• Publicité

Windows Defender

Postez ici vos questions et(ou) vos solutions ayant pour thème les logiciels ou l'informatique en général. Vous pouvez également poser ici les questions informatiques qui n'auraient pas leur place dans les autres sections de notre forum d'entraide.

Modérateurs: Sebastien, Stéphane, Christophe

Windows Defender

Messagepar Tweety » 03 Nov 2007 12:39

Il y a trois jours je suis allé sur un site voir une bande-annonce en WMV au moment de la diffusion du clip, Windows Defender m'annonce dans une fenetre d'alerte:" Une modification du systeme a ete effetuee par une application inconnue. Type de modification inscription de l'application : c:\programes files\windows defender\MpCmdRun.exe." Je voudrai savoir si c'est une intrusion dans mon pc. Dans l'action entreprise j'ai cliqué sur "refuser" et en satut j'ai "operation reussie". Voici la liste des intrusions qui sont dans le module historique :
Ressources :
firewallport:
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\1712:UDP
Les deux autres sont les meme avec a la fin 1710 et 1711.
Pouvez vous me dire ce que c'est et si j'ai ete victime d'un mauvais virus ou spyware et quels riques j'encours, de plus Windows Defender me rappelle dans une fenetre a chaque demarage de windows : une modification du systeme...".
Merci pour vos réponses et pour votre aide.
Tweety
No0b
No0b
 
Messages: 18
Enregistré le: 25 Mai 2007 01:13

Messagepar Sebastien » 03 Nov 2007 23:17

Bonjour,

Pouvez-vous poster le rapport complet disponible dans Windows Defender.
Le message dont vous nous parlez survient quand une application tente d'ouvrir un port dans le Firewall, il s'agit probablement de votre lecteur de vidéo qui a ouvert un port pour pouvoir utiliser la lecture en direct.

Quelle était le type de bande annonce ? Du genre une bande annonce de film sur un site comme Allocine ?

@+
Image
Avatar de l’utilisateur
Sebastien
Administrateur
Administrateur
 
Messages: 5483
Enregistré le: 14 Fév 2005 19:17
Localisation: LILLE

Messagepar Tweety » 04 Nov 2007 01:50

Sebastien a écrit:Bonjour,

Pouvez-vous poster le rapport complet disponible dans Windows Defender.
Le message dont vous nous parlez survient quand une application tente d'ouvrir un port dans le Firewall, il s'agit probablement de votre lecteur de vidéo qui a ouvert un port pour pouvoir utiliser la lecture en direct.

Quelle était le type de bande annonce ? Du genre une bande annonce de film sur un site comme Allocine ?

@+


C'etait un streaming sur un site - non officiel - de series americain, je pense que c'etait une lecture live. Comment faire si ce streaming m'a ouvert des ports pour les refermer si c'est un danger pour mon pc (intrusion malveillante). Et j'ai toujours au demarrage de windows cette fenetre de windows defender qui me rappelle cette modification du systeme. J'ai aussi fais une restauration a une date anterieure a cette modif. qui n'a rien donné.
Ci joint l'image de l'historique de windows defender : les 3 modifications ont ete faite en meme temps 1710:UDP, 1711:UDP, 1712:UDP
<a href="http://img221.imageshack.us/my.php?image=xtro0207pi7.jpg" target="_blank"><img src="http://img221.imageshack.us/img221/989/xtro0207pi7.th.jpg" border="0" alt="Free Image Hosting at "></a>
Tweety
No0b
No0b
 
Messages: 18
Enregistré le: 25 Mai 2007 01:13

Messagepar Sebastien » 04 Nov 2007 02:57

Dans un premier temps, rendez-vous dans le panneau de configuration, module Pare Feu Windows.

Dans l'onglet Exception, consultez la liste des applications qui y sont listées. Toutes les applications qui s'y trouvent ne sont pas analysées par le Pare-Feu. Vérifiez que vous n'avez pas d'entrées douteuses. Si des ports ont été ouverts, vous devriez retrouver les références à cette ouverture dans cette liste. (vous pouvez poster la liste des entrées si vous avez un doute).

Note : Les applications qui sont listées dans cette fenêtre ne représentent que celles pour lesquels Windows laisse passer les connexions "entrantes". Les connexions sortantes ne sont pas analysées par le Firewall. J'insiste sur ce terme car cela explique pourquoi il n'est pas nécessaire qu'Internet Explorer figure dans cette liste pour pouvoir surfer sur internet. Cette liste reprend les applications qui nécessitent l'ouverture de port pour recevoir des connexions depuis l'extérieur.

Concernant la fenêtre d'alerte que vous avez au démarrage, pouvez-vous nous poster également une capture d'écran pour que nous puissions la voir en détail ? Si Defender émet une alerte dès le démarrage, c'est peut-être que l'application essaie toujours d'ouvrir le port. Avoir la capture d'écran nous permettra de faire des recherches avec termes exacts du message.

@+
Image
Avatar de l’utilisateur
Sebastien
Administrateur
Administrateur
 
Messages: 5483
Enregistré le: 14 Fév 2005 19:17
Localisation: LILLE

Messagepar Tweety » 05 Nov 2007 10:49

Voici les applications listees dans le parefeu.
Seules sont cochees les cases suivantes : - Internet explorer, - Windows live messenger, Windows live messenger (phone).
Les autres applications inscrites mais cases non cochees : - acces a distance, - bureau a distance, - icq, - infrastructure UPnP,- mIRC, - partage de fichiers imprimantes.
Voici la copie d'ecran demandee, des que je demarre windows XP, une fois sur 2 et meme des fois a chaque demarrage, cette avertissement apparait en bas et droite de l'ecran.
<a href="http://img208.imageshack.us/my.php?image=xpm0241ni4.jpg" target="_blank"><img src="http://img208.imageshack.us/img208/7784/xpm0241ni4.th.jpg" border="0" alt="Free Image Hosting at"></a>
Tweety
No0b
No0b
 
Messages: 18
Enregistré le: 25 Mai 2007 01:13

Messagepar Sebastien » 05 Nov 2007 18:55

Bonsoir,

Ouvrez Windows Defender et rendez-vous dans le module Outils.
Cliquez sur Options.

A la ligne Indiquez si Windows Defender doit vous avertir des événements suivants :
Vérifiez que l'option intitulé Modification apportées à votre ordinateur par des logiciels autorisés à s'exécuter n'est pas cochée.
Si elle est cochée, décochez la puis vérifiez si vous avez encore cette fenêtre lors du prochain démarrage de la machine.

Pour moi, ce n'est pas vraiment une alerte puisque votre capture indique bien une modification effectuée par une application connue. Pour s'en assurer, vous pouvez également aller vérifier dans le menu Eléments autorisés pour voir s'il y a des logiciels qui ne sont pas surveillé par l'application. Cela pourrait correspondre à Windows Defender qui s'est mis à jour lors du démarrage (téléchargement d'une nouvelle définition par exemple).

Dans un premier temps, vérifiez donc si l'option que j'ai cité plus haut est coché, et vérifiez également la liste des Eléments autorisés.

Tenez-nous au courant.
Image
Avatar de l’utilisateur
Sebastien
Administrateur
Administrateur
 
Messages: 5483
Enregistré le: 14 Fév 2005 19:17
Localisation: LILLE

Messagepar Tweety » 12 Nov 2007 02:17

Bonjour,
J'ai décoché la case comme indiqué ci-dessus et je n'ai plus d'alertes comme indiquées dans mon message du 5 nov 2007. Un probleme de résolu. Merci !
Pour ce meme message, a l'origine les premieres alertes mentionnaient bien " modification effectuée par une apllication inconnue " par la suite j'ai eu l'application ICQ qui a generee le meme message mais cette fois c'était "application connue" et depuis j'avais application connue comme indiquee dans la photo a chaque demarrage de Windows.
Pour les modifications ICQ et Kasperski leurs identifications sont tres bien indiquées dans l'historique (leurs noms apparait). Mais concernant l'application inconnue, elle est bien inconnue puisque aucune identification du nom est disponible voir photo du message du 4 novembre.
Pourquoi Windows Defender par exemple ne demande t'il pas avec une fenetre si on accepte ou rejete la modification ? Là d'emblée la modification est faite et ca peut etre dangeureux, la preuve j'etais sur un site inconnu et Windows Defender a ete modifié tout seul par une application inconnue sans me demander si je le voulais. Dois je garder windowsDefender ou le supprimer.
Un grand Merci pour vos réponses, Bonne journée.
Tweety
No0b
No0b
 
Messages: 18
Enregistré le: 25 Mai 2007 01:13

Messagepar Sebastien » 12 Nov 2007 23:11

Tweety a écrit:Pour les modifications ICQ et Kasperski leurs identifications sont tres bien indiquées dans l'historique (leurs noms apparait). Mais concernant l'application inconnue, elle est bien inconnue puisque aucune identification du nom est disponible voir photo du message du 4 novembre.

Comme votre Windows Defender était réglé pour emettre un message dès qu'un logiciel connu a été modifié, il est fort probable que les messages qui concernaient des "applications connues" ne soient que des notifications suite à une mise à jour de logiciels. Maintenant, vous ne devriez plus avoir ce genre d'alerte.


Tweety a écrit:Pourquoi Windows Defender par exemple ne demande t'il pas avec une fenetre si on accepte ou rejete la modification ? Là d'emblée la modification est faite et ca peut etre dangeureux, la preuve j'etais sur un site inconnu et Windows Defender a ete modifié tout seul par une application inconnue sans me demander si je le voulais. Dois je garder windowsDefender ou le supprimer.

Apparement, c'est ce qu'il a fait puisque dans votre capture d'écran, on peut lire que l'action entreprise a été REFUSER et que Windows Defender a bien appliqué cette action.
Si vous avez un doute concernant l'intégrité du logiciel, je vous invite à le désinstaller, de passer un scan antivirus, puis de le réinstaller au propre en allant le télécharger sur le site de Microsoft.

Qu'en pensez-vous ?
Image
Avatar de l’utilisateur
Sebastien
Administrateur
Administrateur
 
Messages: 5483
Enregistré le: 14 Fév 2005 19:17
Localisation: LILLE

Messagepar Tweety » 13 Nov 2007 01:30

Apparement, c'est ce qu'il a fait puisque dans votre capture d'écran, on peut lire que l'action entreprise a été REFUSER et que Windows Defender a bien appliqué cette action.


Donc le fait que j'ai refusé ce programme qui est tjrs inconnu a cette date et qui figure toujours dans l'historique n'a pas ou n'aura aucune influence ulterieure sur mon PC ? Est ce que je peux effacer l'historique ou si j'efface l'historique, j'efface aussi cette action "refuser" ?

Si vous avez un doute concernant l'intégrité du logiciel, je vous invite à le désinstaller, de passer un scan antivirus.


Mon anti virus n'a rien detecte, ni spybot, ni ad aware on rien detecte d'anormal a ce jour mais une modification n'entraine pas d'alertes sur ces logiciels je pense ?
Tweety
No0b
No0b
 
Messages: 18
Enregistré le: 25 Mai 2007 01:13

Messagepar Sebastien » 14 Nov 2007 21:41

Bonjour,

Donc le fait que j'ai refusé ce programme qui est tjrs inconnu a cette date et qui figure toujours dans l'historique n'a pas ou n'aura aucune influence ulterieure sur mon PC ?

Oui l'action que vous avez effectuée a eu l'effet attendu. De toute façon, dans le cas d'une application inconnue, je pense que Windows Defender vous reposera la question le jour où il sera confronté à la même situation.

Est ce que je peux effacer l'historique ou si j'efface l'historique, j'efface aussi cette action "refuser" ?

L'historique n'a qu'un valeur informative, il vous permet de conserver une trace de ce que Windows Defender effectue sur votre ordinateur. Vous pouvez l'effacer. Les éléments que vous bloquez ou que vous autorisez se trouvent dans les modules Eléments en quarantaine et Eléments autorisés.

Mon anti virus n'a rien detecte, ni spybot, ni ad aware on rien detecte d'anormal a ce jour mais une modification n'entraine pas d'alertes sur ces logiciels je pense ?

Il est probable que si vous aviez installé un logiciel malveillant sur votre ordinateur lors de la manipulation que vous nous avez décrit dans votre message précédent, l'un des logiciels que vous citez aurait émis une alerte lors du scan de votre ordinateur. Donc s'ils ne trouvent rien, c'est bon signe.

Enfin, pour ne pas en rester là, j'ai fait un petit test sur l'un de mes PC. J'ai activé l'option que j'ai cité précédemment sur mon PC. Ce soir, en redémarrant le poste, j'ai eu le même message informatif que vous, cela nous conforte donc dans l'idée qu'il s'agit simplement d'une mise à jour de Windows Defender.

Aperçu :
Image

Image
Image
Avatar de l’utilisateur
Sebastien
Administrateur
Administrateur
 
Messages: 5483
Enregistré le: 14 Fév 2005 19:17
Localisation: LILLE


Retourner vers Forum d'entraide informatique

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités

  • Publicité