Botnet sur réseau

franR -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Je viens de trouver ce fil de discussion (http://www.commentcamarche.net/forum/affich-11912964-detecter-un-botnet-sur-son-reseau) suite à une suspicion de worm ou bot sur un de mes ordinateurs. J'ai le log et info généré par random, auriez-vous l'amabilité de les analyser svp?
Merci d'avance;

Fran

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Sur le PC où t'as des suspicions, fais ça :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!

    ensuite :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
    1. franR Messages postés 4 Statut Membre
       
      Je ne parviens pas à télécharger les deux autres fichiers sur pijoint (connexion internet trop lente suite au botnet?). Puis-je vous les faire parvenir autrement?

      Merci d'avance

      Fran
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Laisse tourner.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    y a, à priori rien d'anormal sur ton rapport.
    0
    1. JeromeD
       
      Bonjour,
      Je suis le mari de FranR. Toute d'abord, merci beaucoup pour votre aide.
      Je viens de suivre la même procédure. Pourriez-vous jeter un coup d'oeil et me dire s'il semble y avoir un problème?
      Il y a deux jours, j'ai fait un scan complet de mon pc avec McAfee qui a trouvé un Trojan: exploitMSWord.a. McAfee l'a écarté mais je ne suis pas sûr que mon pc soit tout à fait clean ni que le botnet dont nous sommes victimes cesse ses activités. Nous avons une connexion par satellite et consommons 2x plus que notre limite autorisée, ce qui est un sérieux (et coûteux) problème.
      Aujourd'hui, j'ai fait une analyse complète avec Malwarebytes qui n'a rien trouvé. Je poste à la suite de ce message les rapports OTL et Extras.
      0
    2. JeromeD
       
      http://pjjoint.malekal.com/files.php?id=eca1453795w14y13m6y6n7n6q12n15u8u15g15w7u12i9f11u1210w10y11q6
      0
    3. JeromeD
       
      http://pjjoint.malekal.com/files.php?id=bb5b4660bfe15r9t14w5y10e8y12f7e9e10v10n12x58z14z10w6o15q10m11
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Y a rien d'anormal sur vos rapports.
    Juste sur le dernier, Windows jZip Toolba à désinstaller (si y a un truc Datamanager aussi).

    Le wifi est activé ? vous êtes allés voir les connexions sur le routeur ?
    0