Bonjour,

Comment visualises tu les tentatives d'accès à ta machine et l'information "MS ASN1 integer overflow TCP " ?

Que veux tu dire par "bac" à mettre à jour ?

Est ce que tu vois le port TCP sur lequel l'intru tente de se connecter ?

cdlt,
Phil B.

bonjour philbac,

Tout d'abord merci de m'avoir répondu.

chaque fois que l'intrus essayait de rentrer dans le pc, l'anti-virus Noton ouvrait une petite fenêtre disant que je venais d'être attaquée et que Norton l'avait bloquer. Le port attaqué est netbios-ssn (139), (je ne vois pas ce que c'est),
ce jour-là, les attaques étaient d'au moins d'une centaine, souvent à répétitions, dix fois d'affiler par fois, je me déconnectais d'internet, et dès que je me connectais à nouveau les attaques reprenaient, que pour finir, j'ai coché dans la case pour que Norton ne m'avertisse plus des attaques de cet intrus.

Pour le bac, je parlais de l'ordinateur, le mien est programmé pour faire automatiquement une mise à jour toutes les semaines.

Comment savoir maintenant si l'intrus n'est pas parvenu à rentrer dans mon pc ?

cordialement.

marina

Dernière modification par marina (2006-03-21 13:28:28)

Bonjour,

J'ai exactement le même problème depuis le 16/03/2006.
Norton me prévient d'une tentative d'intrusion de MS ASN1 integer overflow TCP provenant d'une quinzaine d'IP différentes.
J'ai eu une cinquantaine de tentative d'intrusion en 4 jours !!

En résumé, avec le Firewall qui stoppe les tentatives, la mise à jour du système d'exploitation qui comble la faille, un antivirus et un antispyware à jour, vous êtes correctement protégée.

Merci beaucoup pour vos réponses et renseignements.
Mais à la suite de ces différentes attaques,  je surveille de près Norton et ce qu'il autorise ou bloque. Et je viens de m'apercevoir que l'une des IP qui m'attaque avec MS ASN1 integer overflow TCP, a été autorisé par Norton par la règle "Partage de fichiers Windows par defaut" et il y a eu échange d'octets.
J'ai modifié le paramétrage de norton et j'ai bloqué cette règle.

Savez-vous si le fait de modifier cette règle bloquera un fonctionnement quelquonque ?
Et avez-vous une idée des conséquences possibles suite à l'intrusion via "partage de fichiers windows par defaut" ?

Merci.

Encore merci pour toutes vos infos.
Pour l'instant, tout va bien sur mon ordinateur mais je suis attaquée de toutes parts.
J'ai maintenant des tentatives d'intrusion de types :
- SMB Microsoft Windows 2000
- HTTP MS Windows WMF Code Exec
- EPMAP
Mais je résiste ! (mon antivirus, antispyware et windows sont à jour et font leur boulot...)
Pourvu que ça dure !

Bonjour,
Je confirme; 2 antivirus sur une même machine et c'est une cohabitation qui tourne mal ..... Il n'y a de place que pour un !!
Il faut plutot faire un scan avec un antivirus en ligne en plus de ton antivirus résident dans ce cas. Tu as bien deux avis de 2 éditeurs distincts et çà fonctionne sans problème. Et effectivement Bitdefender, Trend Micro HouseCall, Norton aussi permettent de pouvoir scanner en ligne avec leur propre produit sans pour autant que ces derniers soient installés sur ta machine.
Réinstalle ton Norton propre si possible.
Quant au message du Norton, je suppose (mais moi pas connaitre Norton et pas vraiment l'apprécier non plus) qu'il scanne aussi les flux sur la messagerie instantannée genre MSN , Yahoo et qu'il te dit qu'il a été activé ....
A suivre !!!

Avast lui aussi a une système d'analyse de fichiers pour les messageries en protection résidente. Norton et Avast se sont mélangés les pinceaux. Cela explique probablement le message dans Norton.

Une piste d'analyse :
- vérifiez tout de même les users créés pour votre messagerie intantanée (en fonction du logiciel, des entrées peuvent apparaitre dans la base de registre ou dans un fichier de configuration sur le HDD).
- vérifiez aussi les répertoires dans 'Documents and Settings", regardez si vous reconnaissez les noms utilisés pour les sous répertoires (All users, Default user, ...) : à part ces deux là, les autres noms correspondent aux utilisateurs qui se sont un jour connectés et ont créé un compte sur votre PC.

Un autre logiciel qui recherche les spyware/malware : Hijackthis (conseillé aux utilisateurs expérimentés)

Je n'ai pas essayé, mais il est possible qu'Avast fonctionne si Norton est simplement mais complètement désactivé (tous les modules) et vice versa. Le passage de l'un à l'autre est à faire de préférence hors ligne. Ce ne devrait être qu'une situation temporaire (le bon moment pour comparer et choisir un des deux). A long terme, faire cohabiter deux antvirus est trop compliqué. Un seul bon antivirus suffit à arrêter 99% des virus. Le 100 % n'existe pas. Comme SR, je ne suis pas fan de Norton. Je le trouve lourd, pas transparent sur sa config et un peu trop porté sur le marketing.

Dernière modification par philbac (2006-03-25 22:03:26)

A tester (check de la sécurité du système et antivirus en ligne IE Norton) :
http://security.symantec.com/

Dernière modification par philbac (2006-03-25 22:21:31)

Bonjour  Marina

Si tu utilises Norton Personnal Firewall (ou Norton Internet Sécurity), tu peux règler le pare-feu et ajouter quelques règles dans celui-ci pour "être beaucoup plus tranquille".

Pour ce faire, dans les options de configuration du pare-feu:
- tu actives la surveillance des lancements des programmes
- tu actives la surveillance des composants des programmes

Ensuite, au niveau des paramètres de sécurité avancés, tu masques les ports bloqués et tu bloques tous les paquets IP fragmentés.

Ensuite, tu désactives la mise à jour automatique des outils Norton.

Ensuite, tu ajoutes les 7 règles suivantes dans le pare-feu:

REGLE 1) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 4661 à 4662, 4671 à 4672. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage eMule - eDonkey (perso)"

REGLE 2) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 6881 à 6999 et 8881 à 8889. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage Bittorrent – Azureus - BitComet (perso)"

REGLE 3) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 111, 113 et 137. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage trafic sur ports "xxx" (perso)"

REGLE 4) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 1433, 1434, 6346, 7561, 7627, 8544 et 8860. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage trafic sur ports "xxxx" (perso)"

REGLE 5) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 10000 à 65500. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage trafic sur ports "xxxxx" (perso)"

REGLE 6) Blocage de toutes les communications TCP et UDP entrantes sur les Ports locaux 1025 à 1030. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et dans le descriptif tu mets "Blocage trafic sur 1025 à 1030 (perso)"

REGLE 7) Blocage de toutes les communications TCP et UDP entrantes sur tous les ports. Au niveau suivi tu coches "Créer une entrée dans le journal des évènements" et "Me prévenir avec une alerte de sécurité" et dans le descriptif tu mets "Blocage tout trafic TCP et UDP (perso)"

Voilà.
Concernant la position de ces règles:
1) tu places les règles 1, 2, 3, 4 et 5 tout en haut, c'est-à-dire qu'elles seront traitées avant toutes les autres

2) tu places la règle 7 tout en bas, c'est-à-dire que c'est celle qui sera traitée en dernier

3) tu places la règle 6 juste avant la règle "Vérification de signature numérique par défaut" qui autorise certains flux (c'est à dire presque en bas)

Voilà.
Là, tu seras tranquille.
Par contre, tu ne pourras pas faire de P2P.
Surveilles ensuite les informations enregistrées dans le journal du pare-feu, comme cela tu pourras voir les flux bloqués.

Pour la mise à jour automatique, je te conseilles de la désactiver car, très régulièrement, il y a des problèmes sur les serveurs de Symantec qui empêchent le bon déroulement de la mise à jour du produit.
Donc l'utilisateur pense que son produit est à jour, ce qui peut ne pas être le cas quelquefois.
Donc, tu cliques sur la fonction LiveUpdate toi même tous les 2 ou 3 jours et tu vois si la mise à jour se fait normalement.
Eventuellement, avant de te connecter à LiveUpdate, tu désactives la règle n°6 "Blocage trafic sur 1025 à 1030 (perso)" qui, quelquefois, peut bloquer la mise à jour (une fois la mise à jour effectuée, tu la réactives).

Voilà.
Si tu procèdes ainsi, tu ne devrais pas avoir de problèmes particuliers avec ton produit Norton.
Personnellement, j'utilise cette méthode depuis Novembre 2003 et je n'ai jamais eu de problèmes (je touche du bois).

A+

Albert