Reprise du message précédent :
ça peut aussi être un trojan qui écoute sur un domaine icq pour recevoir des commandes, et c'est pourquoi le firewall le protège en l'empêchant de recevoir des ordres de son proprio. Why not.
 
pour cela faudrait le remettre sans firewall bloquant mais avec un logiciel qui surveille juste ce qui se passe. comme ça tu verras bien

 
ha voilà déjà l'un des nombreux points qui restent obscurs pour moi...
 
un TRojan ( meme si c'est peut etre pas ça ici ,peu importe) ça attend qu'on le contacte ou ça cherche à initier le contact ?
 
evidemment , il doit y avoir les deux cas, j'imagine
 
bien que dans le premier cas , on ne voit pas trop l'interet ; si c'est lui le code actif, il a pas besoin de contact à l'exterieur  pour foutre la mrd..; sauf pour se propager peut etre (?)

oui mais je pense qu'il doit tourner, au moins se voir dans le firewall même si il n'est pas dans les processus du gestionnaire de tâche.  
 
à mon avis il est souvent à l'origine du dialogue ; mais i lpeut aussi simplement ouvrir une backdoor et attendre que son auteur qui scanne un port précis sur une large gamme d'IP tombe sur lui.

 
tiens, qu'est ce que tu entends aussi par "plein la gueule" ? là moi en moyenne c'est environ > 500/600 requetes vers 135/445 par heure ; en permanence donc ; si t'as cela aussi , alors bon "ça me rassure"    (tu parles)

non désolé, j'en suis pas à ce point
 
dans les 300-400 requètes sur 4-5h sur la totalité des ports

 
en fait j'observe les stats de Kerio, sur une nouvelle session que je viens de lancer,  et ce sera plutot 700/800 sans pb ; ça me parait pas bien normal quand meme
 
ça 'attaque' partout ; ça vient d'essayer sur Kerio lui meme, et sur Antivir XP , qui se trouvait etre actif en frontal
 
est ce que qqun peut , à nouveau, confirmer/infirmer si ce qui se passe sur les ports 137/138/139 est normal ou pas !?  vu que visiblement ça transmet aussi (Tx Bytes)
http://img92.exs.cx/img92/1295/kerio3.png
 
PS: sur le nb "d'attaques" (requetes in), peut etre y a t-il une incidence du FAI ? je remarque que majoritairement elles viennent des plaques ADSL en région parisienne , de FRee donc

là sur deux heures maintenant, il y a eu 2 ou 3 requetes vers Kerio lui meme ; ça fait peu ,mais c'est trop aussi ;  par contre je ne pige pas du tout d'ou ça vient;
 
en voilà une :
http://img99.exs.cx/img99/9516/kerio4.png
 
et en cherchant à quoi ça correspond, c'est une sorte d'organisme local asiatique attributeur de DNS !! c'est quoi cette farce

Salut à tous
Un petit témoignage ......
Historique:
J'ai 2 postes dont un sous Linux et l'autre sous XP.En voulant configurer le reseau entre ces 2,j'ai desactivé le firewall (Kerio 2.1.5) sur XP...
Suite à des problêmes,j'ai connecté le poste XP sur le net pour des infos sur Linux (Kerio desactivé    ).Le temps de m'en appercevoir (1 à 2 minutes max),je relance Kerio sans redemarrer XP ....C'etait le 11 oct 04 .
le 13 oct 04 ,je me connecte au net sous XP (Kerio activé) (en fait son lancement à été problematique,il ne se lancé pas comme d'habitude    .
A 21h37 ( à quelque secondes près),Antivir me signale qu'un fichier (dans /system)verollé per SASSER.G   .J 'efface ce fichier (surement une erreur...).
A environ 21h 38,Antivir me signale un fichier (dans /system32) verollé par Zafi.b (je crois),pareil (même erreur,je l'efface).
Par acquis de consience je regarde l'activité reseau dans kerio...
Horreur ! le port 445 est en communication IN et OUT et ça booste !
Je regarde les regles actives.Pas de mot de passe demandé (alors qu'il y en a bien un ! ).Toutes le regles (sauf celles d'origine) ont  DISPARU !  
je regarde le log de kerio    les logs s'arretent au 3 oct 04      
Crt+Alt+Suppr >au moins 2 process inconnus >ftp.exe et symantec32.exe
J'arrete ftp.exe,il se relance aussitôt...
Deconnection du net !  
Scan du system par Antivir ->rien !  
Nettoyage des cles RUN ->je trouve CFTMON.exe    et sysmantec32.exe    
Renommage des 2 ->Deplacement et effacement de la base des registre.
Redemarrage ..tout va bien
Mise à jour XP (faille Sasser et Blaster + autre ) MERCI minipouss    
J'envoie symentec32.exe (renommé) à Antivir,ils me remercient et sortent une mise à jour le lendemain (le 14 ),il y en a d'autres depuis).
Que c'est il passé  sur kerio !
Il etait temoin mais ne servait à rien ....
Depuis tout à l'air d'aller bien ,Kerio tourne bien en mode apprentissage (Plein d'alerte).
Qu'elle est la bestiole qui a pu faire tomber Kerio ,lui effacer les regles malgrès le mot de passe,lui arreter les logs .....
Un virus,ver ou l'interface chaise-clavier (restez correct merci) ?