[Résolu] Virus ? (Nan...)
Virus ? (Nan...) [Résolu] - Windows & Software
Marsh Posté le 21-10-2003 à 15:22:04
| Mara's dad a écrit : Bonjour,
|
Essaie de mater les services actifs sur tes machines, et comparant si possible avec ceux d'une machine non infectée.
Vérifie aussi les progs lancés au démarrage...on sait jamais.
Marsh Posté le 21-10-2003 à 15:33:02
![[:blueflag]](https://forum-images.hardware.fr/images/perso/blueflag.gif "[:blueflag]")
Message édité par the real moins moins le 21-10-2003 à 15:33:12
---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Marsh Posté le 21-10-2003 à 15:40:41
Heu, déjà, fait...
J'ai désactivé un max de trucs et y'a rien de suspect.
Je continue à tout vérifier
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 21-10-2003 à 16:48:00
Bon, en désactivant le service "Horloge Windows" qui :
| Citation : Conserve la synchronisation de la date et de l'heure sur tous les clients et serveurs sur le réseau. Si ce service est arrêté, la synchronisation de la date et de l'heure sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas. |
Ca le fait plus !
Reste à savoir si c'était un comportement normal (j'ai pas l'impression ) ou si j'ai juste stoppé un service (qui ne me sert pas à grand chose) utilisé par un bout de code malicieux qui traine 
J'ai l'impression de ne rien avoir réglé du tout, un peu comme si j'avais débranché mon cable réseau...
Message édité par Mara's dad le 21-10-2003 à 16:48:20
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 21-10-2003 à 17:06:50
ce qui est louche c'est que tout à coup le nombre de machines l'utilisant ait grandi 
(à moins que la config firewall ait changé sans que tu le saches 
)
---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Marsh Posté le 21-10-2003 à 17:36:28
D'après les 'gens' du réseaux, c'est depuis les derniers windows update que çà le fait. Ce qui explique la progression en nombre de machine.
Pour voir si c'est bien çà, sur mon PC, j'ai désinstallé les MAJ depuis fin septembre, et çà change rien...
De plus en plus nébuleux ce truc !
Le firewall se contente de dire que la cible n'existe pas c'est tout. Une enquête est en cours pour savoir si elle éxistait avant, mais çà n'à pas l'air d'être le cas. En plus je vois pas pourquoi ma machine utiliserait se serveur fantome, vu que je l'ai paramétré manuellement pour un serveur de temps qui lui existe bien...
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 21-10-2003 à 17:39:00
oui mais bon, en meme temps, je suis pas sur qu'on puisse se fier à un désinstall de maj de windows update quoi ...
---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Marsh Posté le 21-10-2003 à 17:42:01
C'est aussi ce que je me suis dis !
Donc, comme d'hab, fuite en avant...
J'installe toutes les autres MAJ que me propose Windows-Update
On verra bien, ce n'est qu'un PC de ma boîte.
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 12:10:09
J'ai compris !
En fait, y'a une machine sur notre VLAN qui envoie des paquets UDP a destination de 255.255.255.255:123 avec une adresse IP bidon et le port 1027.
Toutes les machines XP/2K qui ont le service "Horloge windows" activé répondent gentiement.
Je m'en suis rendu compte avec un autre sniffer que celui que j'utilisais au début qui ne me montrait pas tout !
Bon l'adresse IP est bidon, mais j'ai son adresse MAC
J'espère qu'elle est pas bidon aussi
La suite au prochain numéro...
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 12:18:51
y'a pas d'admin reseau dans ta boite ou bien c'est toi
---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Marsh Posté le 23-10-2003 à 12:31:27
SISI, y'en a un...
Mais j'aime bien la chasse aux truc zarb
Celà dit, y'a pas de raison que l'admin réseau passe sont temps à regader tous les paquets broadcast. Tant qu'ils sont valides, ben y'a pas d'alerte.
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 12:41:18
ben oui mais en l'occurence y'a un truc louche non
---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Marsh Posté le 23-10-2003 à 12:42:35
| Citation : Veuillez laisser l'ETAT dans les toilettes où vous l'avez trouvé ! |
Flag, ça m'interesse.
Marsh Posté le 23-10-2003 à 12:59:56
| the real moins moins a écrit : ben oui mais en l'occurence y'a un truc louche non |
Oui, et l'admin réseau l'a bien vu.
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 13:00:54
Charpentier a écrit :
|
C'est pas de moi.
C'est un tag que j'ai vu sur un bureau de Poste
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 16:48:51
Suite et fin :
On a trouvé le coupable !
Une nouvelle équipe de dev est arrivée et à installé son matos.
Dans le tas, y'a une imprimante avec un sous-réseaux à la con. La pauvre qui n'est pas utilisée pour le moment (de toute façon personne pouvait la voir...), passait son temps à demander l'heure à tout le monde (en broadcast donc).
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Marsh Posté le 23-10-2003 à 16:54:36
Reply![[:rofl2]](https://forum-images.hardware.fr/images/perso/rofl2.gif "[:rofl2]")
Marsh Posté le 23-10-2003 à 17:01:15
![[:rofl]](https://forum-images.hardware.fr/images/perso/rofl.gif "[:rofl]")
De l'utilité de connaitre l'heure pour une imprimante réseau...:whistle:
Marsh Posté le 23-10-2003 à 17:01:23
c'est con une imprimante quand ca a rien a foutre quand meme
---------------
C'est parce que la vitesse de la lumière est supérieure à celle du son, que tant de gens paraissent brillants avant d'avoir l'air con !
Sujets relatifs:
- [??] Opera 7.11 et sites "sécurisés" [Résolu]
- [RESOLU] mettre a jour Norton AV corporate edition
- VIRUS SCHVOST.EXE
- Probleme excel 97 plein ecran ( resolu )
- [résolu] Mon impritante n'imprime plus
- partage du net en rezo local (résolu) merci
- Freebox + ethernet = rien (boulet inside ???) --- > RESOLU
- virus de l'aide svp
- Infection Virus Pe_Valla.A / Win32.valla besoin d'aide
- [Win XP] Comment booter le system a partir d'un disquette ? [RESOLU]
Marsh Posté le 21-10-2003 à 15:10:36
Bonjour,
J'ai un problème bizarre.
Toutes les 15 secondes, mon PC et ceux d'une cinquantaine de mes collègues envoient des paquets UDP vers une adresse en 10.64... (Tous les pcs vers la même) qui n'éxiste pas !
Les paquets UDP sont émis a destination du port 1027 !
Ils ressemblent à des paquets NTP, les Receive Timestamp, et Transmit Timestamp sont bien renseignés, mais les autres champs sont fantaisistes d'après moi.
Exemple de paquet envoyé (Paquet UDP complet).
Paquet UDP :
Ent-tête
00 7B Source port (123)
04 03 Destination port (1027)
00 38 Length (56)
29 5C Checksum
Data (Donnée NTP) :
DC Leap Indicator - Status
00 Type
0A FA Precision
00 00 00 00 Estimated error
00 01 04 00 Estimated Drift Rate
00 00 00 00 Reference Clock Identifier
00 00 00 00 00 00 00 00 Reference Timestamp
00 00 00 00 00 00 00 00 Originate Timestamp
C3 3F A0 39 E7 D7 0A 3D Receive Timestamp (21/10/2003 à 2:08:25 )
C3 3F A0 39 E7 D7 0A 3D Transmit Timestamp
Découpage d'après la RFC958 : http://www.faqs.org/rfcs/rfc958.html
Le problème à été détecté par le firewall qui ne sait pas ou diriger le paquet, vu que l'adresse n'éxiste pas.
Cà à commencé vendredi avec quelques machines, lundi matin il y en avais 30, et maintenant, plus de 50.
Voilà, je cherche sur ma machine ce qui fait çà, mais tout ce que j'ai trouvé, c'est que çà vient de svchost.exe
Je ne sais pas comment aller plus loin. Par exemple : Comment savoir quel process/appli à demandé çà à svchost ?
Si vous avez des idées...
Précision, presque toutes les machines qui font çà son sous XP pro, mais il y en a d'autres sous 2k je crois.
Message édité par Mara's dad le 23-10-2003 à 16:49:28
---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.