J'ai une machine sous Windows XP Home SP3 qui me pose problème. Son
comportement me laisse penser qu'un programme malveillant s'y trouve,
mais je ne parviens pas à trouver.
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
ou xx.yy s'incrémente par unité. Les broadcast d'une même "campagne"
sont de l'ordre de 10 toutes les secondes.
L'anti-virus de Secuser en ligne ne trouve rien, Clamwin non plus,
Spybot non plus.
Je n'ai rien dans le menu "démarrage", rien d'anormal il me semble dans
les sections "Run" de la base de registre, rien derrière "Userinit" dans
la base de registre, ...
***********************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:51, on 05/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :
sur la solution
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si une machine est compromise (ou probablement compromise), une réinitialisation du système (réinstallation du backup ou, si les backups ont été perdus, réinstallation de l'OS) s'impose.
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :
sur la solution
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si
une machine est compromise (ou probablement compromise), une
réinitialisation du système (réinstallation du backup ou, si les
backups ont été perdus, réinstallation de l'OS) s'impose.
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :
sur la solution
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si une machine est compromise (ou probablement compromise), une réinitialisation du système (réinstallation du backup ou, si les backups ont été perdus, réinstallation de l'OS) s'impose.
Michael DENIS
Fabien LE LEZ a écrit :
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si une machine est compromise (ou probablement compromise), une réinitialisation du système (réinstallation du backup ou, si les backups ont été perdus, réinstallation de l'OS) s'impose.
Vu comme ça, on est totalement d'accord. Mais ce qui m'intéresse avant de passer à cette étape, c'est de comprendre ce qui se passe / s'est passé. Sinon, je suis bon pour voir se reproduire le problème à l'identique dans peu de temps.
-- Michaël DENIS
Fabien LE LEZ a écrit :
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si
une machine est compromise (ou probablement compromise), une
réinitialisation du système (réinstallation du backup ou, si les
backups ont été perdus, réinstallation de l'OS) s'impose.
Vu comme ça, on est totalement d'accord. Mais ce qui m'intéresse avant
de passer à cette étape, c'est de comprendre ce qui se passe / s'est
passé. Sinon, je suis bon pour voir se reproduire le problème à
l'identique dans peu de temps.
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si une machine est compromise (ou probablement compromise), une réinitialisation du système (réinstallation du backup ou, si les backups ont été perdus, réinstallation de l'OS) s'impose.
Vu comme ça, on est totalement d'accord. Mais ce qui m'intéresse avant de passer à cette étape, c'est de comprendre ce qui se passe / s'est passé. Sinon, je suis bon pour voir se reproduire le problème à l'identique dans peu de temps.
-- Michaël DENIS
Fabien LE LEZ
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :
Followup-To: fr.comp.securite.virus
Préviens quand tu fais un fu2 !
Du coup j'ai posté un message hors-sujet ici, et je m'en excuse.
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :
Followup-To: fr.comp.securite.virus
Préviens quand tu fais un fu2 !
Du coup j'ai posté un message hors-sujet ici, et je m'en excuse.
Je ne vois pas bien en quoi il serait hors-sujet ?
-- Michaël DENIS
Fabien LE LEZ
On Wed, 05 Aug 2009 11:22:30 +0200, Michael DENIS :
Du coup j'ai posté un message hors-sujet ici
Je ne vois pas bien en quoi il serait hors-sujet ?
Ma réponse concernait la sécurité informatique en général, et aucunement les virus. Elle était donc dans le sujet de fr.comp.securite, et hors-sujet ici.
On Wed, 05 Aug 2009 11:22:30 +0200, Michael DENIS :
Du coup j'ai posté un message hors-sujet ici
Je ne vois pas bien en quoi il serait hors-sujet ?
Ma réponse concernait la sécurité informatique en général, et
aucunement les virus. Elle était donc dans le sujet de
fr.comp.securite, et hors-sujet ici.
On Wed, 05 Aug 2009 11:22:30 +0200, Michael DENIS :
Du coup j'ai posté un message hors-sujet ici
Je ne vois pas bien en quoi il serait hors-sujet ?
Ma réponse concernait la sécurité informatique en général, et aucunement les virus. Elle était donc dans le sujet de fr.comp.securite, et hors-sujet ici.
Az Sam
"Michael DENIS" a écrit dans le message de news: 4a79419b$0$9849$
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette machine est infectée est qu'elle envoie, par "campagnes régulières", des broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ? une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement qui aurais declenché ces requetes arp ? Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau ?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API) Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni leur type de lancement)
-- Cordialement, Az Sam.
"Michael DENIS" <news-mDEL@DEL2nis.net.invalid> a écrit dans le message de news:
4a79419b$0$9849$426a34cc@news.free.fr...
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement
qui aurais declenché ces requetes arp ?
Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau
?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de
spybot), notament l'onglet service qui te montrera aussi les drivers qui partent
au boot (masques de l'API)
Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni
leur type de lancement)
"Michael DENIS" a écrit dans le message de news: 4a79419b$0$9849$
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette machine est infectée est qu'elle envoie, par "campagnes régulières", des broadcast sur le réseau. Extrait de ma capture Wireshark :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ? une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement qui aurais declenché ces requetes arp ? Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau ?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API) Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni leur type de lancement)
-- Cordialement, Az Sam.
Az Sam
"Az Sam" a écrit dans le message de news: 4a79876a$0$25364$
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ? une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement qui aurais declenché ces requetes arp ? Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau ?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API) Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni leur type de lancement)
j'oubliais : le log HJT est incomplet, il n'y a aucun services. Mais pas grave, ce genre de log se poste plutot dans une forum web de desinfection. Ce newgroups n'ets pas adapté. (nntp=txt brut pour garder des tailles de message faibles)
-- Cordialement, Az Sam.
"Az Sam" <me@home.net> a écrit dans le message de news:
4a79876a$0$25364$426a74cc@news.free.fr...
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un
annoucement qui aurais declenché ces requetes arp ?
Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le
reseau ?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement
de spybot), notament l'onglet service qui te montrera aussi les drivers qui
partent au boot (masques de l'API)
Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat
ni leur type de lancement)
j'oubliais : le log HJT est incomplet, il n'y a aucun services.
Mais pas grave, ce genre de log se poste plutot dans une forum web de
desinfection. Ce newgroups n'ets pas adapté. (nntp=txt brut pour garder des
tailles de message faibles)
"Az Sam" a écrit dans le message de news: 4a79876a$0$25364$
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ? une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement qui aurais declenché ces requetes arp ? Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau ?
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API) Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni leur type de lancement)
j'oubliais : le log HJT est incomplet, il n'y a aucun services. Mais pas grave, ce genre de log se poste plutot dans une forum web de desinfection. Ce newgroups n'ets pas adapté. (nntp=txt brut pour garder des tailles de message faibles)
-- Cordialement, Az Sam.
Az Sam
"Michael DENIS" a écrit dans le message de news: 4a79419b$0$9849$
Voici l'essentiel de HijackThis :
*********************************************** Logfile of Trend Micro HijackThis v2.0.2
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant etre essentiel. Mais pas grave, ce genre de log se poste plutot dans un forum web de desinfection. Ce newgroups n'est pas adapté.
-- Cordialement, Az Sam.
"Michael DENIS" <news-mDEL@DEL2nis.net.invalid> a écrit dans le message de news:
4a79419b$0$9849$426a34cc@news.free.fr...
Voici l'essentiel de HijackThis :
***********************************************
Logfile of Trend Micro HijackThis v2.0.2
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant
etre essentiel.
Mais pas grave, ce genre de log se poste plutot dans un forum web de
desinfection. Ce newgroups n'est pas adapté.
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant etre essentiel. Mais pas grave, ce genre de log se poste plutot dans un forum web de desinfection. Ce newgroups n'est pas adapté.
-- Cordialement, Az Sam.
Michael DENIS
Az Sam a écrit :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
Le pc incriminé.
une ligne c'est un peu court. Qu'y a t il eu avant ?
Avant la première ligne de broadcast, je n'ai pas. Mais je peux refaire car cela va recommencer. Pour le broadcast, il me fait bien toutes les ip de 172.16.0.1 à 172.16.255.254.
par exemple un annoucement qui aurais declenché ces requetes arp ?
Je vais essayer de jeter un coup d'oeil.
Le SE est dans une MV ?
Non.
quels autres equipements y a t il d'autre sur le reseau ?
Pas mal de choses. Autres machines, avec autres OS ou pas, serveurs, copieurs, ...
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API)
J'y vais de ce pas. Merci pour l'info.
-- Michaël DENIS
Az Sam a écrit :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
Le pc incriminé.
une ligne c'est un peu court. Qu'y a t il eu avant ?
Avant la première ligne de broadcast, je n'ai pas. Mais je peux refaire
car cela va recommencer. Pour le broadcast, il me fait bien toutes les
ip de 172.16.0.1 à 172.16.255.254.
par exemple un annoucement qui aurais declenché ces requetes arp ?
Je vais essayer de jeter un coup d'oeil.
Le SE est dans une MV ?
Non.
quels autres equipements y a t il d'autre sur le reseau ?
Pas mal de choses. Autres machines, avec autres OS ou pas, serveurs,
copieurs, ...
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de
spybot), notament l'onglet service qui te montrera aussi les drivers qui partent
au boot (masques de l'API)
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123
qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
Le pc incriminé.
une ligne c'est un peu court. Qu'y a t il eu avant ?
Avant la première ligne de broadcast, je n'ai pas. Mais je peux refaire car cela va recommencer. Pour le broadcast, il me fait bien toutes les ip de 172.16.0.1 à 172.16.255.254.
par exemple un annoucement qui aurais declenché ces requetes arp ?
Je vais essayer de jeter un coup d'oeil.
Le SE est dans une MV ?
Non.
quels autres equipements y a t il d'autre sur le reseau ?
Pas mal de choses. Autres machines, avec autres OS ou pas, serveurs, copieurs, ...
Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de spybot), notament l'onglet service qui te montrera aussi les drivers qui partent au boot (masques de l'API)
J'y vais de ce pas. Merci pour l'info.
-- Michaël DENIS
Michael DENIS
Az Sam a écrit :
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant etre essentiel.
Pour les services, il n'y en a que deux : inventaire de la machine et prise de contrôle.
Mais pas grave, ce genre de log se poste plutot dans un forum web de desinfection. Ce newgroups n'est pas adapté.
Alors quel serait le newsgroup adapté ? Si je m'accroche encore au newsgroups, c'est bien pour ne pas me palucher autant de forums http que de centres d'intérêts. Cette remarque m'étonne tout autant que celle de Fabien sur son supposé hors sujet... Mais bon, cela ne m'empêche pas d'apprécier vos conseils. :-)
-- Michaël DENIS
Az Sam a écrit :
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant
etre essentiel.
Pour les services, il n'y en a que deux : inventaire de la machine et
prise de contrôle.
Mais pas grave, ce genre de log se poste plutot dans un forum web de
desinfection. Ce newgroups n'est pas adapté.
Alors quel serait le newsgroup adapté ? Si je m'accroche encore au
newsgroups, c'est bien pour ne pas me palucher autant de forums http que
de centres d'intérêts. Cette remarque m'étonne tout autant que celle de
Fabien sur son supposé hors sujet... Mais bon, cela ne m'empêche pas
d'apprécier vos conseils. :-)
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant etre essentiel.
Pour les services, il n'y en a que deux : inventaire de la machine et prise de contrôle.
Mais pas grave, ce genre de log se poste plutot dans un forum web de desinfection. Ce newgroups n'est pas adapté.
Alors quel serait le newsgroup adapté ? Si je m'accroche encore au newsgroups, c'est bien pour ne pas me palucher autant de forums http que de centres d'intérêts. Cette remarque m'étonne tout autant que celle de Fabien sur son supposé hors sujet... Mais bon, cela ne m'empêche pas d'apprécier vos conseils. :-)