Va voir ce post, j’explique déjà tout 
Hi encore et toujours moi !!
Renseignements pour configuration entre defense+ et antivir :
Je viens de m’apercevoir que j’avais donc defense+, activé en mode “sécurisé”, mais aussi antivir guard d’activer. Y en aurait-il pas 1 de trop et donc risque de conflits entre les 2 ??
Si oui, lequel désactivé ??
Si désactivé antivir guard, quel est l’interet de l’antivirus ??
Décidement, l’informatique pour un chat, c’est d’un compliqué !! ;D
Antivir guard, c’est le moteur antivirus non ?
Si c’est bien ça, il suffit juste de ne pas avoir un autre antivirus résident actif. Defense+ n’a rien à voir avec cela. L’équivalent de Comodo serait le moteur AV.
J’ai antivir activé, avec firewall/defense+ v3, sans av.
Le seul souci, c’est que sur certains fichiers de mes disques (par exemple de contrôle à distance et l’intégralité ou presque des leaktests), dès que je fais une copie de sauvegarde, et ce malgré les soins que j’essaie d’apporter aux listes d’exclusion…ça braille 2 fois, une pour defense+, l’autre pour av guard.
av guard est le module de recherche “en temps réel”, qui surveille l’activité de tout fichier qu’on utilise: dans l’exemple que j’ai cité, en faire une copie avec un logiciel tiers de partition à partition suffit à le faire brailler 2 fois, une pour la source, l’autre pour la destination.
Si c’est le comportement qu’av guard surveille, alors c’est un hips, il faut donc en couper un.
C’est sur la version payante d’antivir ? il ne me semble pas l’avoir vu sur la version gratuite ce truc, même sur la version 10.
Non, non, gratuit v10.
Le scanner examine en tâche planifiée ou à la demande, le guard intercepte l’accès à tous les fichiers, mais parler de hips est beaucoup, il se contente de les comparer à la base virale plus “détection heuristique”.
Rien à voir avec defense+, puisque ce ne sont pas les interactions de l’exécution de tel fichier avec tel processus, exécutable, registre… qui sont surveillés, et c’est probablement de ce fait qu’il n’y a aucun conflit.
oui sharoan,c’est sur, antivir version gratuite V9 !!
http://nsa15.casimages.com/img/2010/03/28/100328113123269253.png
Maintenant le désactivé, vois pas vraiment pourquoi sinon à quoi sert l’antivirus ??
Conflit avec defense+, pour l’instant et de mon avis perso, j’en doute … en tout cas pas vu de problème !!
“v guard est le module de recherche “en temps réel”, qui surveille l’activité de tout fichier qu’on utilise” ==> OUI
“Si c’est le comportement qu’av guard surveille, alors c’est un hips, il faut donc en couper un.” ==> hum, mais si ils font tous les 2 la mm chose pourquoi defense nous envois X infos alors qu’antivir rien ??
Enfin bref tant qu’on m’auras pas expliquer, clairement a quoi servent telle ou telle actions de tel ou tel logiciels, je laisse comme ça … j’irai chercher des infos sur le net ici ou là demain !!
J’ai du mal à suivre là, peut être se fait il très ■■■■ ;D
Parce que là, tu me décris un moteur antivirus. Donc pourquoi des alertes d’antivir ? Ou alors j’ai mal suivi et c’est defense+ qui alerte car antivir accède à quelque chose. Je penche pour la seconde solution.
Normalement, il faudrait passer tout antivir en fichiers sûr, le soucis étant les updates qui devraient les faire sortir de la listes des fichiers sûrs.
Je crois de mémoire avoir lu que c’était plus dans les fichier protégés qu’il fallait le mettre, toutefois, gros doute, et je n’ai pas le temps de chercher ça ce soir.
Je viens de faire l’expérience avec breakout-wp-exe, un leaktest que j’ai copié de son emplacement actuel (que j’ai exclu d’antivir) vers le bureau.
Aussitôt intercepté par antivir guard:
C:\Documents and Settings\poste1\bureau\breakout-wp-exe
contient le cheval de troie TR/Agent.OC
Defense+ est resté parfaitement silencieux: je n’ai rien fait d’autre que copier.
Si maintenant je clique sur l’exécutable (après avoir neutralisé avguard, sans quoi il n’y a pas moyen), Defense+ intercepte une demande d’explorer.exe sur cet exécutable (que je refuse, cela va de soi).
Je ne parlais pas de l’interaction avira-defense+ dans le fonctionnement de defense+:
avira se contremoque de comodo.
Dans l’autre sens:
concernant le firewall, j’ai personnalisé une règle permettant l’update.
concernant defense+, il y a lieu d’écrire une palanquée de stratégies de sécurité:
update.exe, avwsc.exe, avguard.exe, avgnt.exe, avconfig.exe, sched.exe, avscan.exe, avcenter.exe, où avguard est le module “on access” tandis que avscan est le module “on demand” (curieux, en anglais dans le texte, et pas en teuton).
Je ne suis pas un fan des antivirus comme je l’ai expliqué par ailleurs, et si j’ai essayé, ptichat, c’est précisément parce que quelqu’un sur ces mêmes forums en contestait la possibilité.
ça fait plusieurs semaines que ça tourne comme ça, et sans aucun problème sous xp pro sp3 (à condition, bien sûr, que l’antivirus cis lui-même ne soit pas installé).
“j’ai copié de son emplacement actuel (que j’ai exclu d’antivir) vers le bureau. Résultat : Aussitôt intercepté par antivir guard”
Parfaitement logique, si tu prends un virus ds la base d’antivir qu’il reagisse de suite … ;D
Ensuite est ce le role de defense+ de reconnaitre des virus ?? je pense pas !
Bon de tt façon je pense comme toi que cela ne pose pas de problème d’avoir les 2.
Par contre, effectivement, sur les forums où je suis allé, on retrouve toujours le mm problème. parefeu comodo bloque Mise à jour de antivir (quelque soit les versions) … perso pas eut de problème, mais en mm temps connaissant que comodo, une fois installé, apprenait ce qui se passe … ba je l’ai installé en dernier et tout se passe bien !
Ensuite etant un novice pur là dedans, c’est installé mais à quoi cela sert réellement/concretement, je ne saurais dire !!
Je dois avoir une etoile au dessus de la tete 2 à 3 ans sans antivirus … nickel.
Et là ça fait 2 ans que j’ai mon nouveau PC et antivirus n’a jamais eut a m’avertir de tentative d’entrée de virus … par contre plus embeté par les malwares & Co !!
Je ne suis pas certain que l’ordre d’installation ait une importance, contrairement à ce qui se passe pour kav (ou outpost), du fait que kav est blacklisté par comodo et prend la main sur le système par le biais d’un pilote ndis propriétaire.
Et comodo n’interdit bien sûr en rien les maj d’avira dès lors qu’on a pris le soin de fabriquer ses propres règles, en clair de choisir le mode proactive, en stratégie personnalisée, niveau d’alerte haut ou maximum.
Dans ces conditions, il y a lieu d’autoriser comodo update, tcp out port 80 vers 62.146.66.184 et de créer une règle d’autorisation defense+ pour comodo update (incluant le blocage de avnotify…)
Brucine :
“Et comodo n’interdit bien sûr en rien les maj d’avira dès lors qu’on a pris le soin de fabriquer ses propres règles, en clair de choisir le mode proactive, en stratégie personnalisée, niveau d’alerte haut ou maximum.”
“Dans ces conditions, il y a lieu d’autoriser comodo update, tcp out port 80 vers 62.146.66.184 et de créer une règle d’autorisation defense+ pour comodo update (incluant le blocage de avnotify…)”
C’est du charabia tout ça pour moi … :-
Et finalement, j’ai viré antivir guard car il me semble bien qu’il a la mm fonction que defense+, donc pas la peine d’être parano plus qu’il ne faut … 1 seul gardien ça suffit !! :P0l
Et finalement, j'ai viré antivir guard car il me semble bien qu'il a la mm fonction que defense+, donc pas la peine d'être parano plus qu'il ne faut ... 1 seul gardien ça suffit !! Police
Non.
Comme évoqué sur la page précédente, antivir guard ne fait que comparer en temps réel l’accès à tout fichier (le seul fait d’ouvrir un dossier le contenant suffit) à la base antivirus.
Defense+ n’agit que sur un fichier effectivement exécuté, dont il recherchera les interactions avec d’autres exécutables, processus, périphériques, le registre…: il recherche des comportements pas forcément anormaux (tout exécutable non “trusté” est en ligne de mire) et n’a pas d’action antivirus (comparer passivement un fichier à une base) mais une démarche active (analyser a posteriori les modifications résultant d’un exécutable pour permettre à l’utilisateur de déterminer si ces modifications sont ou non acceptables).
A titre d’exemple, j’ai interdit certains modules internet d’Acrobat (full), qui n’est pas pour autant un malware, ou bien encore, j’ai expréssement spécifié les exécutables autorisés en ligne de commande (cmd.exe).
Bonjour, Appel aux experts de Comodo
Y a quelque chose qui colle pas au niveau de mes ports et de la dèfense de mon pare feu !!
http://nsa14.casimages.com/img/2010/04/01/100401075643859395.png
Image directe sur hebergeur car je sens que là l’apercu va être mauvais niveau visuel !!
http://nsa14.casimages.com/img/2010/04/01/100401075643859395.png
Et j’ai fait qu’une capture mini, j’en ai toute une page mais toujours les 2 mêmes lignes.
??? Je ne sais absolument pas à quoi ça corresponds, est-ce une bonne défense ou pas ?, et éventuellement, me donner la soluce pour réparer dans le cas où ceci serait réellement un problème !!
merci.
C’est une requête d’appel pour le partage de fichier sur le réseau que tu as apparemment bloqué.
En résumé, les ports 137 à 139 (y ajouter, pour la bonne forme, au moins 135 et 445) peuvent être autorisés s’ils concernent le seul réseau local, et doivent être condamnés à l’extérieur.
Les requérants les plus fréquents sont system (le plus souvent udp) et scvhost (tcp in, le risque majeur est là).
Si tout fonctionne localement (ce ne peut être le cas si on a plusieurs machines en réseau local), on peut aussi condamner localement ces ports.
Mais il est plus simple dans ces conditions de carrément désactiver Netbios:
Connexions réseau-“connexion active”:
-propriétés: désactiver le partage de fichiers
-protocole tcp/ip, propriétés, avancé, wins: désactiver netbios.
En profiter pour désactiver les services inutiles et dangereux, ce site, bien que conçu pour xp sp2, est assez bien fait:
http://www.libellules.ch/phpBB2/les-services-windows-2000-xp-optimisations-t16542.html
Dans le cas qui nous intéresse, les ip mises en question sont non routables (en français, non accessibles d’internet), et concernent pour l’une la machine active (192.168.0.1) pour l’autre la passerelle (192.168.0.255), elle-aussi virtuelle et locale puisqu’elle ne sert en principe qu’à la “découverrte” d’autres machines sur le réseau local.
Si on veut faire du zèle, on peut créer une zone réseau dans le firewall, qu’on appellera par exemple “lan”, et qui s’étendra de 192.168.0.1 à 192.168.0.255.
Maintenant, on va créer dans les règles d’application du firewall, de haut en bas, 2 règles à la fois pour system et svchost:
tcp/udp, in et out: source=lan zone, dest= lan zone, ports source = any, ports dest = 135-139, allow
puis:
tcp/udp, in et out: source =any; dest = any, ports source =any, ports dest = 135-139, block (et log ou pas)
Petite question:
A suposer que j’aurais par exemple “privatefirewall” en pare-feu et comodo en av, en sachant que le pare-feu dispose d’une proactivitée(+basée sur internet, je crois)serait il possible d’activer defense+ et eventuellement la sandbox? (je pense que non, mais je voudrais confirmation)
Au passage gros souci avec cis sous seven 64 bits, alors qu’avec vista 64 bits tout va bien!
ba moi j’y connais pas grand chose mais si ton firewall à deja une proactivitée aucun interet de mettre defense+. Quand à la sandbox, à lire les commentaires des autres membres, je déconseille aussi car à priori pas encore au point.