probleme virus sasser avant et apres le demarrage de lns !

Discussion in 'LnS French Forum' started by miyaki, Jun 8, 2004.

Thread Status:
Not open for further replies.
  1. miyaki

    miyaki Registered Member

    Joined:
    Jun 8, 2004
    Posts:
    3
    bonjour,

    j'ai essayer ZA et je me suis tourne vers lns et je doit dire qu'il est mieux, plus complet mais j'ai cependant un probleme.
    je suis victime de sasser (message me disant que mon pc va s'arrete ds 1 min, prob lsass.exe ....), d'ailleur c'est pour ca que j'ai pris za, avec za pas de prob mais avec lns le virus passe de 2 facons:

    1: soit il apparait au demarrage, je me suis dit que c'etait parce que lns n'etait pas encore actif, non ?
    ds ce cas c'est grave je suis connecter sans etre proteger certes pas longtemps mais quand meme.

    2: soit il apparait en cours d'utilisation !, cela est arrive hier. connecte depuis 2 jours sans probleme, avec la mule tout d'un coup le message apparait, le virus etait passe !, pourtant l'activite sur le port 445 etait soutenu depuis le depart et "tout" etait arrete, pas de prob, et la il apparait !

    merci de vos reponses car a par ca rien a dire.
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    il est possible que tu ai été infecté en changeant de firewalls, et que tu le sois toujours. Plusieurs virus utilise les vulnérabilités Windows, tu n'as pas forcement Sasser.

    Première étape, désinfectes toi, fais un scan anti virus, en étant déconnecté.
    Ensuite, soit sûr que tu as la bonne interface réseau de sélectionné dans les options, si Look'n'Stop ne protège pas la bonne interface c'est normal que tu ne soit pas protégé. Pour savoir quelle interface choisir, aller sur cette page :
    http://www.looknstop.com/Fr/faq.htm#interface_reseau

    Ensuite tu peut éventuellement importer le jeu de règle que j'ai mis en pièce jointe, à renommer en ".rie" tout cours et à importer en tête de liste depuis l'onglet filtrage internet. Ne pas oublier de cliquer "appliquer" et "sauver".

    Enfin, tu peut te connecter et vérifier que Look'n'Stop te protège bien avec ce site de scan en ligne :
    https://grc.com/x/ne.dll?bh0bkyd2

    Si tu souhaite désactiver des services windows que les virus utilisent, tu peut utiliser l'utilitaire suivant :
    http://www.firewallleaktester.com/wwdc.htm

    Attention, maitriser l'anglais pour comprendre ce que tu fais avec.

    gkweb.
     

    Attached Files:

  3. miyaki

    miyaki Registered Member

    Joined:
    Jun 8, 2004
    Posts:
    3
    merci pour ta reponse claire et rapide !!!

    j'ai essayer le site grc mais que dois-je avoir pour etre bien proteger car les port etaient vert ds un premier temps, j'ai donc autorise leur ip mais il me reste encore les port 135 a 139 et le port 445 !!! en vert le reste est en bleu (ouf!), au final il me met "failed" en general et pour "Solicited TCP Packets" et "Ping Reply"
    j'ai bien evidement mis tes regles et meme fait des regles pour interdire les port de 135 a 139 et 445.

    1 : est-ce normal qu'ils soit en vert ?
    2 : pourquoi il met failed pour "Solicited TCP Packets" et "Ping Reply" ?

    3: pour ton wwdc c'est pas grave s'ils sont desactiver ?
    4: pour l'interface j'ai le cable (noos) donc j'ai "carte pci ethernet base..." d'activer , pas le drivers lns ,je pense que c'est bon , non ?

    Merci pour vos reponses.
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    vert = ok (sécurisé)
    failed = il a pas réussi = ok

    Je comprend pas ta question 3.

    Pour l'interface, si le site de scan te met tout en vert c'est ok.

    gkweb.
     
  5. miyaki

    miyaki Registered Member

    Joined:
    Jun 8, 2004
    Posts:
    3
    remerci!,
    y'a peut etre un malentendu, si tu comprend pas, je pensais que l'application de ces patchs desactivait les services associes.

    des questions qui n'a rien a voir avec avant

    1: entre le filtrage logiciel et l'internet quel est celui qui prime ?, par exemple si je fait une regle qui interdit le port 4665 en internet et que ds les filtrages logiciels je dit que emule peut utiliser le port 4665.
    dans quel ordre est effectuer le filtrage ?

    2: lns se lance-t-il vraiment au demarrage avant que je sois connecter au net ? (ou y'a-t-il un temps ou je ne suis pas proteger le temps qu'il se lance ?)

    3: y aura -t-il des amelioration de lns, comme avoir un onglet avec l'etat des port en temps reel qui sont ouvert et par quel appli, fermer... se serait plus simple pour voir si on fait bien les regles ou pour avoir une infos simple

    4: y-a -til un regroupement des regles comme ton worms.rie ou ton farcry.rie j'ai chercher, j'ai trouver pleins de regles mais pas de centralisation ?

    Merci.
     
  6. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    WWDC désactive les services associés en effet, et par là même ferme les ports critiques.

    C'est le filtrage internet qui prime, toujours, donc dans ton exemple emule sera bloqué.

    Les drivers de Look'n'Stop se chargent très tôt, juste après le driver TCP/IP de Windows.
    Si tu arrive sous ta session, Look'n'Stop se lance (l'interface) et tu peux te connecter après.
    Si cependant tu es sur un réseau local et que tu es donc connecté en permanence, il y a un léger temps où les drivers sont chargés mais l'interface Look'n'Stop non lancée.
    Pour palier à ce problème, il est désormais possible de lancer Look'n'Stop en tant que service :
    https://www.wilderssecurity.com/showthread.php?t=31534

    Look'n'Stop sera ainsi totalement chargé avant que tu rentre dans ta session.

    http://www.looknstop.com/Fr/rules/rules.htm

    gkweb.
     
Thread Status:
Not open for further replies.