Machine Windows et broadcast important

Le
Michael DENIS
Bonjour,

J'ai une machine sous Windows XP Home SP3 qui me pose problème. Son
comportement me laisse penser qu'un programme malveillant s'y trouve,
mais je ne parviens pas à trouver.

Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :

Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123

ou xx.yy s'incrémente par unité. Les broadcast d'une même "campagne"
sont de l'ordre de 10 toutes les secondes.

L'anti-virus de Secuser en ligne ne trouve rien, Clamwin non plus,
Spybot non plus.

Je n'ai rien dans le menu "démarrage", rien d'anormal il me semble dans
les sections "Run" de la base de registre, rien derrière "Userinit" dans
la base de registre,

Voici ce que me donne un netstat :

***********************************************
C:>netstat -abov

Connexions actives

Proto Adresse locale Adresse distante Etat
TCP ma_machine:epmap ma_machine:0 LISTENING
888
c:windowssystem32WS2_32.dll
C:WINDOWSsystem32RPCRT4.dll
c:windowssystem32pcss.dll
C:WINDOWSsystem32svchost.exe
-- composants inconnus --
[svchost.exe]

TCP ma_machine:microsoft-ds ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]

TCP ma_machine:1027 ma_machine:0 LISTENING
504
C:WINDOWSSystem32WS2_32.dll
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32RPCRT4.dll
C:WINDOWSsystem32ole32.dll
[alg.exe]

TCP ma_machine:netbios-ssn ma_machine:0 LISTENING
4
-- composants inconnus --
[Système]

UDP ma_machine:isakmp *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]

UDP ma_machine:4500 *:*
656
C:WINDOWSsystem32WS2_32.dll
C:WINDOWSsystem32oakley.DLL
C:WINDOWSsystem32LSASRV.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[lsass.exe]

UDP ma_machine:microsoft-ds *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]

UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]

UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]

UDP ma_machine:ntp *:*
980
c:windowssystem32WS2_32.dll
c:windowssystem32w32time.dll
ntdll.dll
-- composants inconnus --
[svchost.exe]

UDP ma_machine:1900 *:*
1072
c:windowssystem32WS2_32.dll
c:windowssystem32ssdpsrv.dll
C:WINDOWSsystem32ADVAPI32.dll
C:WINDOWSsystem32kernel32.dll
[svchost.exe]

UDP ma_machine:netbios-dgm *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]

UDP ma_machine:netbios-ns *:* 4
-- composants inconnus --
ntdll.dll
-- composants inconnus --
[Système]
***********************************************

Voici l'essentiel de HijackThis :

***********************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:51, on 05/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32cmd.exe
C:WINDOWSsystem32otepad.exe
E:HiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.6.0_05binssv.dll
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
(User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.6.0_05binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_05binssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX
Scan Agent 6.6) -
http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

***********************************************

Si quelqu'un avait une idée, soit pour m'aider dans mes recherches, soit
sur la solution :-), je lui serais bien reconnaissant.

D'avance merci.

--
Michaël DENIS
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #19884541
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :

sur la solution



Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si
une machine est compromise (ou probablement compromise), une
réinitialisation du système (réinstallation du backup ou, si les
backups ont été perdus, réinstallation de l'OS) s'impose.
Michael DENIS
Le #19884681
Fabien LE LEZ a écrit :
Ça, au moins, c'est simple : indépendamment de l'OS ou du problème, si
une machine est compromise (ou probablement compromise), une
réinitialisation du système (réinstallation du backup ou, si les
backups ont été perdus, réinstallation de l'OS) s'impose.



Vu comme ça, on est totalement d'accord. Mais ce qui m'intéresse avant
de passer à cette étape, c'est de comprendre ce qui se passe / s'est
passé. Sinon, je suis bon pour voir se reproduire le problème à
l'identique dans peu de temps.

--
Michaël DENIS
Fabien LE LEZ
Le #19884671
On Wed, 05 Aug 2009 10:23:54 +0200, Michael DENIS :

Followup-To: fr.comp.securite.virus



Préviens quand tu fais un fu2 !

Du coup j'ai posté un message hors-sujet ici, et je m'en excuse.
Michael DENIS
Le #19884721
Fabien LE LEZ a écrit :
Préviens quand tu fais un fu2 !



Désolé.

Du coup j'ai posté un message hors-sujet ici



Je ne vois pas bien en quoi il serait hors-sujet ?

--
Michaël DENIS
Fabien LE LEZ
Le #19884881
On Wed, 05 Aug 2009 11:22:30 +0200, Michael DENIS :

Du coup j'ai posté un message hors-sujet ici



Je ne vois pas bien en quoi il serait hors-sujet ?



Ma réponse concernait la sécurité informatique en général, et
aucunement les virus. Elle était donc dans le sujet de
fr.comp.securite, et hors-sujet ici.
Az Sam
Le #19885941
"Michael DENIS" 4a79419b$0$9849$
Je rentre un peu plus dans les détails. Ce qui me fait penser que cette
machine est infectée est qu'elle envoie, par "campagnes régulières", des
broadcast sur le réseau. Extrait de ma capture Wireshark :

Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123



qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un annoucement
qui aurais declenché ces requetes arp ?
Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le reseau
?

Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de
spybot), notament l'onglet service qui te montrera aussi les drivers qui partent
au boot (masques de l'API)
Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat ni
leur type de lancement)

--
Cordialement,
Az Sam.
Az Sam
Le #19886031
"Az Sam" 4a79876a$0$25364$


qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?
une ligne c'est un peu court. Qu'y a t il eu avant ? par exemple un
annoucement qui aurais declenché ces requetes arp ?
Le SE est dans une MV ? quels autres equipements y a t il d'autre sur le
reseau ?

Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement
de spybot), notament l'onglet service qui te montrera aussi les drivers qui
partent au boot (masques de l'API)
Autoruns de sysinternal (MS) te les montrera aussi. (mais ne dis ni leur etat
ni leur type de lancement)




j'oubliais : le log HJT est incomplet, il n'y a aucun services.
Mais pas grave, ce genre de log se poste plutot dans une forum web de
desinfection. Ce newgroups n'ets pas adapté. (nntp=txt brut pour garder des
tailles de message faibles)


--
Cordialement,
Az Sam.
Az Sam
Le #19886021
"Michael DENIS" 4a79419b$0$9849$

Voici l'essentiel de HijackThis :

***********************************************
Logfile of Trend Micro HijackThis v2.0.2




R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page


(...)

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX
Scan Agent 6.6) -
http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab




j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant
etre essentiel.
Mais pas grave, ce genre de log se poste plutot dans un forum web de
desinfection. Ce newgroups n'est pas adapté.



--
Cordialement,
Az Sam.
Michael DENIS
Le #19889081
Az Sam a écrit :
Broadcast ARP Who has 172.16.xx.yy? Tell 172.16.123.123



qui est 172.16.123.123 ? le Pc incriminé ou un equipement peripherique ?



Le pc incriminé.

une ligne c'est un peu court. Qu'y a t il eu avant ?



Avant la première ligne de broadcast, je n'ai pas. Mais je peux refaire
car cela va recommencer. Pour le broadcast, il me fait bien toutes les
ip de 172.16.0.1 à 172.16.255.254.

par exemple un annoucement qui aurais declenché ces requetes arp ?



Je vais essayer de jeter un coup d'oeil.

Le SE est dans une MV ?



Non.

quels autres equipements y a t il d'autre sur le reseau ?



Pas mal de choses. Autres machines, avec autres OS ou pas, serveurs,
copieurs, ...

Si tu recherche un process caché, tu peux essayer avec Runalyzer (complement de
spybot), notament l'onglet service qui te montrera aussi les drivers qui partent
au boot (masques de l'API)



J'y vais de ce pas. Merci pour l'info.

--
Michaël DENIS
Michael DENIS
Le #19889071
Az Sam a écrit :
j'oubliais : le log HJT est incomplet, il n'y a aucun services, ca peut portant
etre essentiel.



Pour les services, il n'y en a que deux : inventaire de la machine et
prise de contrôle.

Mais pas grave, ce genre de log se poste plutot dans un forum web de
desinfection. Ce newgroups n'est pas adapté.



Alors quel serait le newsgroup adapté ? Si je m'accroche encore au
newsgroups, c'est bien pour ne pas me palucher autant de forums http que
de centres d'intérêts. Cette remarque m'étonne tout autant que celle de
Fabien sur son supposé hors sujet... Mais bon, cela ne m'empêche pas
d'apprécier vos conseils. :-)

--
Michaël DENIS
Publicité
Poster une réponse
Anonyme