Machine Windows et broadcast important
Le
Michael DENIS
Bonjour,
J'ai une machine sous Windows XP Home SP3 qui me pose problème. Son
comportement me laisse penser qu'un programme malveillant s'y trouve,
mais je ne parviens pas à trouver.
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
ou xx.yy s'incrémente par unité. Les broadcast d'une même "campagne"
sont de l'ordre de 10 toutes les secondes.
L'anti-virus de Secuser en ligne ne trouve rien, Clamwin non plus,
Spybot non plus.
Je n'ai rien dans le menu "démarrage", rien d'anormal il me semble dans
les sections "Run" de la base de registre, rien derrière "Userinit" dans
la base de registre,
Voici ce que me donne un netstat :
***********************************************
C:>netstat -abov
Connexions actives
Proto Adresse locale Adresse distante Etat
TCP ma_machine:epmap ma_machine:0 LISTENING
888
c:windowssystem32WS2_32.dll
C:WINDOWSsystem32RPCRT4.dll
c:windowssystem32pcss.dll
C:WINDOWSsystem32svchost.exe
-- composants inconnus --
[svchost.exe]
TCP ma_machine:microsoft-ds ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]
TCP ma_machine:1027 ma_machine:0 LISTENING
504
C:WINDOWSSystem32WS2_32.dll
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32RPCRT4.dll
C:WINDOWSsystem32ole32.dll
[alg.exe]
TCP ma_machine:netbios-ssn ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]
UDP ma_machine:isakmp *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]
UDP ma_machine:4500 *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]
UDP ma_machine:microsoft-ds *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
-- composants inconnus --
[svchost.exe]
UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:netbios-dgm *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
UDP ma_machine:netbios-ns *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
***********************************************
Voici l'essentiel de HijackThis :
***********************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:51, on 05/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32cmd.exe
C:WINDOWSsystem32otepad.exe
E:HiJackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.6.0_05binssv.dll
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.6.0_05binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_05binssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX
Scan Agent 6.6) -
http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
***********************************************
Si quelqu'un avait une idée, soit pour m'aider dans mes recherches, soit
sur la solution :-), je lui serais bien reconnaissant.
D'avance merci.
--
Michaël DENIS
J'ai une machine sous Windows XP Home SP3 qui me pose problème. Son
comportement me laisse penser qu'un programme malveillant s'y trouve,
mais je ne parviens pas à trouver.
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
ou xx.yy s'incrémente par unité. Les broadcast d'une même "campagne"
sont de l'ordre de 10 toutes les secondes.
L'anti-virus de Secuser en ligne ne trouve rien, Clamwin non plus,
Spybot non plus.
Je n'ai rien dans le menu "démarrage", rien d'anormal il me semble dans
les sections "Run" de la base de registre, rien derrière "Userinit" dans
la base de registre,
Voici ce que me donne un netstat :
***********************************************
C:>netstat -abov
Connexions actives
Proto Adresse locale Adresse distante Etat
TCP ma_machine:epmap ma_machine:0 LISTENING
888
c:windowssystem32WS2_32.dll
C:WINDOWSsystem32RPCRT4.dll
c:windowssystem32pcss.dll
C:WINDOWSsystem32svchost.exe
-- composants inconnus --
[svchost.exe]
TCP ma_machine:microsoft-ds ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]
TCP ma_machine:1027 ma_machine:0 LISTENING
504
C:WINDOWSSystem32WS2_32.dll
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32RPCRT4.dll
C:WINDOWSsystem32ole32.dll
[alg.exe]
TCP ma_machine:netbios-ssn ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]
UDP ma_machine:isakmp *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]
UDP ma_machine:4500 *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]
UDP ma_machine:microsoft-ds *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
-- composants inconnus --
[svchost.exe]
UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]
UDP ma_machine:netbios-dgm *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
UDP ma_machine:netbios-ns *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
***********************************************
Voici l'essentiel de HijackThis :
***********************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:51, on 05/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32cmd.exe
C:WINDOWSsystem32otepad.exe
E:HiJackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.6.0_05binssv.dll
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.6.0_05binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_05binssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX
Scan Agent 6.6) -
http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
***********************************************
Si quelqu'un avait une idée, soit pour m'aider dans mes recherches, soit
sur la solution :-), je lui serais bien reconnaissant.
D'avance merci.
--
Michaël DENIS
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si
une machine est compromise (ou probablement compromise), une
réinitialisation du système (réinstallation du backup ou, si les
backups ont été perdus, réinstallation de l'OS) s'impose.
Vu comme ça, on est totalement d'accord. Mais ce qui m'intéresse avant
de passer à cette étape, c'est de comprendre ce qui se passe / s'est
passé. Sinon, je suis bon pour voir se reproduire le problème à
l'identique dans peu de temps.
--
Michaël DENIS
Préviens quand tu fais un fu2 !
Du coup j'ai posté un message hors-sujet ici, et je m'en excuse.
Désolé.
Je ne vois pas bien en quoi il serait hors-sujet ?
--
Michaël DENIS
Ma réponse concernait la sécurité informatique en général, et
aucunement les virus. Elle était donc dans le sujet de
fr.comp.securite, et hors-sujet ici.
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement
qui aurais declenché ces requetes arp ?
Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau
?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de
spybot), notament l'onglet service qui te montrera aussi les drivers qui partent
au boot (masques de l'API)
Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni
leur type de lancement)
--
Cordialement,
Az Sam.
j'oubliais : le log HJT est incomplet, il n'y a aucun services.
Mais pas grave, ce genre de log se poste plutot dans une forum web de
desinfection. Ce newgroups n'ets pas adapté. (nntp=txt brut pour garder des
tailles de message faibles)
--
Cordialement,
Az Sam.
(...)
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant
etre essentiel.
Mais pas grave, ce genre de log se poste plutot dans un forum web de
desinfection. Ce newgroups n'est pas adapté.
--
Cordialement,
Az Sam.
Le pc incriminé.
Avant la première ligne de broadcast, je n'ai pas. Mais je peux refaire
car cela va recommencer. Pour le broadcast, il me fait bien toutes les
ip de 172.16.0.1 à 172.16.255.254.
Je vais essayer de jeter un coup d'oeil.
Non.
Pas mal de choses. Autres machines, avec autres OS ou pas, serveurs,
copieurs, ...
J'y vais de ce pas. Merci pour l'info.
--
Michaël DENIS
Pour les services, il n'y en a que deux : inventaire de la machine et
prise de contrôle.
Alors quel serait le newsgroup adapté ? Si je m'accroche encore au
newsgroups, c'est bien pour ne pas me palucher autant de forums http que
de centres d'intérêts. Cette remarque m'étonne tout autant que celle de
Fabien sur son supposé hors sujet... Mais bon, cela ne m'empêche pas
d'apprécier vos conseils. :-)
--
Michaël DENIS