port 135 ouvert avec looknstop

Discussion in 'LnS French Forum' started by dav, May 23, 2006.

Thread Status:
Not open for further replies.
  1. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    Bonjour,

    Apres avoir essayé la version gratuite de looknstop pendant un mois; je l' ai acheté par internet car j' en suis tres satisfait.
    le probleme c 'est que depuis quelque jours (suite a une restauration du systeme) les test de pcflank me disent que le port 135 est ouvert .Pourtant j' ai exactement la meme configuration qu' avant la restauration ( looknstop 2.05p2; regles evoluées toute activées sauf tcp autoriser l' identification et le tcp stateful packet inspection non coché).meme si j active tcp autoriser l' identification ou si je coche tcp stateful inspection c' est pareil , le port 135 est toujours ouvert...
    J' utilise firefox depuis peu mais c' etait deja comme ca du temps ou j' avais encore internet explorer.
    exactement avec la meme config qu avant (ou tout etait ok) maintenant le port 135 est ouvert.
    Je suis allé voir les messages sur le forum pour eviter de poser une question deja poser mais j' ai pas vraiment trouvé la reponse exact et comme je suis pas un as de l' informatique , je redemande si quelqu un voudrais bien m' aider (au risque de me faire virer lol...)
    Merci d avance pour votre aide!
    dav
     
  2. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    1- vérifie que le filtrage internet est activé (coche l'option en bas à droite)
    2- vérifie que la règle "bloquer les connexions entrantes" est activée:
    première colonne...
    3- édite cette règle et assure toi que l'option "bloquer les connexions venant
    du réseau" est bien cochée: cela bloque les paquets TCP entrants avec le
    flag SYN et en particulier les paquets envoyés sur le port 135 Rpc Dcom
    ou "epmap"

    Si tu n'y arrive pas exporte tes règles, change l'extension pour .txt et envoi
    le tout ici en pièce-jointe.

    Dit-nous ce que ça donne.
     
  4. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    salut !
    merci pour vos reponse...
    le filtrage internet est activé et pour la regle "bloquer les connexions entrantes" ( enfin je pense que c' est bien celle ci ) l option "bloquer les connexions venant du reseau" est bien coché .

    Un truc bizarre c' est que j' ai fait le test sur shield s up et la il me dit que tous les port sont stealthed meme le port 135 .j' ai voulu refaire le test sur pcflank mais je ne suis pas arrivé a me connecter au site , ca me dit "délai d' attente dépassé".
    je vais assayer de joindre mes regles avec ce message , je sais pas trop si ca va marcher ...
     
  5. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    bon ben ca a pas marché ...
    je recommence...
     
  6. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    encore une fois
     

    Attached Files:

  7. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    desolé pour ces 3 messages.. je suis vraiment pas doué pour l' informatique !lol
    apparament , cette fois c' est bon mais ca me met tout un tas de truc avec les regles ....
    merci pour votre patience ... et vos renseignements !
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    J'ai utilisé tes règles (modifiées en enlevant ce qui est inutile: arp, ident,etc)
    et fait le test avec Shields Up: tout est "stealth" !

    Règles jointes + copies d'écran.

    :)
     

    Attached Files:

  9. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Tous les ports de 0 à 1055:
     

    Attached Files:

    • ex01.jpg
      ex01.jpg
      File size:
      124.3 KB
      Views:
      575
  10. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Résultat du test Shields Up:

    change les règles que j'ai attachées de .txt en .rls
    charge-les dans LNS puis "appliquer"
    redémarre le PC et refait le test Shields Up.

    Dit-nous si ça marche.
     

    Attached Files:

    • ex02.jpg
      ex02.jpg
      File size:
      43.4 KB
      Views:
      574
  11. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    bonjour,

    je viens de refaire le test sur shields up qui est bon par contre j' ai refait le test de pcflank dont voici les resultats:Check for vulnerabilities of your computer system to remote attacks

    We have scanned your system for open ports and for ports visible to others on the Internet. As a rule an open port means your computer is vulnerable to attacks by crackers. They gain access to your computer and its files through these open ports.
    At Risk!

    Warning!
    The test found visible port(s) on your system: 135

    Recommendation:
    Install personal firewall software. PC Flank recommends Outpost Firewall Pro.

    If you have already installed and are using a firewall, check if it is set to make all the ports of your computer invisible (hidden). If it is, then get new firewall software and redo this test.


    Trojan horse check

    The test scanned your system to find signs of a Trojan. If a Trojan horse is on your computer a cracker can access your system's files and your personal data.
    Safe

    Safe!
    There is no evidence of a Trojan horse on your system.

    Recommendation:
    The absence of a Trojan horse on your system does not mean this problem cannot happen, of course. Anti-virus and/or anti-Trojan software should be installed and used on your system. Anti-trojans to consider are: The Cleaner, PestPatrol or Tauscan.

    If you already use this type of software on your system, its virus definitions (virus database) should regularly be updated.
    Browser privacy check

    The test checked if your web browser reveals any private information while you visit Web sites. Usually such information is: the last site visited, your locale and who your Internet Service Provider is.
    At Risk!

    Attention!
    Your computer may save special cookies on your hard drive that have the purpose of directing advertising or finding out your habits while web surfing.

    Recommendation:
    We advise you to get personal firewall software. If you already have a firewall program adjust it to block cookies.

    To compare your results to results of other users click on "Overall Stats".

    d' apres vous pourquoi shield s up me dit qur tout est ok alors que pcflank me dit qu' un port est visible??

    Merci pour vos renseignements !
     
  12. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut

    Eh l'ami :
    pas besoin de me répéter tous les mots que tu as vu sur le site de PCFlank!
    :rolleyes:

    Quel est le test qui te donne ce résultat? (son nom...)
    et le lien qui mène à ce test...

    Exemple:
    Stealth Test
    http://www.pcflank.com/scanner1s.htm

    Lequel de ceux-là?

    Donne-moi aussi une copie d'écran du résultat de ce test.
    Avec ça par exemple:
    http://www.mirekw.com/winfreeware/mwsnap.html
    gratos et Fr.
     

    Attached Files:

    • pcf.jpg
      pcf.jpg
      File size:
      7.7 KB
      Views:
      558
  13. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    Salut !

    desolé pour le précedant message un peu long ... lol

    Le test qui me donne ces resultat c' est Quick Test sur Pcflank .
    Voila son lien :http://www.pcflank.com/test.htm
    Le resultat de ce test c' est exactement ce que j' ai joint a mon précédent message .

    Merci
    @ +
     
  14. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Très étrange ton problème...
    Suite à une restauration disais-tu...

    Pour ma part j'ai refais le même test que toi avec les mêmes règles...
    Tout est OK. Je te joint les images pour qu'on se comprenne bien...

    1- la restauration était-elle depuis un point de restauration récent?
    N'aurait-elle pas restaurée :

    a) un malware quelquonque o_O
    b) les restes d'un précédent firewall mal désinstallé
    ou o_O

    2- Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

    Télécharge HJT depuis le site de l'auteur:
    [HijackThis pas Starter...]
    http://www.spywareinfoforum.com/~merijn/

    Décompresse le fichier (clic droit, décompresser...)
    Exécute le programme et choisi "scan and save log"
    Sélectionne ce log qui apparaît dans le bloc-notes
    et
    joint-le dans ton prochain message.
    (Précise-moi si tu es ou pas en réseau avec ce PC...)

    A+

    Voir les images commentées suite à ce msg.
    :)
     
  15. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Voici des extraits du journal de LNS au cours du Test PC Flank :
    Remarque le blocage (entre autre du port 135...)
     

    Attached Files:

  16. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Voici le résultat du test:
     

    Attached Files:

  17. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Voici les règles utilisées :
     

    Attached Files:

  18. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Finalement voici les détails de cette règle.

    Les règles standards et les règles évoluées passent toutes ces tests...

    N'oublie pas de m'envoyer ton log de HJT...

    A+

    :)
     

    Attached Files:

  19. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    Bonjour Climenole !

    j' ai télécharger HijackThis et fais le scan .Voila les résultats :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:09:07, on 29/05/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    C:\Program Files\Soft4Ever\looknstop\looknstop.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\slrundll.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Documents and Settings\david\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
    O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BDF969F3-BE7F-40A3-B6B9-555C8DF033E5}: NameServer = 80.10.246.134 80.10.246.7
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

    Voila pour les resultats du scan Hijack This.
    Je ne suis pas en réseau avec mon pc.

    Apres avoir fait la restauration complete du systeme (pas a partir d' un point de resto mais celle qui remet l' ordi dans l' etat ou on l' a acheté )je me suis servi un moment de internet explorer .Comme j' en avais marre des pubs et des bannieres j' ai telecharger et installé Proxomitron , un programme qui sert de filtre sur le net.Mais comme ca ne marchait pas tres fort , je l' ai desinstallé et ai mis Firefox a la place de ie et sans remettre le proxomitron.Aujourd hui je n' ai donc plus que Firefox (plus agreable que ie !) sans proxomitron .
    Le proxomitron a donc été desinstallé mais peut etre que certain fichier sont restés et genent le bon fonctionnement de Looknstop , non ?
    Merci @ +
     
  20. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    je sais pas pourquoi ca a mis des liens dans le rapport de scan d' Hijack This car dans le bloc note y a pas de lien ... encore un mystere !o_O
     
  21. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Salut,

    Selon moi, rien d'alarmant dans ton log. Par contre :
    Je crois que c'est la racine de ton probleme... As tu essayé de desinstaller puis reinstaller LNS? Comment te connectes tu (equipement)?
     
  22. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    1- Windows xp pas à jour !!!

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    2- Inutilitaires... désactive pour voir ce que ça donne ou pas...
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

    3- Un petit farceur à ce que je vois ;-)
    O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe

    :-D


    Fait les MàJ de W xp !

    Pour le reste:

    Je pense que Bloodscourge a raison.
    La restauration a sans doute mis le souk dans les paramètres du registre pour LNS.
    Désinstalle puis réinstalle.
    A+
    :)
     
  23. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    Bonsoir,

    quand j' ai fait la restauration j' avais deja acheté looknstop donc j' avais un numero de licence avec un numero de code lns.
    Apres la restauration j' ai retélécharger lns sur le site officiel (le version d' essai)
    et je me suis appercu que le code lns etait le meme qu' avant la restauration donc j' ai remis mon numero de licence d' avant la resto.
    Peut etre que c est ca le probleme ?

    Je vais mettre a jour windows ( sais pas trop comment mais bon ...), et si c 'est tjs pas bon je desinstallerais puis remettrais lns , on verra bien ...

    Encore une petite question , c' est quoi clickMe ??
    Pour repondre a Bloodscourge, j' utiilise une connexion bas debit par modem ... (eh oui ca existe encore ! lol )

    Je vais essayer tout ca et vous tiendrais au courant .
    merci
    @+
     
  24. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Pense pas...

    Commence par lire la FAQ de W xp d'Alain vouillon
    (Voir sp2 conseils d'installation...)
    http://a.vouillon.free.fr/faq-winxp.htm#163

    Soit un programme légitime:

    http://castlecops.com/s8042-ClickMe_exe.html
    http://www.trendmicro.com/vinfo/jokes/jokesDetails.asp?JNAME=JOKE_CLICKME.A
    mais si ce machin t'ennui tu n'as quà le désactiver ou le désinstaller...

    soit un malware (je ne crois pas que ce soit le cas...)


    -->>
    c'est toi qui l'a installé sur ton PC, comme se fait-il que tu ne sache pas ce que c'est o_O
    :rolleyes:

    A+

    :)
     
  25. dav

    dav Registered Member

    Joined:
    May 23, 2006
    Posts:
    11
    Bonjour,

    je vais faire la mise a jour avec windows update pour avoir le service pack 2.Je vais mettre tres longtemps a le telecharger si il fait une centaine de MO ou plus ...

    Je connais pas grand chose en informatique , j' évite d' installer des "trucs"
    que je connais pas .... Je n' ai jamais installé Click Me !! je sais meme pas ce que c' est !je vais essayer de le supprimer ....

    @ +
     
Thread Status:
Not open for further replies.