup alert).

This will create a running log of ALL IPs that are called from your

browser as it loads various websites. Clear the log every day after

you read it, making notes of the IPs of know ad servers. That is how

I found the IPs for X10, along with the help of a Whois

source: Bob "Wiz" Feinberg

[ Contents | Top ]

11. how to set up EnterNet 300

Description: EnterNet 300

Protocol: UDP

Direction: Both

Port type: Single

Port number: 68

Local App.: enternet.exe

Remote Address Type: Single

Host address: 1.1.1.1

Port type: Single

Port number: 67

Action PERMIT

Description: EnterNet 300

Protocol: UDP

Direction: Outgoing

Port type: Port/Range

First Port: 1024

Last Port: 4999

Local App.: enternet.exe

Remote Address Type: Single

Host address: 10.0.0.1

Port type: Single

Port number: 7

Action PERMIT

Description: EnterNet 300

Protocol: UDP

Direction: Outgoing

Port type: Single

Port number: 68

Local App.: enternet.exe

Remote Address Type: Single

Host address: 255.255.255.255

Port type: Single

Port number: 67

Action PERMIT

source: Bill

[ Contents | Top ]

12. Is there a way to filter out specific IP addresses  WITHOUT dening the entire program (netmeeting, for example)to be allowed to run?

TPF uses a rule list which is examined from the top down to the bottom. by creating a rule "deny" above your existing "allow all" rule, you can do any or all of the following

* Block a single address (or range of addresses) from connecting to a named

program

* Block a single address (or range of addresses) from connecting to a

numbered port

* Block a single address (or range of addresses) from connecting at all

This sounds complex, but really isn't.

if you go to your rule list by

1. double-clicking the system tray icon (in the bottom left of the screen)

2. clicking the "advanced" button

you can modify your existing "allow all" rule into a "deny only what I want

to deny" rule. this is the easiest method, as TPF will prompt you to create

another rule for that program when you next use it.

so - locate the rule for that package (netmeeting in this case) and double

click it.

from the top.

"Description" is a short text description of the rule - it defaults to the

name of the program, but you can edit it to make more sense for your new

rule. Try changing the text to "Netmeeting - deny those I wish to block out"

"Protocol" is the protocol for the rule. this is probably currently "TCP".

change this to "TCP and UDP" with the pulldown arrow

"Direction" determines if this applies to the program calling out, other

machines calling in, or both. change it to "both directions"

"local endpoint" this is the port number that the program will use on your

machine. set it to "Any Port"

"Application" This should already be completed to point to Netmeeting -

leave it alone for now. if you wanted to block the users totally from your

machine (instead of just from Netmeeting) you would change this to "any"

Remote Endpoint:

This comes in two flavours - Address and Port

"Remote Endpoint (Address)" - You should change this to either "single

address" (if you are blocking a single IP address) or Network Range (if you

want to block a entire section of IP addresses) A box will appear below this

selector to either type the IP address (do *not* type any leading zeros on

the numbers - so an ip address of 122.054.231.045 should be typed as

122.54.231.45 - there is a good reason for this but nothing you really

should care about) or two boxes for start/stop IP addresses (if you go for

range)

"Remote Endpoint (port)" leave set to "any"

"Rule Valid" lets you set times for the rule to be in action. just leave at

"always" for now

"Action" set to Deny - this changes the rule from "allow this to happen" to

"block this from happening"

Checkboxes - Logging will write a line to a special file whenever this rule

is triggered. Alert will pop a box to the screen when the rule is triggered.

check the box opposite the description if you want either (or both) of these

things to happen, otherwise leave them blank

ok, now hit "ok". you should now have a rule that blocks an IP or block of

IPs from connecting to or being connected to by the program netmeeting.

remember, the highest rule on the list that CAN apply will be used to allow

or deny the connection - you can move the rules up and down so they are in

the order you want them, but you must when planning your rules think from

the top of the list down - if you Deny something that is already permitted

by an earlier rule, your deny will never be used.

source: David Howe

[ Contents | Top ]

13. What do the different terms mean(Description, Protocol, Remote Endpoint, Rule Valid and so on) in the popup window when creating a rule for kerio firewall

"Description" is a short text description of the rule - it defaults to the name of the program, but you can edit it to make more sense for your new rule.

"Protocol" is the protocol for the rule.

change this to "TCP and UDP" with the pulldown arrow

"Direction" determines if this applies to the program calling out, other machines calling in, or both.

"local endpoint" this is the port number that the program will use on your

machine.

"Application" This should already be completed to point to "the name of application" - leave it alone for now. if you wanted to block the users totally from your machine (instead of just from "name of application") you would change this to "any"

Remote Endpoint:

This comes in two flavours - Address and Port

"Remote Endpoint (Address)" - You should change this to either "single

address" (if you are blocking a single IP address) or Network Range (if you

want to block a entire section of IP addresses) A box will appear below this

selector to either type the IP address (do *not* type any leading zeros on

the numbers - so an ip address of 122.054.231.045 should be typed as

122.54.231.45 - there is a good reason for this but nothing you really

should care about) or two boxes for start/stop IP addresses (if you go for

range)

"Remote Endpoint (port)" leave set to "any"

"Rule Valid" lets you set times for the rule to be in action. just leave at

"always" for now

"Action" set to Deny - this changes the rule from "allow this to happen" to

"block this from happening"

Checkboxes - Logging will write a line to a special file whenever this rule

is triggered. Alert will pop a box to the screen when the rule is triggered.

check the box opposite the description if you want either (or both) of these

things to happen, otherwise leave them blank

remember, the highest rule on the list that CAN apply will be used to allow

or deny the connection - you can move the rules up and down so they are in

the order you want them, but you must when planning your rules think from

the top of the list down - if you Deny something that is already permitted

by an earlier rule, your deny will never be used.

source: David Howe

[ Contents | Top ]

14. Are there any rules that will lock my computer at night if I leave my connection on all the time?

Here's a simple tip that will lock down your computer at night if you

leave your connection on all the time.

Description: Block All 12am to 7am

Protocol UDP and TCP

Direction: Both

Local Port: Any

Remote Address: Any

Remote Port: Any

Application: Any application

Rule valid: In this interval only

00:00-06:59 (Mon,Tue,Wed,Thu,Fri,Sat,Sun)

Action: DENY

Put this rule at the very top of the list and set it to log. I told

you it was simple. :) BTW: If you set the time to 07:00, it won't

unblock until 07:01.

source: diskydo

[ Contents | Top ]

15. Is there a way to export my rules to a file and then import them on another computer?

Yep just copy persfw.conf and you've got the rules backed up.

Note: Make sure you close TPF before copying fersfw.conf back into your TPF directory otherwise Tiny will overwrite the file with what ever rules it currently has loaded into memory.

[ Contents | Top ]

16. How do i convert the rules to text?

The way to convert the firewall rules into a text readable form - requires a

modification to the registry.

Start the registry editor (start)(run) enter "regedit"

Find the following key:

HKEY_LOCAL_MACHINE\Software\Kerio\Personal Firewall

Click on [edit][new]

Choose "DWORD Value"

Enter "EncrDisabled" as the name of the new key

Click on [edit][modify] and enter "1"(hex) as the value

Reboot

(I also opened the rules and save them after this, although I don't believe

that this was necessary)

Anyway, the rules are now un-encrypted and can be read, printed or

extracted.

Plus some other interesting stuff hidden there.

source: Dennis Webber

17. rules for games.yahoo.com

Here are my rules for Yahoo Games:

Rule Description: Yahoo Games 1

Protocol: TCP

Direction: Outgoing

Application: Your broswer

Remote Host: 209.1.225.0/255.255.255.0

Remote Port: 5001

Rule Description: Yahoo Games 2

Protocol: TCP

Direction: Outgoing

Application: Your broswer

Remote Host: 216.115.111.0/255.255.255.0

Remote Port: 11999

18. Is there a way to backup the ruleset(kerio 2.1.0 beta 5 and up)

From the Admin menu, select Miscellaneous, click "save" and set the path to

your floppy drive.

19. What Happened to the Loopback rule In Kerio Firewall?

Kerio users will note that the default loopback rule is missing.

Normally, this won't cause you problems, but, if you use apps that keep asking for loopback,

you can safely add the rule to your set. It's not necessary, or even very desirable,

to make it your topmost rule, though. Put it below your system rules.

Description: Loopback

Protocol: TCP and UDP

Direction: Both

Local Port: Any

Local App.: Any

Remote Address Type: Single

Host address: 127.0.0.1

Port type: Any

Action PERMIT

There is a hardcoded loopback in Kerio: tcp 127.0.0.1 port 44334

Port 44334 is opened for administration and is guarded internally by

admin<->engine communication protocol. Is true that any application can

connect to 127.0.0.1:44334, but such application cannot do more (because

isn't able to bypass internal security applied on port 44334).

20. How do i reset the rules to the default settings?

Delete persfw.conf and KPF will automaticly generate it's 'default'ruleset

RULE CREATION FOR APPLICATIONS

Back to GENERAL RULE SETS
Forward to Logging/Log file

1. How do I sent up MSN messenger with kPF?

UDP (In and Out), Remote port 6901. Address: Any. Local port and address: Any. TCP (Out), Any Port, Any Address (Normally, the remote port has a range (i.e. 1863, and many others, but sometimes too long a list, so I just set to any port and only for trustful address, but you need to monitor what will be the trustful address, for each country you talk to, that will have different address and you might set a rule for trustful at the end of the day). SOURCE: fookong_yap

2. How do I get webwasher or Proxomitron or any other web proxy to work with kPF?

Description: web proxies permit

Protocol: TCP and UDP

Direction: out

Local Port: Any

Local App.: location of ww or prox.

Remote Address Type:

Host address: any

Port type: Any

Action PERMIT

source: updated by Pete Repete

3. What are the rules for windows media player and Proxomitron to work together?

Rule 1 (Allow WMP to Proxomitron)

Protocol : TCP (Out)

local Port : Any

Remote address/Port : 127.0.0.1/8080

Application : WMP

Rule 2

Protocol : TCP (Out)

Local Port : Any

Remote address/port : Any / 1755

Application : WMP

Rule 3

Protocol : UDP (Both direction)

Local Port : 7000, 7001

Remote Address/ Port : Any /Any

I assume that you know how to set the rule to block all application to access Proxomitron After rule 1 and loopback rules.

You may add in more remote port at the rule 2, if needed. You may also restrict rule 3 by adding the remote port no. that your WMP

usually connectting to.

The above is the 3 basic rules that allow your WMP working properly, without bypass your TPF and Proxomitron.

source: fookong_yap

4. Whats a good set of rules for mIRC?

Well you will want one rule for allowing TCP out from mIRC to any server.

If you only ever connect to one server ip then obviously you can limit the

destination address.

You will also probably want to allow identd access.

To do this, make sure that mIRC has it's identd server running (or you

have some other identd server running).

Then for each irc server you connect to add a rule like this:

Allow TCP Incoming from to your local port

113

You can be a little more paranoid if you want and modify that rule

to only allow access (TCP, out) to ports 6667-6669. This range

appears to work well in my limited IRC usage.

The downside is that all outgoing direct connections (chat, file

transfer) will require explicit permission.

Make sure you deny any other identd requests (TCP incoming to port

113). Your catchall deny rule at the end will pick it up if nothing else.

source: yahooid and Rukh

5. Whats a good set of rules for ICQ that don't open all ports?

Description: ICQ

Protocol: UDP

Direction: Both directions

Local endpoint

Port type: Port/Range

First port number: 1024

Last port number: 5000

Application: (to wherever your icq.exe is located)

Remote endpoint

Address type: Network/Range

First address: 205.188.153.0

Last address: 205.188.153.255

Port type: Single port

Port number: 4000

Rule valid: Always

Action: Permit

---------------------Rule End----------------------------

The above rule is to connect to ICQ. The range of 1024-5000 for

local port range can be applied to most rules actually, not just this

one. You can be more strict on the address range, but this will do

for the time being, besides it's not allowing a large address range.

---------------------Rule Start--------------------------

Description: ICQ 2

Protocol: TCP

Direction: Outgoing

Local endpoint

Port type: Port/Range

First port number: 1024

Last port number: 5000

Application: (to wherever your icq.exe is located)

Remote endpoint

Address type: Any address

Port type: Any port

Rule valid: Always

Action: Permit

---------------------Rule End----------------------------

This rule is for file transfers, chat rooms, maybe other things but I

know of at least those two. I looked at limiting the remote port

range but it didn't seem to stay in any kind of predictable range.

For file transfers I had the port number's jump from in the 2000

range to the 20 000 range. Remote address is to whoever you're doing

a file transfer with so limiting it can not really be done.

If you want to try file transfers, chats and whatever else on your

own computer then look here

http://lvgeek.net/features/01/04/28/033232.shtml this will tell you

how you can make it so you can open multiple instances of ICQ. Then

just create yourself a new identity on ICQ and open up two instances

of ICQ and you can test things for yourself.

source: ygfjhg

slightly different ruleset for ICQ2000b v4.65. Amongst other

things it seems to include a different connection port during startup. I

don't know what the latest version is... I don't rely on this software

and so don't update too frequently :)

Here are the rules I'm using, differences highlighted:

---------------------Rule Start--------------------------

Description: ICQ

Protocol: TCP <---

Direction: Outgoing <---

Local endpoint

Port type: Port/Range

First port number: 1024

Last port number: 5000

Application: (to wherever your icq.exe is located)

Remote endpoint

Address type: Network/Mask <---

Network Address: 205.188.0.0 <---

Network Mask: 255.255.0.0 <---

Port type: Single port

Port number: 5190 <---

Rule valid: Always

Action: Permit

---------------------Rule End----------------------------

The netmask was required because I found ICQ connecting outside the

narrower range suggested by jcarm. That entire B block is owned by AOL.

There's also a second version of this rule with network address:

62.12.0.0 and netmask 255.255.0.0. Again this entire block is owned by

AOL and ICQ tries to connect there.

It's possible that these address ranges are too broad, so I'd appreciate

any enlightenment.

Finally I've got a block rule (above both of these) that seems to be the

one that grabs updated ads and graphics during logon:

---------------------Rule Start--------------------------

Description: ICQ

Protocol: TCP

Direction: Outgoing

Local endpoint

Port type: Port/Range

First port number: 1024

Last port number: 5000

Application: (to wherever your icq.exe is located)

Remote endpoint

Address type: Single address

Host Address: 205.188.250.25

Port type: Single port

Port number: 80

Rule valid: Always

Action: Deny

---------------------Rule End----------------------------

I don't have any specific rules for normal use of ICQ: I'm happy for it

to popup connect requests when something unusual happens.

source: HTH

6. rules for netmeeting?

Rule 1 (permit)

Protocol : TCP

Direction : Both

Application : Windows Netmeeting (browse the location)

Local End Port : 1024 - 4998 (range)

Remote address/ Port : Any

Rule 2 (permit)

Protocol : UDP

Direction : Both

Application : Windows Netmeeting

Local End Port : Any

Remote Address /Port : Any address/ 1024, 65534 (list)

Please note that there is no way you can set up a specific remote

address for Netmeeting, because you would not know what will be the

IP address from other party, if the other party is using Dynamic

IP.

You can still put in the Remote address if there is only few person

in your contact list and they are having a fixed IP address. To

simplify it, just add the address in the list of custom address

group

and set the remote adress to custom address group.

You may add in more remote port number, if needed.

source: fookong_yap

7. ruleset for realplayer?

REAL PLAYER

Skip down to the rules, if you don't want to know all of this info.

For Real Player, there are 3 different connections possible with the client.

The Control "Channel" initiates the streaming feed, and also is used by

the transport controls (stop, pause, etc.). This is an outgoing TCP

connection.

The media is piped into a Data "Channel." The preferred protocol is

UDP, but you can specify otherwise in Real's Network options. This is an

incoming connection.

There is also a separate streaming specification for Multicast. It is

also incoming UDP (by default). I have not been able to test this one yet,

so no guarantee as to whether it works.

==================The Rules=======================

The safest way to start is to tell Real Player which ports to stream

on. Open up Real Player, and go to the network options. In there, you can

specify a range of ports for Real to use. Choose a range of 2 or 3 ports

that aren't common (for legitimate or illegitimate services). You'll then

use these ports in your rules. In my setup, I am allowing UDP, since I'm

limiting to a small range of "unused" ports. Okay, here are the rules.

REAL PLAYER CONTROL

Protocol: TCP

Direction: Outgoing

Local Port (list): 80, 554, 7070*

App: Only Real Player

Remote Address: any

Remote Port (list): 80, 554, 7070*

PERMIT

*these ports are just what I've seen from a variety of RealServers.

REAL PLAYER DATA

Protocol: UDP

Direction: Incoming

Local Port (range): xxxx - zzzz**

App: Only Real Player

Remote Address: any

Remote Port: any

PERMIT

**use the ports you specified in Real Player configuration.

REAL PLAYER MULTICAST

Protocol: UDP

Direction: Incoming

Local Port (list): 554, 7070, xxxx, yyyy, zzzz**

App: Only Real Player

Remote Address: any

Remote Port: 554, 7070

PERMIT

this one, again, is untested.

For more information on how it all works, check out Real Networks website.

The Real Server documentation has most of the info for protocols and ports.

Hope this helps, and that it's not too long-winded.

source: Wayne

-----

or another ruleset to use for realplayer provided by Kelemen

This one is simpler to use then the one above

Name: Real Player Rule

Protocol: TCP

Direction: Outgoing

Local end: any port, Certain app/Realplayer

Remote end: any addr, list of port: 80,554,1090,7070

Always, Permit, Don't display, Don't log

In Real: view/prefs/proxy just tag the "use my browsers settings"

8. rule set for windows media player

WINDOWS MEDIA PLAYER

Much simpler than Real Player:

Protocol: UDP/TCP

Direction: Outgoing

Local Port: any port

App: Only Media Player

Remote Address: any

Remote Port (list): 80, 1755, 8080

PERMIT

source: Wayne

9. rule set for audiogalaxy

Description: Audiogalaxy File Sharing Client Protocol:

TCP Direction: Outgoing

Local Port Range: 1024-5000

App: Audiogalaxy

Remote Address: 127.0.0.1

Remote Port: 5000 Permit

---------------------------------------------------------

Description: Audiogalaxy File Sharing Client

Protocol: TCP

Direction: Outgoing

Local Port Range: 1024-5000

App: Audiogalaxy Remote Address Range: 64.245.58.0 - 64.245.59.255

Remote Port List: 21, 41178 Permit & Log

---------------------------------------------------------

Description: Audiogalaxy File Sharing Client Protocol:

TCP Direction: Incoming

Local Port List: 21, 41178

App: Audiogalaxy

Remote Address Range: 64.254.58.0 - 64.254.59.255

Remote Port: Any Permit & Log

---------------------------------------------------------

Description: Audiogalaxy File Sharing Client

Protocol: TCP Direction: Outgoing

Local Port Range: 1024-5000

App: Audiogalaxy Remote Address: Any

Remote Port Range: 41000-41999 Permit & Log

---------------------------------------------------------

Description: Audiogalaxy File Sharing Client

Protocol: TCP

Direction: Incoming

Local Port Range: 41000-41999

App: Audiogalaxy

Remote Address: Any

Port Range: 1024-5000 Permit & Log --------------------------------------------------------

Source: "ygfjhg"

10. Windows xp internet time rule

UDP - Both directions

LOCAL: ANY PORT / ONLY THIS APP: C:\WINNT\SYSTEM32\SVCHOST.EXE

REMOTE: SINGLE ADDRESS: 192.43.244.18 / SINGLE PORT: 123

192.43.244.18 applies to time.nist.gov (Internet time at 'time and date properties')

11. Windows 2K internet time rule

UDP - Both directions

LOCAL: ANY PORT / ONLY THIS APP: C:\WINNT\SYSTEM32\SERVICES.EXE

REMOTE: SINGLE ADDRESS: 192.43.244.18 / SINGLE PORT: 123

192.43.244.18 applies to time.nist.gov (Internet time at 'time and date properties')

12. musiccity's morpheus ruleset

Morpheus HTTP Rule

Protocol: TCP (Out)

Local: any port

Remote: any address:port 80, 81, 82, 83, 443, 1080, 8080, 8088, 11523

Morpheus File Transfer

Protocol: TCP (Out)

Local: any port

Remote: any address: port 1214

13. paltalk ruleset

Incoming or 'listening' ports

TCP 2090 file transfer

UDP 2090 voice stream

TCP 2091 video listening port

UDP 2091 control stream

TCP 2095 file transfer - (older versions)

Outbound ports

TCP 5001-5020 text messaging

TCP 8100-8700 firewall / network mode group voice

UDP 8100-8700 group voice

UDP 1024-2500 voice stream - user configurable

UDP 1024-2500 control stream - user configurable

... so, as a first cut at the rules, I would try...

Allow; TCP and UDP; Both Dir; 2090,2091; "PalTalk.exe" (or whatever the process is called)

Allow; TCP; Outgoing; 5001-5020; "PalTalk.exe"

Allow; TCP; Outgoing; 8100-8700; "PalTalk.exe"

Allow; UDP; Both Dir; 8100-8700; "PalTalk.exe"

Allow; UDP; Both Dir; 1024-2500 (or actual ports you have configured in PalTalk); "PalTalk.exe"

The reason I suggest separate rules for TCP and UDP on ports 8100-8700 is to keep from unnecessarily opening that range to incoming TCP connects, since they are not used by PalTalk.

source: Ray

Documentation sur Internet, les ports, les protocoles etc… 10/05/02

http://www.commentcamarche.net/internet/internet.php3

Conseils de configuration du firewall 10/05/02

Pour TPF comme pour tout autre firewall configurable ( Sygate personal
firewall, Outpost , ...etc ) commence par virer toutes les règles mises par
défaut lors de l'install . Déja, tu partiras sur des bases saines .

créer ensuite 2 règles d'interdiction de base en entrée et en sortie pour
TCP , UDP 2.
Pour TCP et UDP , interdit tous les ports et ne te contente surtout pas de
bloquer les soi disant ports utilisés par des troyens comme on le voit de
temps en temps sur des configs par défaut .

ensuite crée les règles dont tu as besoin une par une et mets les au dessus
de ces trois règles de base.
concernant IE ou ton lecteur de mail/news, tout dépend de ton degré de
parano:
tu peux très bien créer une règle d'autorisation sortante vers tous les
ports distants, mais tu peux également limiter cela aux ports distants 80 et
443 .

si tu utilises des liens ftp à partir de IE, il te faudra des règles
supplémentaires bien sur pour autoriser IE à sortir sur le port 21 distant
et autoriser l'entrée en provenance du port 20 entrant , mais cela peut être
différent ... dans le cas ou tu utilises le ftp en mode passif et dans le
cas ou tu vas sur des serveurs privés qui possèdent des ports par défaut
différents.
la durée de téléchargement étant de qques minutes généralement en adsl, je
te conseille une règle générale qui permet IE à sortir sur tous le ports
distants ( en plus de ta règle pour le Web ) ,et une règle entrante
également pour la connexion de datas tu les activeras quand tu en auras
besoin .
voir aussi à ce sujet : http://a.vouillon.free.fr/faq-winxp.htm#102 , ce
n'est pas forcemment simple, mais le ftp n'est PAS un protocole simple ...

pour ton lecteur de mail et de news : idem : tu peux très bien créer une
règle d'autorisation de sortie sur le port distant ki va bien ( 110 , 25 ,
119 ) mais tu peux aussi les créer vers les adresses IP des serveurs de ton
provider ce qui renforce la sécurité.

Bref, il n'y a pas de configuration par défaut adaptable à tous et cela
dépend du degre de securite que tu souhaites ..

quelques pistes et conseils : http://platon41.multimania.com/TPF2.htm avec
un exemple de config avec des règles pas trop strictes pour XP (en
français ).
Je ne pense pas avoir mis trop de conneries sur cette page , Jack l'aurait
signalé ;-), mais une refonte complète de la partie securité du site est
prévue cette année dès que j'aurai un peu de temps dispo .

Et pui pour apprendre, mets surtout les 2dernières règles en log ( et non
pas en alarmes pop-up, çà ne sert à rien ) et consulte les de temps en temps
. Ils te permettront aussi de voir ce qui se passe si tu es bloqué par ton
firewall et de créer ou de modifier une règle . Au bout de qques mois , tout
baignera :-)

Utiliser le port 80 ou 8080 ou tout autre port trojan standard pour du
contrôle à distance, mot de passe ou pas me
semble de la dernière imprudence aussi, n'importe quel gosse est capable
depasser à travers avec un peu de patience
et des des outils très simples qu'on trouve partout.

Comment savoir les ports ouverts 10/05/02

Télécharge Netmon un petit utilitaire gratuit qui indique les ports en cours
d'utilisation et ceux en écoute, il indique aussi les ips des serveurs
distants et locaux.

http://go.to/adamant

Configurer le pare feu pour accéder aux sites sécurisés 10/05/02

il faut autoriser le port 443 (HTTPS).

Vérifie aussi que le SSL n'a pas été désactivé par erreur .
via IE : menu options Internet , avançées , securité : SSL2 et 3.

dans les options Internet, j'ai baissé d'un cran le niveau de sécurité et
maintenant ça marche !!

Les règles de configuration de TPF

Nota: les règles ci-dessous sont extraites de http://platon41.multimania.com/aide.htm

Cette partie détaillera les principes de configuration de Tiny Personal Firewall version 2.0.9 / driver 2.0.8.
Les versions ultérieures de ce firewall pourront comporter certaines différences au niveau des menus, mais rien qui ne remette en question les principes de base de la configuration .

Les règles de filtrage :

Une règle de filtrage ( ou Firewall Rule ) consiste à accorder ou non l'accès entrant ou sortant à un port défini , en précisant le cas échéant, l'application ou l'adresse IP qui aura ou n'aura pas ce droit .
exemple : Pour spécifier que je donne le droit à mon logiciel Internet Explorer d'aller surfer sur le WEB :
Je crée une règle qui dit que : j'autorise l'accès sortant sur n'importe quel port au logiciel C:\Program Files\Internet Explorer\Iexplore.exe à destination des ports distants 80 de n'importe quelle adresse .Le protocole HTTP utilisant le protocole TCP/IP , je vais donc le spécifier également .

Retranscrit sous TPF , cela donne :

Protocol

Direction

Local port

Local Application

Remote adress

Remote Port

Action

TCP

Outgoing

Any Port

C:\Program Files\Internet Explorer\Iexplore.exe

Any Adress

Permit

Les appellations des différentes options peuvent être légèrement diférentes en fonctin du firewall , mais le principe restera toujours le même .

Ordre des règles :

Le Firewall va lire les règles crées une par une et dans l'ordre ou elles sont spécifiées .
Il est important d'y faire attention aussi bien pour un accès que pour un blocage .
Exemple : si je décide de ne laisser entrer personne sur ma machine ( on verra pourquoi tout à l'heure ) et qu'ensuite je donne l'accès sortant à IE, le Firewall lira la première règle et ne laissera rien passer , cette règle ayant la priorité sur les suivantes.Je n'aurai donc pas accès au Web.
Si j'inverse ces deux règles, je n'aurai pas de problème .

Principe d'établissement des règles de filtrage :

- 1/ Etablir 3 règles de blocage initiales bloquant tout ce qui entre et tout ce qui sort dans les trois protocoles existants ( TCP, UDP et ICMP )
Ces 3 règles seront toujours mises en fin de liste .
- 2/ Autoriser tout ce qui peut entrer et sortir ( AOL , Internet Explorer, Outlook Express, DNS, Jeux, ICQ , Netmeeting ...etc )
- 3/ Tester la configuration d'un point de vue sécurité sur le site : http://scan.sygatetech.com/ , par exemple . Il me parait plus complet et surtout plus simple que le site http://www.grc.com .
- 4/ Essayer d'utiliser sa machine pour tous les logiciels que l'on veut et adapter les règles de filtrage en conséquence .

Normalement lorsque des logiciels essayant d'accéder au Web ( sens sortant ) n'y sont pas autorisés , ils demandent l'autorisation de pouvoir y aller et la configuration de la règle s'effectue alors de manière automatique . Dans le cas contraire, il va falloir tout se palucher à la main :-))) eh , c'est que çà peeut prendre un certain temps une config de firewall, et là , nous ne parlons que d'un logiciel pour particuliers , donc relativement simple ...
Tout doit être toutefois vérifié afin de ne pas laisser de brêches inutiles, ouvertes sur votre machine ( sinon, autant ne pas installer de firewall du tout :-))))

Un contrôle sur le site indiqué ci-dessus doit alors être à nouveau effectué ( tests Stealtscan et TrojanScan ).

Configuration de Tiny personal Firewall :

Une fois téléchargé puis installé , vous devrez lancer le menu d'administration :
Menu démarrer ==> Programmes ==> Tiny Personal Firewall ==> Personal Firewall Administration .

Réglages classiques:

Onglet Miscellaneous : cocher uniquement la case " Run as Service " : ainsi votre Firewall se lancera automatiquement au prochain démarrage de Windows et une icône viendra se placer en bas et à droite de votre écran ( avec l'horloge ..etc )
Onglet Firewall : régler le curseur sur " Maximum Security Level " et cocher la case " Firewall Enabed " .

Administration du Firewall - Règles à établir :

Avec le niveau " Maximum Security Level " vous dos et déja protégé au maximum, mais rien de peut entrer ou sortir de votre machine .
Cliquez sur " advanced " vous aurez une case que vous devrez cocher " Ask for action when no Rule is found " . Cela permettra à votre Firewall de vous interroger si un logiciel doit " passer " à travers le Firewall et que vous ne l'avez pas indiqué ( enfin, normalement, il y a toujours des cas particuliers qui peuvent se produire , je pense notamment aux échanges entre certains logiciels qui requièrent outre la communication classique de connexion, des dialogues pas forcemment "vues" par le Firewall . Dans ces cas particuliers, seul la lecture du Firewall Log vous permettra d'établir les bonnes règles .

Ajout d'une règle ( si elle n'a pas été faite automatiquement comme indiqué juste au dessus ):
Cliquer tout simplement sur le bouton " add " et remplir la fenêtre qui apparait .

(1) Champ " Description ": donner un nom quelconque à la règle que vous allez créer
(2) Champ " Protocol " : définira le protocole utilisé ( TCP, UDP...)

(3) Champ " Direction " : définit le sens de passage autorisé ou interdit:
Incoming: sens entrant d'Internet vers votre PC
Outgoing : Sens sortant de votre PC vers Internet
Both direction: concerne les deux sens entrants et sortants

Local EndPoint: concerne votre PC

(4) Champ " Port Type " indique un port entrant ou sortant
(suivant le réglage de la direction effectué ci-dessus):
Any Port : Tous les ports sont autorisés
Single Port / Ports Range / List of Ports: Le port indiqué ou une fourchette de ports ou une liste de ports particuliers (suivant les besoins)

(5) Champ " Application ":
Any: signifie que toutes les pallications sont concernées
Only selected below: vous permet de choisir l'application qui est concernée par les règles ( IE, AOL , ICQ ..etc)
Ne pas oublier de cohcher la case " Check MD5 Signature " qui permettra d'éviter toute usurpation de votre logiciel (c'était une faille de AtGuard, qui ne possédait pas cette vérification du logiciel par signature logicielle )

Remote endpoint : concerne le serveur que vous appelez sur Internet

(6) Champ " Address Type ": indique l'adresse appellée sur le Web
Any Address :Toutes les adresses ( cas de la règle pour l'accès au Web :-)))
Single Adress / Network Range : permet de spécifier une adresse IP ou une fourchette d'adresses .
Trustfull Addresses : permet de spécifier plusieurs groupes d'adresses différentes .

(7) Champ " Port Type " : de la même manière que pour votre PC permet d'indiquer un port distant ou plusieurs ports ou une fourchette de ports
Champ " Rule Valid " : indiquer " Always " en temps normal , permet sinon de spécifier des horaires pendant lesqueles cette règle sera appliquée

(8) Champ " Action : Là il faudra indiquer si la règle interdit de qui a été spécifié ou l'autorise :
exemple : autoriser l'accès au Web à Internet Explorer (action " Permit" ), ou interdire les pings entrants ( action " Deny ").

Enfin si vous désirez que toutes les communications utilisant cette règle soient consignées dans le Firewall Log, la case " Log when This Rule match " doit être cochée
Si vous souhaitez que des messages d'alerte vous préviennent à chaque fois que la règle est appliquée , cocher la case " Display alert box when this Rule match " .Je vous déconseille de cocher cette case sauf pendant la phase de mise au point de votre Firewall et seulement pour les 3 règles d'interdiction finales .Votre Firewall fait le boulot, vous pourrez le vérifier en allant sur le site de test déja indiqué, ne vous embêtez pas avec des messages qui vous indiquent que votre Firewall a bloqué un scan cherchant un port utilisé par un Troyen !!

Une fois toutes vos règles établies, voilà ce que vous devriez voir

N'oubliez surtout pas les cases à cocher à gauche de chaque règle , et cela afin qu'elle soient valides !

Les flèches rouges indiquent des actions de blocage , notez les trois dernières règles dont j'ai déja parlé . Elles sont en dernière position et doivent y rester !!

Lors de la création d'une nouvelle règle, celle-ci se met automatiquement en fin de liste : la faire remonter au dessus des tsois règles d'interdiction finales en la sélectionnant puis grâce au bouton flèche situé à droite de la fenêtre.

Pour modifier ou visualiser les réglages d'une règle: la sélectionner et clic sur " edit ".

Si vous n'utilisez pas une règle ou en phase de test, plutôt que de la supprimer, avec le bouton "delete" décochez la règle avec la case située à gauche de celle -ci ( cf règle " NetBT Datagram sur cet exemple ).

Cliquez enfin sur " Appliquer " puis sur "Ok " pour valider votre configuration .

Nota:
Les règles de la fenêtre ci-dessus permettent( voir détails dans le tableau ci-dessous ) :
- La connexion à AOL
- Le surf via IE ou AOL , y compris sur les sites sécurisés https .
- La récupération et l'envoi du courrier via Outlook
- divers échanges indispensables afin que votre logiciel AOL dialogue correctement avec les différents serveurs
- d'émettre des Ping sortants sur n'importe quelle adresse

Pour le reste : ICQ, Netmeeting ... etc, je n'ai pas réinstallé ces logiciels depuis mon formatage , mais normalement comme je vous l'avais dit, ces logiciels lors de vos essais de communication devraient indiquer au Firewall qu'ils veulent dialoguer avec les sereurs distants et le Firewall devrait vous concocter des règles sympa ,tout seul comme un grand .
( idem pour les jeux, Real Player on Line ..etc )
Bref; comme vous le voyez , chaque config est particulière à chaque machine .

Sauvegarde des règles de filtrage:

En cas de suppression accidentelle , de réinstall , de formatage de votre partition système ..etc, lors de la réinstall de TPF , il vous faudra réécrire toutes vos règles .
Afin d'éviter cette corvée il suffit de sauvegarder le fichier suivant :

C:\Program Files\Tiny Personal Firewall\persfw.conf ( si votre OS est sur la partition C:\ )

Il ne vous suffira plus qu'à le remettre dans votre nouveau répertoire en écrasant le fichier persfw.conf en place .
cette manip est à faire bien entendu avec TPF non en fonction ( clic droit sur l'icone , puis " exit " ).

Lecture du fichier Log :

Si vous avez coché la case " Log when this Rule match " pour une règle particulière , tout ce qui s'y rapporte sera enregistré dans le Firewall Log.
C'est ce que j'appelle plus loin , la mise en surveillance d'une règle .
ex: si vous avez coché cette case pour la règle qui autorise IE à aller sur le Web, vous risquez d'avoir un sacré journal à lire et en très peu de temps !!! Donc sélectionnez vraiment ce que vous voulez voir absolument.
Pour consulter ce journal :
Une fois Windows redémarré et le Firewall actif : Dans la barre des tâches: clic droit sur l'icone de Tiny Personal Firewall et choisissez " Firewall Status Window ".
allez dans le menu " Logs " et cliquer sur " Firewall Log " .

Interprétations du fichier log:

Exemples de lignes à interpréter :

[28/Feb/2001 02:08:24] Rule 'TCP any other': Blocked: In TCP 172.138.3.63:2509 ->localhost: 139, Owner: C:\Windows\System\KRNL386.EXE

Cette ligne de log est sur fond rose et donc correspond à une règle d'interdiction en entrée ( IN) sur votre ordinateur( règle nr 20 "TCP any other "dans le tableau ci-dessous)
L'adresse distante est : 172.138.3.63 ( un abonné d'AOL )et le port sortant de la machine distante est le port 2509 .
Mon ordinateur a pour nom " local host " et le port appelé est le port 139 .
L'application concernée dans ce cas est krnl386.exe.(mais peu importe )
Cela signifie que quelqu'un a essayé de voir si mon port 139 était ouvert en utilisant un scanner .S'il l'avait été ( sans Firewall par exemple ), une intrusion aurait été possible et aurait donné à l'agresseur l'accès entier à ma machine .

[28/Feb/2001 16:15:56] Rule 'TCP any other': Blocked: Out TCP localhost:1202 ->63.251.5.15.80, Owner: C:\Program Files\Microsoft Office\Office\Winword.exe

Cette ligne de log est sur fond rose et donc correspond à une règle d'interdiction en sortie (Out ) et donc à partir de votre ordinateur ( règle nr 20 "TCP any other "dans le tableau ci-dessous)
L'adresse locale est donc mon ordinateur ( local host ) et mon port sortant est : 1202
L'adresse distante est : 63.251.5.15 et le port appelé est le port 80 (HTTP ): Il s'agit donc d'un surf vers un site Web.
L'application locale utilisée est WORD ( Winword.exe ).
Ce message me rappelle donc que j'ai oublié de créer une règle autorisant l'accès au Web directement à partir de Word et qu'il ne veut pas que je le fasse si je ne crée pas cette règle . Rien de grave , donc ...

Nettoyage du fichier log :

Si vous " archivez "beaucoup d'informations concernant les alertes de TPF , le fichier de log vas se remplir continuellement et prendre pas mal de place. Si vous voulez faire un peu de nettoyage il vous faudra donc le vider .

Sur la version TPF v 2.0.9 je n'ai pas trouvé de manip toute faite pour vider ce fichier de log. Je procède donc comme suit :
- quitter TPF
- supprimer les deux fichiers suivants:
C:\Program Files\Tiny Personal Firewall\filter.log
C:\Program Files\Tiny Personal Firewall\filter.log.idx

- Relancer TPF ( menu démarrer, Programmes, Tiny Personal Firewall => Personal Firewall Engine)
=>ces deux fichiers seront recréés automatiquement et le fichier de log sera vide .

Nota: sur la version 2.0.14 de TPF, un clic droit dans la fenêtre de log , permet de vider les enregistrements ( " clear Log " )

La page suivante vous indiquera plusieurs exemples de règles de filtrage dont 2 plus particulièrement adpatées à AOL et 1 concue pour Windows Xp et un provider classique (Wanadoo) - très peu de différences en ce qui concerne le principa d'atablissement des règles

Je n'arrive pas à installer NORTON SYSTEM WORKS 2002 à cause de l'installation précédente 29/07/02

Télécharger l'utilitaire SYMCLEAN.EXE sur le site SYMANTEC. On le trouve en consultant le support de NORTON SYSTEM WORKS 2002 / autre problème

Pour l'utilisation de SYMCLAN, ne fais pas ADD/REMOVE sur le premier écran, mais CONTINUE et dans le deuxième écran tu fais REMOVE ALL avant de réinstaller.

Norton signale la perte de GAPI32.DLL 14/04/02

La rechercher dans c:\program files\fichiers communs\system\mapi\1036\NT et la cpier dans c:\windows\system32

Règles de filtrage Firewall du client pour FTP

Ne pas oublier de créer des règles de filtrage autorisant IE :

- à sortir entre les connexions vers le port 21 distant ou du port [ L ] programmé par le serveur
- de laisser entrer les connexions IE en provenance du port 20 distant ou du port distant [ L - 1 ] programmé par le serveur .

Pour le cas ou votre client , suivant la version d'IE utilise le mode passif de Ftp , ne pas oublier d'autoriser IE :
- à sortir vers les ports distants Passive Range du serveur ( par défaut : choisir tous les ports distants de 1024 à 65535 )

L'utilisation de CUTE FTP

1.Les noms de répertoires et de fichiers du serveur ne devront pas comporter d'espaces , ni d'accents .
2. Le serveur ne pourra être atteint que s'il est sur le port 21 : Pas de possibilité de spécifier un autre nr de port .
3. Ne pas oublier de créer les règles de filtrage de votre firewall pour l'exécutable ftp.exe

Les modes FTP :

Deux modes existent :
- Le mode actif, couramment utilisé par les logiciels clients du type CuteFtp , Leech Ftp ..etc :
Comme son nom l'indique, c'est le serveur qui va établir la connexion data vers le client à sa demande.
Serveur : port local [L - 1 ] ( 20 généralement) vers le port du client spécifié par lui à l'aide de la commande "Port ".

- Le mode passif : C'est cette fois-ci le client qui va établir cette connexion data .
Client : port local quelconque vers le port du serveur spécifié par lui en réponse à la commande " PASV " du client .
Sur le serveur, ces ports sont facilement configurables vis à vis d'un firewall ( Passive Port range )

Pour voir le fonctionnement plus précis de ces deux modes : cf .Diagrammes d'état FTP en fin de page .

Certaines règles crées automatiquement par le Firewall ( règles par défaut ) lors de l'installation peuvent être trop lâches et ne pas bien vous protéger .
Si le test du site que je vous ai indiqué [ http://scan.sygatetech.com/ ] , n'est pas parfait , la configuration du Firewall sera à améliorer en fonction des résultats indiqué sur ce site ..

Concernant les règles de base données en exemple , je les ai faites à la main et je vous indique ci-après quelles sont les informations à rentrer pour leur création ( je vous conseille cette méthode pour ces règles de base, de plus vous saurez ce que vous avez fait et apprendrez sans doute mieux le fonctionnement de votre Firewall).

Rappel des règles de base : Création de règles interdisant tous dans les protocoles TCP, UDP et ICMP, puis autorisations au coup par coup en fonction de vos besoins et de votre configuration .

Tableau de règles Windows XP et provider Wanadoo

Nr	Description	Protocol	Direction	Local Port	Application	Remote Address	Remote Port	Action	Observations
1	Outgoing IP Protocol 2	Other-2	Outgoing	Any Port	Any Application	Any Address	Any Port	Permit
2	IE sortie HTTP	TCP	Outgoing	Any	()** Navigateur internet	Any Address	List of Ports :80 & 443	Permit	Accès au Web
3	IE LOOPBACK	UDP	Both Direction	Any	()** Navigateur Internet	Single address: 127.0.0.1	Any Port	Permit	Dialogue IE
4	pop Wanadoo	TCP	Outgoing	Any	()** Lecteur de messagerie	Adresse IP de votre serveur pop ou : Any Address	Single Port: 110	Permit	Accès courrier
5	pop Mageos	TCP	Outgoing	Any	()** Lecteur de messagerie	Adresse IP de votre serveur pop ou : Any Address	Single Port: 110	Permit	Accès réception courrier
6	smtp Wanadoo	TCP	Outgoing	Any	()** Lecteur de messagerie	Adresse IP de votre serveur smtp ou : Any Address	Single Port: 25	Permit	Accès courrier
7	news Wanadoo	TCP	Outgoing	Any	()** Lecteur de news	Adresse IP de votre serveur news ou : Any Address	Single Port: 119	Permit	Accès aux NG Usenet
8	DNS	UDP	Both Direction	Any	Any Application	Adresse IP de votre serveur DNS ou : Any Address	Single Port: 53	Permit	Résolution de noms
9	FTP sortant IE	TCP	Outgoing	Any	()** Navigateur Internet	Any Address	Port choisi ou :Any Port	Permit	Accès aux sites Ftp via votre navigateur
10	FTP entrant IE	TCP	Incomming	Any	()** Navigateur Internet	Any Address	Single Port:20 ou autre port	Permit	Accès aux sites Ftp via votre navigateur
11	Hyperterminal	TCP	Outgoing	Any	C:\Program Files\WindowsNt\Hypertrm.exe	Any Address	Port choisi ou :Any Port	Permit	Utilsation Hyperterminal
12	Sortie Telnet.exe	TCP	Outgoing	Any	C:\Windows\System32\telnet.exe	Any Address	Port choisi ou : Any Port	Permit	Utilisation Telnet en mode ligne de commande
13	Entrée Telnet.exe	TCP	Incomming	Any	C:\Windows\System32\telnet.exe	Any Address	Port choisi	Permit	Utilisation Telnet en mode ligne de commande
14	Sortie FTP.exe	TCP	Outgoing	Any	C:\Windows\System32\ftp.exe	Any Address	Port choisi ou : Any Port	Permit	Utilisation FTP en mode ligne de commande
15	Entrée FTP.exe	TCP	Incomming	Any	C:\Windows\System32\ftp.exe	Any Address	Port choisi	Permit	Utilisation FTP en mode ligne de commande
16	Sortie Cute Ftp	TCP	Outgoing	Any	C:\Program Files\Globalscape\Cuteftp\Cuteftp32.exe	Any Address	Any Port	Permit	Accès aux sites FTP
17	Entrée Cute Ftp	TCP	Incomming	Any	C:\Program Files\Globalscape\Cuteftp\Cuteftp32.exe	Any Address	Port choisi ou : Any Port	Permit	Accès aux sites FTP
18	Accès sortant serveur FTP	TCP	Outgoing	21 ou port choisi	C:\Program Files\g6ftp server\g6ftpsrv.exe	Any Address	Any Port	Permit	Serveur FTP personnel
19	Accès entrant serveur FTP	TCP	Incomming	port choisi	C:\Program Files\g6ftp server\g6ftpsrv.exe	Any Address	Any Port	Permit	Serveur FTP personnel
20	AIM	TCP	Outgoing	Any	C:\Program Files\AIM95\AIM.exe	Any Address	List of Ports :80 & 5190	Permit	Utilisation d'AIM
21	MediaPlayer8	Both	Outgoing	Any	C:\Program Files\Windows Media Player\wmplayer.exe	Any Address	Any Port	Permit	Accès WMPlayer sur Internet
22	Sortie Real Player	TCP	Outgoing	Any	C:\Program Files\real\realplayer\realplay.exe	Any Address	Single Port : 80	Permit	Accès RealPlayer sur Internet
23	Sortie TCP Morpheus	TCP	Outgoing	Any	C:\Program Files\Morpheus\Mopheus.exe	Any Address	Any Port	Permit	Utilisation Morpheus
24	Sortie UDP Morpheus	UDP	Outgoing	Any	C:\Program Files\Morpheus\Mopheus.exe	Single address: 127.0.0.1	Any Port	Permit	Utilisation Morpheus
25	entrées 3-4-11 ICMP	ICMP	Incomming	Any	Any Application	Any Address	Any Port	Permit	Autorisation de certains services ICMP
26	Netmeeting	TCP	Outgoing	Any	C:\Program Files\netmeeting\conf.exe	Any Address	Any Port	Permit	Utilisation de Netmeeting
27	Netmeeting UDP	UDP	Outgoing	Any	C:\Program Files\netmeeting\conf.exe	Single address: 127.0.0.1	80	Permit	Utilisation de Netmeeting
28	MAJ BALIDNS	TCP	Outgoing	Any	()** BALIDDNS.exe	Any Address	80	Permit	Adresse dynamique
29	Ping sortant	ICMP	Outgoing	Any	Any Application	Any Address	/	Permit	en cas de besoin
30	Entrée Echo request	ICMP	Incomming	Any	Any Application	Any Address	/	Deny	Règle non mise en surveillance
31	Svchost	TCP	Both Direction	Any	C:\Windows\System32\svchost.exe	Any Address	Any Port	Deny	Règle non mise en surveillance
32	TCP Any Other	TCP	Both Direction	Any	Any Application	Any Address	Any Port	Deny	Règle mise en surveillance
33	UDP Any Other	UDP	Both Direction	Any	Any Application	Any Address	Any Port	Deny	Règle mise en surveillance

Quelques explications :

	Règles permanentes d'autorisation
	Règles occasionelles
	Règles permanentes d'interdiction

(**) Mettre le chemin complet de votre logiciel : exemple :
- Navigateur Internet - exemple : Internet Explorer : C:\Program Files\Internet Explorer\Iexplore.exe
- Lecteur de messagerie - exemple :Outlook Express : C:\Program Files\Outlook Express\msimn.exe
- COPERNIC : C:\Program Files\Copernic 2000\Copernicsvr.exe

Explications des différentes règles :

Ces règles vous permettent de naviguer et de vous connecter sans aucun problème et avec une très bonne sécurité - Néanmoins certaines règles peuvent être rajoutées ou modifiées le cas échéant afin de durcir ou au contraire d'assouplir votre sécurité, tout cela dépend du niveau de sécurité que vous attendez .

nota : Vous ne verrez sur la config ci-dessus aucune règle anti-troyens ou interdisant l'accès au ports 137 à 139 - Hors besoins d'analyse particuliers qui ne sont utiles qu'à ceux qui veulent analyser plus finement leurs journaux de logs, ces règles sont inutiles ( pour un particulier sans réseau par exemple) , votre ordinateur étant déja protégé par les règles finales d'interdiction .

Règle 1 : Outgoing Ip Protocol 2 : En cours d'étude ....
Règle 2 : IE sortie HTTP : donne l'accès au Web (http) et au Web sécurisé (https) à notre navigateur ( Internet Explorer par exemple)
Règle 3 : IE Loopback :Permet à votre navigateur de sortir de votre machine
Règles 4 et 5 : Pop [Provider] : permet à votre lecteur de mail ( Outlook Express par exemple )de recevoir le courrier qui vous est adressé
Règle 6 : vous permet d'envoyer votre courrier avec votre lecteur de mail .
Règle 7 : Vous permet d'avoir accès aux NG Usenet ( comme microsoft.public.fr.windowsXp par exemple ) à partir de votre lecteur de news (OE par exemple)
Règle 8 : Donne accès au serveur DNS de votre provider : cela lui permettra de traduire l'URL que vous tapez en une adresse IP .
nota: pour les règles 4 à 8 : il est plus prudent d'indiquer en adresse distante, les adresses IP des serveurs pop, smtp, newws et DNS de votre provider, mais ce n'est pas primordial non plus .
Règle 9 :Permet à votre navigateur d'accèder aux sites Ftp . Vous pouvez indiquer le port 21 en port distant , mais tous les serveurs n'utilisent pas forcemment ce port .
Règle 10 : Permet à votre navigateur de récupérer les données ( listage des répertoires, fichiers ) en provenance de sites Ftp auxquels vous voudrez accéder . Idem poru le port distant : c'est le port 20 qui est le port standard, mais ce n'est pas obligatoire . Règle à activer si nécessaire ( c'est une règle entrante )
Règles 11, 12 , 13, 14, 15 : Règles (personnelles) autorisant l'accès au Web de certains exécutables . A n'activer qu'en cas de besoin de toute façon
Règles 16 et 17: règles identiques aux règles 9 et 10 mais conçues pour le client Ftp " Cute Ftp " et non plus pour le navigateur Internet .
Règles 18 et 19 : Exemple perso de règles nécessaires si l'on dispose d'un serveur Ftp . Les ports locaux sont à indiquer selon le paramétrage que l'on a fait sur son serveur : Pour la règle 19 , le ou les ports locaux choisis seront ceux paramétrés en port entrant en mode actif, et en " Passive Range " en mode passif .
Règle 20 : Accès à Internet au logiciel de communication AIM .
Règles 21 et 22 : permettent de lire on-line des fichiers sur Internet utilisant la technologie Media Player ou Real Player .
Règles 23 et 24 : Exemple perso de règles pour un logiciel p2p . Attention , les paramètres pourront être différents suivant le logiciel . Pour cela, il suffit de consulter les logs et d'ajuster et/ou corriger en conséquence .
Règle 25 : Autorisation de certains services ICMP en entrée sur votre machine . Cette règle n'est pas obligatoire mais peut faciliter votre navigation sur Internet .
Règles 26 et 27 : Règles perso de base pour Neetmeting ( non testées jusqu'à présent )
Règle 28 : Règle perso permettant à un client DNS d'envoyer les informations de mise à jour d'adresse IP à un serveur .
Règle 29 : Autorisation d'envoyer un paquet ICMP de type Ping .
Règle 30 : règle n'autorisant pas de requète Ping vers votre machine en provenance de l'extérieur .
Règle 31 : Règle perso ( inutile en soi , sauf pour faciliter un besoin d'analyse de logs )
Règles 32 et 33 : Règles de base d'interdiction totale pour tout le reste

Nota :
Des ajustements de règles pourront avoir lieu en fonction de vos logiciels et de leur utilisation, ces tableaux de règles ne sont que des exemples .
Si vous rajoutez des règles spécifiques à d'autres logiciels , faites attention à ce qu'elles ne viennent pas créer un trou de sécurité.
Si vous utilisez un autre Firewall ( Conseal , Atguard, NIS...etc) , le principe reste le même bien entendu .

Configuration de TPF 10/05/02

> J'ai souvent plusieurs alertes du genre :
> Someone on address 209.202.86.233 wants to send ICMP packet to
> your machine
> Qu'es ce que l'ICMP ?
> J'ai lu, sur je ne sais plus quel site, de configurer ICMP "out", faut il en
> faire de même pour le "in" ?

ICMP (Internet Control Message Protocol) est un des protocoles IP (comme TCP, UDP, etc) qui permet de controler les communications. Il y a différents type d'ICMP, entre autre le type REQUEST et la réponse ECHO qui forment le "ping" bien connu.

Dans ton cas, quelqu'un t'a pingé. Rien de grave.

Les Paranos filtres les ICMP par peur d'un début de tentative de piratage. En effet, ceux-ci peuvent servir à voir si tu es là, connaitre le type de machine et d'OS (avec des "vrai-faux" pings), etc. Si ton PC est bien protégé pour le reste, tu n'as rien à craindre des pings et tu peux les laisser entrer et sortir. Ils servent à un tas de choses : vérifier la présence d'une machine, faire des traceroutes, vérifier le MTU et auto corriger, vérifier les "trous noirs", faire du controle de flux, etc, etc, ...

Pour en savoir plus : www.commentcamarche.net/internet/icmp.php3

> Quel config serait la mieux pour ICQ ?
Personnellement, j'ai configuré ICQ pour qu'il travaille sur un port particulier et non le port 5190. Fait 3 regles dans l'ordre :

- autorise ICQ en in et out sur ce port (ou un autre que tu auras choisi)

- bloque ICQ en out sur le 80 (tu n'auras plus de pub :-)

- autorise ICQ en in et out pour tout le reste.

> Quel config serait la mieux pour Morpheus ?
Je n'utilise pas Morpheous : a quoi bon se protéger avec TFP si c'est pour ouvrir en grand son PC avec de véritables troyens que sont Morpheous, Kazaa, etc :-))))

> Toujours dans Morpheus, dans les filtres de connexion, je trouve
> 0.*.*.* => Deny
> 10.*.*.* => Deny
> 127.*.*.* => Deny
> 255.*.*.* => Deny
> A quoi servent ces filtes ?

Si les adresses IP sont celles en source, il s'agit d'anti-spoofing. Il s'agit en effet d'interdire à un paquet IP qui vient du net d'avoir une adresse IP source qui est sur ton propre réseau !!! Ceci protege des techniques de "blind spoofing"

Si les adresses IP sont en destination, je ne vois pas l'interet sauf une éventuelle protection contre des DoS (Denial of Service)

Configuration de KPF 10/05/02

The KPF is installed easiest with its default rules left intact and in their default order from top to bottom. That's it, end of install :)

As you open your software applications that access the internet, set a new rule allowing each one if you get the pop-up request to do so. Non-technical and first-time firewall users are recommended to use the default rules installed during the Kerio Personal Firewall installation. They offer ease of use and superior protection.

More advanced users may prefer to use the additional rules listed here for enhanced protection and a better understanding of exactly what is happening, why it is happening, from where it is coming, and where it is going. Most other firewalls tend to "over alert" the user with false-positive intrusion alerts. These annoyances (pop ups, flashing tray icons, etc.) are a thing of the past when the rules and alerts are set up properly in KPF. Then you will be "Stealth" on the internet with the Kerio Personal Firewall (KPF) and these instructions.

If the hackers (more accurately crackers) can't see you, they surely can't crack you. Kerio Personal Firewall is the only personal firewall tested that defeats both FireHole, a nifty new firewall test created by Robin Keir, and TooLeaky another nifty new firewall test by Bob Sundling, and defeats all the other website stealth port and stealth packet tests (GRC, PCFlank, DSLReports, HackerWhacker, etc.). See this desktop screen capture for more information about how we did this. The newest version of Outpost firewall didn't defeat either of them, the newest Sygate didn't, and the newest Zone Alarm didn't. Note: You must change the Unofficial Firewall FAQ Rules 18, 22, and 23 to defeat the above two firewall tests (blocking FireHole and TooLeaky from connecting outbound). See the Unofficial Firewall Rules FAQ below.

Our Win95c stand-alone machine is on the internet and we use two (2) ISPs. The network bindings are unbound as per Steve Gibson's recommendations on his GRC.com website. To do this, for Windows 95/98 select Start-Menu, Settings, Control Panel, Network, TCP/IP Protocol component, Properties, Bindings and deselect ALL Bindings in the TCP/IP Protocol checkbox(s). You must then REBOOT your computer. The GRC.com website devotes much detail on how to do this, if my one sentence instruction is still unclear.

Our machine tests "Stealth" (perfect) on the GRC.com ShieldsUp port scan website (free) and tests "-0" (perfect) on the DSL Reports.com Secure-Me port scan website (free, but requires registration). It also tests perfect on the HackerWhacker scan. Another great new security test site is PC Flank, but it is very busy and may load slowly on phone modems, and without some graphics. Kerio Personal Firewall passes ALL stealth tests on the PCFlank website including the 5 stealth packet tests.

Be sure to download Steve Gibson's free Leak Test v1.1 firewall leak testing utility to check your new stealth invisibility on the internet anytime you're online. The ShieldsUp port scan website is the superior port scan test website on the internet. Using the new Leak Test v1.1 utility is an easy and quick way of verifying that you are stealth. You may be required to use the IP Agent if using Windows 95/98 and DUN 1.4 to get the correct IP address (yours) tested by the port scanner. We are always required to use the IP Agent, or the scanner tests someone else's computer (IP address). This is what being stealth looks like on Steve Gibson's GRC.com ShieldsUp port scan website:

The above is what you want to see. Sample Gibson Research Corporation (http://grc.com) port scan test result from ShieldsUp. Steve Gibson provides a valuable service and lots of good security information for free.

Also note that the rule order from the top to bottom is an important hierarchy in this firewall, and that the rules should generally remain in the same order in which they were originally installed. Rules installation is a two step process. First the default rules are installed with the KPF install, and then the software application rules are added one by one as the Firewall Learning Assistant popup appears the first time you open your internet software.

Also note that if you install the new Microsoft DUN 1.4 upgrade for Win95/98 (Dialup only), the KPF firewall may no longer test "Stealth" on the GRC.com port scan website. However, you will test as "all ports blocked" and continue to be secure, although not "Stealth." To remedy this you should remove and reinstall the KPF after you install the DUN 1.4 upgrade.

FYI about the additional Unofficial TPF FAQ Custom Rules: The additional unofficial TPF FAQ Custom Rules below are shown in the illustrations on this page above, and are all listed on the bottom of this page. You can also download a text file copy of them here. They all work, because we have them all installed, although some customization may rarely be required; such as moving apps above the rules that display false positive alerts, etc. The description of each rule is included in the rules set list below.

Important note: Rule 22 blocks and alerts you to every unwanted request outgoing from your PC. This could be a spyware/adware app, or a trojan, worm, etc., trying to "phone home." This rule also disables the Rule Assistant learning option, i.e. "Unknown Outgoing Request Alert." So you may not want to enable Rule 22 until you've given the firewall enough time to alert you to any suspicious outgoing requests coming from inside your PC. Go ahead and install the Rule 22 without checking the large checkbox in front of the rule. Checking this checkbox later will enable the rule. Note: Change "UDP and TCP" to "any" protocol to block FireHole and TooLeaky from connecting outbound. You must also change browser Rule 18 and 23. See the Unofficial Firewall Rules FAQ below.

Important note: Rule 23 blocks and alerts you to every unwanted request incoming to your PC, also disabling the Rule Assistant learning option just as Rule 22 above does. Enter Rule 23 as shown but don't enable it until you have all of the "kinks" out of your entire ruleset. Also be sure to check the check box that says "ask for action when no rule is found" and let the Rule Assistant show you where any problems are occurring. Go ahead and install the Rule 23 without checking the large checkbox in front of the rule. Checking this checkbox later will enable the rule. Note: Change "UDP and TCP" to "any" protocol to block FireHole and TooLeaky from connecting outbound. You must also change browser Rule 18 and 22. See the Unofficial Firewall Rules FAQ below.

Note: You will have to disable Rule 22 and 23 anytime you install new software that accesses the internet or you will not get the pop-up rule-making learning-assistant to help you make a new rule for it..

We also recommend downloading the new free Ad-Aware spyware/adware detecting scanner by Lavasoft. Spyware/adware is invisible software on your computer, usually hidden in other software you downloaded, that sends information about you to others on the internet without your permission. Spyware/adware is now very common, and we found nine (9) different copies and four (4) different applications of spyware/adware on our computer the first time we scanned with this new free software.

Download Kerio Personal Firewall version 2.1.2 (Free)
(19 March 2002)

Kerio Personal Firewall FAQ (Updated: Sunday, March 13, 2002)

Custom Tiny Personal Firewall (TPF) Unofficial FAQ Rules - 03 January 2002
(These Rules also work in Kerio Personal Firewall version 2.1.1 Final)
--------------------------------------------------------------------------------
What are some basic set of rules for TPF?
(Notify) means => Display alert box (checkbox).
(Logged) means => Log when this rule match (checkbox).

Notes:
Rule 1 is the default rule of Tiny Firewall for loopback.

Rule 2 - 3 are your NetBIOS blocks. Enter them as displayed. Even if you have removed NetBIOS from your Network applet, these will serve to "Notify" you of any attempts. (Of course, this assumes you are NOT legitimately using NetBIOS on your system.)

Rule 4 - 5 allow any application to connect to your Domain Name Servers. If your ISP uses 4 different servers, yours may add and use more or less.

Rule 6 - 10 are the balance of the ICMP rules. Enter them as displayed.

Rule 11 blocks and logs every requests issued to your computer on common ports : FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc.

Rule 12 - 15 are more (AtGuard Default) rules. But you can use for Tiny Firewall now. Once the Trojan Port Blocking rules are activated, these can be deactivated or deleted as they provide duplicate coverage.

Rule 16 - 17 are the Low and High Trojan Port Blocking rules. Make sure they are set to Log all occurrences. Later you can examine your logs for any programs that are legitimately trying to use these ports. High/Low Trojan Port Blocking rules are not required. But they do "enhance" security, at the cost of increased nuisance.

Rule 18 - 21 are the "application specific" rules. In general, you'll write one or two rules for each application that you want to access the internet. Added on 07 February 02: Change IExplorer rule to "any" protocol out of local port 80 on any remote address and any port (or all of the browsers you use) to block FireHole and TooLeaky from connecting outbound. Must also change Rule 22, see below.

Rule 22 blocks and logs every unwanted UDP/TCP requests issued from your PC (could be a trojan, a worm...), this rule disables the learning option (unknown outgoing request). Added on 07 February 02: Change "UDP and TCP" to "any" protocol to block FireHole and TooLeaky from connecting outbound. Must also change browser Rule 18, see above.

Rule 23 is the "Block Everything" rule. Enter it as shown but don't enable it until all of the "kinks" are out of your ruleset. Let the Rule Assistant (ask for action when no rule is found) work for you to show you where problems are occurring.

= = = = = = = = = = = = = = = =
RULE 1:

Description: Loopback
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: 127.0.0.1
Port type: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 2:

Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 3:

Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY

= = = = = = = = = = = = = = = =
RULE 4:

Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 5:

Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY

= = = = = = = = = = = = = = = =
RULE 6:

Description: Out Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo
Remote Endpoint: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 7:

Description: In Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 8:

Description: In Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 9:

Description: Out Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 10:

Description: Block ICMP (Logged)
Protocol: ICMP
Direction: Both
ICMP Type: Echo Reply, Destination Unreachable, Source
Quench, Redirect,
Echo, Time Exceeded, Parameter Prob, Time Stamp, Time
StampReply, Info
Request, Info Reply, Address, Address Reply, Router
Advertisement, Router
Solicitation (ALL)
Remote Endpoint: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 11:

Description: Block Common Ports (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 12:

Description: Back Orifice Block (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 54320,54321,31337
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 13:

Description: Netbus Block (Logged)
Protocol: TCP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 12456,12345,12346,20034
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 14:

Description: Bootpc (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 68
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 15:

Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 16:

Description: Block Low Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 1
Last port number: 79
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 17:

Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 18:

Description: Internet Explorer-Web browsing
Protocol: TCP Added on 07 February 02: Change IExplorer rule to "TCP" protocol out of local ports 80,8080,3128,443,20,21 on any remote address and port (change all the browsers you use) to block FireHole and TooLeaky from connecting outbound. Must also change Rule 22 and 23, see below.
Direction: Outgoing
Port type: Any
Local App.: Only selected below => iexplore.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 80,8080,3128,443,20,21
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 19:

Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => msimn.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 25,110,119,143
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 20:

Description: ICQ Web Access Block
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 80
Action DENY

= = = = = = = = = = = = = = = =
RULE 21:

Description: ICQ Application
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 5190
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 22:

Description: Block Outbound Unauthorized Apps TCP UDP
(Notify)
Protocol: TCP and UDP Added on 07 February 02: Change "UDP and TCP" to "any" protocol to block FireHole and TooLeaky. Must also change Rule 18 see above, and Rule 23 see below.
Direction: Outgoing
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

= = = = = = = = = = = = = = = =
RULE 23:

Description: Block Inbound Unknown Apps TCP UDP
(Notify)
Protocol: TCP and UDP Added on 07 February 02: Change "UDP and TCP" to "any" protocol to block FireHole and TooLeaky. Must also change Rule 22, 18, see above.
Direction: Incoming
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

If you are on a LAN you might need to allow NetBIOS to and from computers on your LAN. You should insert two rules before rule 2 and 3:

RULE 2a:

Description: Trusted Inbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Any
Action PERMIT

= = = = = = = = = = = = = = = =
RULE 3b:

Description: Trusted Outbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Port/Range
First Port: 137
Last Port: 139
Action PERMIT

= = = = = = = = = = = = = = = =

And you should enter your local IP addresses in the Trusted Address Group list.

= = = = = = = = = = = = = = = =
Rules source: Unofficial Tiny Personal Firewall FAQ (v2.0.15)

*Note: The above custom firewall rule set must be used with the changes noted to Rules 18, 22, and 23 to defeat the FireHole and TooLeaky stealth exploit tests.

Logiciels de peer to peer 10/05/02

morphéus.
http://dl.cnet.com/downloads/0-1896420-108-76172.html?tag=bt.dl.musiccity

Edonkey est le meilleur de loin à mon humble avis pour récupérer des gros
fichiers (plusieurs centaines de Mo)! Télécharge aussi le donkeybot (
www.file-finder.com ) pour te simplifier la vie avec le donkey...

Configuration de KPF 10/05/02

> Regles 3 - 4 permettent aux applications de se connecter a vos serveurs
DNS.
> Il vous faut créer autant de regles que votre FAI utilise de serveur DNS.

Pourquoi ne peut-on pas créer une seule règle avec Network/Range et les deux
DNS si elles sont consécutives (comme celles de Wanadoo) ?
Je suis comme ça moi, faut toujours que je tente de factoriser. Une vieille
habitude.

> Regle 21 Bloque et loge toutes les requetes UDP/TCP indésirables depuis
> votre PC (trojan, ver,etc...),
> ATTENTION : cette regle bloque l'option apprentissage (requete en sortie
> inconnue)

Justement, me bloque l'exploration de mon réseau local :
10/Mar/2002 20:28:57 (21) Block Outbound Unauthorized Apps TCP UDP
(Notify) blocked; Out TCP; localhost:3048->Aptiva [192.168.0.2:445];
Owner: SYSTEM

C'est normal docteur?
Pour l'instant, j'ai modifié la règle (3b) en rajoutant le port 445.

Je ne parlais pas d'accès réseau, juste d'exploration par le voisinage
réseau. En rajoutant le port 445 aux 137-139, ça passe impec.

Tu peux te débarrasser des requetes (inutiles) sur le port 445 qui sont
faites par le service "assistance TCP/IP Netbios" en le désactivant (ces
requetes sont la nouvelle version du Query DNS/NetBios et je ne sais pas
encore qui est en mesure d'y répondre. Peut être un serveur WINS ? je me
renseigne ...)

Dis moi Jack, à chaque connexion, avec tes règles, j'ai le message suivant :
10/Mar/2002 22:45:23 (15) Block Low Trojan Ports TCP UDP (Notify)
blocked; Out UDP; localhost:68->255.255.255.255:67; Owner:
F:\WINDOWS\SYSTEM32\SVCHOST.EXE
Que dois-je en faire?
Modifier une règle?

C'est le DHCP,

Ajoute ces 2 règles au-dessus de la règle 15

Règles pour le DHCP

= = = = = = = = = = = = :
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: DHCP Server IP
Rule Valid: Always
Action: Permit
Logging: None

Rule #2:
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None

Ok rajouté, mais je ne comprends pas pourquoi ces 2 règles puisque la 2ème
me semble inclure la première...
De plus, je ne sais pas quoi mettre dans : DHCP IP Server
Mon adressse locale 192.168.0.1 ? Pour l'instant j'ai mis "any"

Si tu as un serveur DHCP défini, les deux règles sont complémentaires.
La 2 ne concerne que le out
Tu peux définir un serveur avec un routeur par exemple.
Pour avoir l'adresse de ton serveur DHCP s'il est défini :
ipconfig/all

Puisque tu n'as rien dit sur mes 2 exemples, j'en conclu que KPF est
incapable de protéger un utilisateur qui à un LAN partagé via un PC contre
l'IP spoofing et le Netbios spoofing ? Ni contre des DoS de ce type qui sont
bien plus graves que les ports non furtifs !
Conclusion : faites comme JacK et moi : investissez dans un routeur !

De même, la règle 16 me bloque les updates de AVP.
Et j'ai beau essayé pas mal de choses comme règle précédent la 16, rien a
faire, ça passe pas.

Il est précisé dans cette règle qu'elle bloque les ports au-dessus de 5000
et qu'elle est facultative.
Ces règles sont les règles de base et doivent être adaptées aux besoins de
chacun.
Désactive-la provisoirement, fais ton update en créant une règle que tu
places au-dessus de la règle 16
avant de la réactiver.
Tu risques d'avoir ce problème avec d'autres programmes ou updates de
programmes utilisant des ports au-dessus de 5000 :)
Tu pigeras vite le truc :)

Tu vois sur quel port il essaie de se connecter ? Toujours le même ou une
> range précise ?
On dirait le 21 (out) et le 20 (in).
En fait, j'ai fait une règle que j'ai placée juste après les 2 règles pour
DHCP, qui fonctionne parfaitement pour la connexion (le out) que voici :
Description : AVP Update
Protocol : TCP
Direction : Outgoing
Port Type : Any
Application : i:\program files\fichiers communs\kav shared files\avpupd.exe
Remote endpoint :
    Adress type : Any
    List of port : 21
Action : Permit
Mais comme l'entrée (in) n'est pas liée à avpupd.exe (dans les logs), je ne
sais pas comme créer la règle_qui_va_bien, qui correspondrait au blocage
suivant de la règle (16) :
11/Mar/2002 22:22:44   (16) Block High Trojan Ports TCP UDP (Notify)
blocked; In TCP; downloasd2.kaspersky-labs.com
[195.170.248.2:20]->localhost:5003; Owner: no owner

Ce que je ne comprends pas c'est que je ne peux pas créer une règle laissant
toute application (any) passer depuis le port 20 en entrée tout de même!!
si?
A la limite, je peux réduire le champ en rentrant l'IP du site, mais ça va
imposer des updates sur une seule adresse. Or AVP change souvent il y a une
liste importante de sites pour les updates.

Ne s'agissant que d'une application et ponctuellement, pourquoi
n'essaies-tu pas :
Description : AVP Update
Protocol : TCP
Direction : Both
Port Type : Any
Application : i:\program files\fichiers communs\kav shared files\avpupd.exe
Remote endpoint :
Adress type : Any
List of port : Any
Action : Permit

Pour AVP Update, le port 80 suffit.

En fait, je me rends compte maintenant que mes règles fonctionnent
parfaitement, mais que c'est KPF qui bugge parfois puisque même en cliquant
"appliquer", il arrive que les règles ne soient pas bien prises en compte.
Il faut alors quitter le mode d'administration et y revenir ensuite.

Non. Les règles sont interprétées de haut en bas, impossible que KPF bloque plus
bas ce qui est autorisé plus haut.
Seul l'inverse est d'application.

Pour tester sa sécurité 10/05/02

http://www.pcalpha.com/imprimer.php3?article=53

Pour les tests, j'utilise ce site http://scan.sygatetech.com/

http://websec.arcady.fr/

Services et ports 10/05/02

A quoi sert l'application LSASS.EXE qui ouvre le port 500 de ma
machine ?
Avez vous une idee des applications/services qui se cachent derriere le
svchost.exe qui lui aussi ouvre divers ports dont les
135-445-1028-1050-1231 ?
J'ai un peu cherché mais des réponses du genre NTC server pour le port
123 ne me dit rien...

De mémoire:
123 > Mise à l'heure sur serveur de temps
135-139 > Partage de fichiers

C'est surtout le port 139 qui est traité.

Documentation 10/05/02

Une réponse trés simple ici :
http://christian.caleca.free.fr/tcpip/les_sockets.htm

Et une à peine plus détaillée ici :
http://www.moreau-fr.net/reseau/nat/

Et si tu as du mal à t'endormir la nuit :
http://rfc.sunsite.dk/rfc/rfc1631.html
http://www.faqs.org/rfcs/rfc3022.html

Configuration du firewall pour NETMEETING 10/05/02

When you use NetMeeting to call other users over the Internet, several IP ports are required to establish the outbound connection. If you use a firewall to connect to the Internet, it must be configured so that the following IP ports are not blocked.

This port	Is used for
389	Internet Locator Server (TCP)
522	User Location Service (TCP)
1503	T.120 (TCP)
1720	H.323 call setup (TCP)
1731	Audio call control (TCP)
Dynamic	H.323 call control (TCP)
Dynamic	H.323 streaming (RTP over UDP)

To establish outbound NetMeeting connections through a firewall, the firewall must be configured to do the following:

· Pass through primary TCP connections on ports 389, 522, 1503, 1720, and 1731.

· Pass through secondary TCP and UDP connections on dynamically assigned ports (1024-65535).

The H.323 call setup protocol (over port 1720) dynamically negotiates a TCP port for use by the H.323 call control protocol. Also, both the audio call control protocol (over port 1731) and the H.323 call setup protocol (over port 1720) dynamically negotiate UDP ports for use by the H.323 streaming protocol, called the real time protocol (RTP). In NetMeeting, two UDP ports are determined on each side of the firewall for audio and video streaming, for a total of four ports for inbound and outbound audio and video. These dynamically negotiated ports are selected arbitrarily from all ports that can be assigned dynamically.

NetMeeting directory services require either port 389 or port 522, depending on the type of server you are using. Internet Locator Servers (ILSs), which support the lightweight directory access protocol (LDAP) for NetMeeting, require port 389. The User Location Service (ULS), developed for NetMeeting 1.0, require port 522.

Ensuite cliquez sur ajouter, Donnez le Nom Netmeeting, et mettre le port à
ouvrir (même valeur dans Port externe et interne).Netmeeting utilise les
ports TCP 1731,1720,1503,522 et 389.

Configuration de KPF 14/05/02

- A quoi sert la règle loopback et où faut-il la placer. Tu la conseilles après la 9 alors que A. Vouillon et un site anglais la placent en 1, pourquoi ?

Alain Vouillon m'avait demandé de rectifier ses règles : je n'en ai pas eu le temps :)

Simplement parce que Kerio a évolué et que cette règle doit être placée de préférence là pour plus de sécurité, dixit Stnislas Kovlar, le programmeur de Kerio avec lequel je suis en rapport fréquent puisque je suis le traducteur officiel du programme lolPour le protocole ICMP c'est le noir complet; je ne comprends pas à quoi il sert et pourquoi on a une règle J5 et J6 qui s'opposent à une règle J9 inverse.

Elles ne s'opposent pas mais se complètent : si tu utilises des applications de tracert, ping, scanners, etc.., ces applications doivent avoir ces règles. En mettant la règle qui bloque tout plus bas, les autres applications n'ont pas accès :)
-Tu précises que J10 bloque toutes les requêtes externes VERS des ports classiques alors que la règle est INCOMING

Ben fatalement ! Ce sont bien des requêtes venant de l'EXTERIEUR qui essaient d'entrer sur ton poste !
Quelle est la différence entre PROTOCOLE ANY et PROTOCOLE OTHER et pourquoi quand on sélectionne OTHER a t'on une petite fenêtre qui
s'ouvre à côté.

Any veut dire n'importe lequel, bloque tous les protocoles. Quand tu sélectionne Other, tu peux entrer un autre protocole

que les protocoles courants, TCP/IP, UDP, ICMP, en le désignant par son No (il y en a plus de 300 reconnus, sur certains réseaux, il est utile de bloquer par exemple le protocole 2 est est un broadcast request)

Qu'est-ce que UDP 15/05/02

UDP (User Datagram Protocol) est un non-connected protocol (protocole non connecté), cela signifie qu'il ne crée pas un channel — toutes les data sont transférées via messages individuels (appelés datagrams). UDP n'assure pas la livraison sure et fiable de données car les datagrams peuvent être perdus pendant le transfert. Comparé au TCP protocol, UDP demande beaucoup moins de ressources (il n'y a pas d'établissement ni de fin de connexions, acceptation de data, etc.). UDP protocol est utilisé pour les requêtes de DNS, transferts de données son ou video, etc

Vérifier sa sécurité 18/05/02

Sur http://grc.com

Sur http://check.sdv.fr/

ouvrir le port 113 pour l'ident que les serveurs IRC attendent 19/05/02
"Mirc-ident" adresse IP de l'ordinateur qui se connecte /113/113/TCP

Désinstaller lop.com 19/05/02

Télécharge le désinstalleur ici :
http://lop.com/uninstall.exe
(Taille: 79KB) et garde-le précieusement au cas où tu retournerais dans des
endroits douteux...(;-))

Configuration KPF 19/05/02

A quoi sert la règle loopback et où faut-il la placer

Tu la conseilles | après la 9 alors que A. Vouillon et un site anglais la placent en 1,
| pourquoi ?

Le loopback est utilisé, entre autre, à des applications réentrantes (i.e. plusieurs processus identiques servant le même port mais pour des IP sources différentes). La règle doit être placée de préférence en 1ere position. En fait, selon les autres règles de ton fichier, elle a de fortes chances de pouvoir être placée n'importe où car unique en son genre.

Pour le protocole ICMP

c'est le noir complet; je ne comprends pas à quoi il sert et pourquoi on a une règle J5 et J6 qui s'opposent à une règle J9 inverse.

Le protocole ICMP (Internet Control Message Protocole) permet aux éléments actifs du réseau (routeurs, stations, etc) de prévenir la source, ou le destinataire, ou d'autres éléments actifs du réseau) de problèmes éventuels quant au déroulement d'une communication (e.g. réseau inconnu, machine absente, protocole interdit, flux trop important, etc ... Les deux requêtes les plus connus sont ICMP REQUEST ("ping" partant) et ICMP ECHO ("réponse" au ping). Pour en savoir plus : ttp://www.commentcamarche.net/internet/icmp.php3

dans quels cas utilise t'on CUSTOM ADRESS GROUP ?

Tu indiques ici les réseaux ou adresses IP des machines qui auront des droits privilégiés dans tes règles (on y met souvent par exemple l'adresse réseau de son LAN).

La règle IGMP

L'IGMP (Internet group Management Protocol) permet de gérer les flux multicast (adresses IP de classe D allant de 224.0.0.0 à 239.255.255.255). Le multicast sert, entre autre, à faire du streaming (vidéo). Sur XP ou Me, il est aussi utilisé par uPnP pour s'annoncer. Pour en savoir plus : http://www.microsoft.com/windows2000/fr/advanced/help/default.asp?url=/windows2000/fr/advanced/help/sag_tcpip_und_multicasting.htm

Quelle est la différence entre PROTOCOLE ANY et PROTOCOLE OTHER

et pourquoi quand on sélectionne OTHER a t'on une petite fenêtre qui s'ouvre à
côté.

ANY indique tous les protocoles IP (ICMP, IGMP, TCP, UDP, EIGRP, etc, pour ne citer que les plus connu).

OTHER indique un autre protocole IP que TCP ou UDP. Tu indiques le numéro du protocole dans la petite fenêtre à coté. Par exemple : 2 pour IGMP, 47 pour GRE, mais aussi 1 pour ICMP, 6 pour TCP, 17 pour UDP. Il y a ce jour plus d'une centaine de protocole encapsulable dans IP. Celui qui est utilisé le plus souvent est évidement TCP (qui encapsule le HTTP, le FTP, etc, etc).

Si tu fait un VPN par exemple, tu auras besoin de cette fonction pour autoriser les protocoles IP numéros 47 pour le GRE et 115 pour le L2TP.

Remarque : ne pas confondre le numéro du protocole IP et les numéros de ports TCP et/ou UDP.

Paramétrer un nouveau fichier de règles pour KERIO 09/06/02

Enregistrer FINAL.CONF DANS C:\PROGRAM FILES\kerio\personnal firewall

ensuite clic droit sur l'icône KERIO dans la zone de notification de la barre des tâches à droite

ADMINISTRATTION / ONGLET MISCELLANEOUS / Load et aller sélectionner le fichier FINAL.CONF

Vérifier ses ports 21/07/02

Recommandons un petit petit scan de ports prophylactique surtout a ceux qui sont
sous adsl (pour au besoin prevoir quelques rustines sur les ports ouverts).
Tests entre autres sur :
https://grc.com/x/ne.dll?bh0bkyd2
ou
http://www.dslreports.com/scan
ou
http://www.hackerwatch.org/probe/

... la bonne reponse est ...
Stealth!
No open ports were found.
Healthy Setup! We could detect nothing interesting on any of the default ports
on your IP address. Your computer appears to be a hard target. Well done!

Pour vérifier les ports de façon exhaustive et gratuite (mais longue...) il
y a aussi cette adresse :
http://scan.sygate.com/
Pour certaines applications, il faut laisser l'echo en fonction
(authentification, VPN etc..)

Testez votre antivirus 12/11/04

6. Si votre antivirus est correctement activé, il doit alors instantanément vous alerter de la présence du virus Eicar.

7. Demandez alors à votre antivirus de supprimer le fichier.

Efficacité de votre antivirus

Vérifiez que tous les ports ne sont pas ouverts 13/12/04

Problème du à True Vector

True Vector est un des modules de Zone Alarm

Problème de script dans Norton

Pas de problème, c'est un Bug de script en fonction du paramêtrage de
sécurité de I.E.,
il faut vider les fichiers internet temporaires.

Comment désinstaller NORTON SW

pour la désinstallation il y a un patch livré pour NSW qui marche avec NAV

Virus NETBUS

Pas si simple : Netbus contient un serveur trojan, la plupart des AV le
détectent mais ne le suppriment pas, il est souvent nécessaire
de le supprimer en démarrant sous DOS après avoir supprimé sa réf dans
win.ini
Différentes versions dont une version Pro qui est un logiciel commercial !
Clé à supprimer dans la BdR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Généralement sous le nom de patch.exe.
Un Anti-trojan est plus approprié qu'un AV
Celui-ci pe: gratuit : Ants 2.1
Renseignements (D) : http://www.ants-online.de/
d/l http://www.wilders.org/HTMLobj-850/ANTS_english.exe

Choisir un anti-virus

Parmi les anti-virus pas trop chers mais fiables tu as Nod32 (www.eset.com )
ou AVP (www.avp.ch )

Compatibilité McAfee

ta version 4.5.1 n'est pas compatible Xp
Ni la version 5.x.x
Il te faut la version 6.x.x la dernière en date étant la 6.0.2.
Qui elle est parfaitement compatible Xp.

Désactiver l'Active Desktop 26/05/02

La fonctionnalité Active Desktop permet aux utilisateurs d'utiliser des pages HTML comme fond d'écran. Quand on sait que des virus peuvent vous infecter rien qu'en affichant une page web, il y a de quoi être reticent à utiliser cette fonctionnalité. De plus, cela peut être une porte ouverte à des intrusions et cela ralenti aussi beaucoup votre ordinateur.
Pour désactiver l'Active Desktop, éditez le Registre puis ouvrez la clé KEY_CURRENT_USER/ Software/ Microsoft/ Windows/ CurrentVersion/ Policies/ Explorer.
Créez une nouvelle valeur DWORD appelée NoActiveDesktop (Edition, Nouveau, Valeur DWORD). Donnez lui la valeur 1 puis cliquez sur OK. Fermez le Registre puis redémarrez l'ordinateur pour que la restriction soit active.