Suite attaque cache ARP, fichier log firewall étrange ESET nod32
Fermé
Mathieu.fa
-
28 août 2013 à 19:39
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 29 août 2013 à 19:06
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 29 août 2013 à 19:06
A voir également:
- Suite attaque cache ARP, fichier log firewall étrange ESET nod32
- Fichier rar - Guide
- Fichier host - Guide
- Fichier iso - Guide
- Comment ouvrir un fichier epub ? - Guide
- Comment réduire la taille d'un fichier - Guide
31 réponses
Salut,
Une attaque ARP? c'est du réseau local, il voit quoi ton antivirus là dedans? rien du tout.
Tu as un IDS?
Une attaque ARP? c'est du réseau local, il voit quoi ton antivirus là dedans? rien du tout.
Tu as un IDS?
Je viens de regarder dans une version antérieure, il y a un IDS (outil détection réseau) dans Eset, avec "détection ARP", ou c'est un faux positif dû à un conflit, ou c'est une mauvaise détection d'une infection, ou t'as une secrétaire qui te veut du mal...
Salut Joe,
je fais l'analyse des disques avec ESET.
Pour info après avoir enlevé la vaccination et supprimé spybot etc... voici un aperçu des événements réseaux, de quelques secondes :
http://img15.hostingpics.net/pics/722162hack.jpg
Mes collègues installent ESET pour vérifier l'état réseau de leur machine. As-tu une piste pour savoir ce que c'est, et comment s'en occuper ?
je fais l'analyse des disques avec ESET.
Pour info après avoir enlevé la vaccination et supprimé spybot etc... voici un aperçu des événements réseaux, de quelques secondes :
http://img15.hostingpics.net/pics/722162hack.jpg
Mes collègues installent ESET pour vérifier l'état réseau de leur machine. As-tu une piste pour savoir ce que c'est, et comment s'en occuper ?
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 10:01
29 août 2013 à 10:01
salut ton hijackthis est carrément incomplet fais ceci pour donner une meilleur idée
http://security-helpzone.com/gen-hackman/tutos-canneds/otl-2/
http://security-helpzone.com/gen-hackman/tutos-canneds/otl-2/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Aucun virus détecté via ESET. Il n'avait d'ailleurs rien détecté avant et voici le rapport de HijackThis :
Edit
Edit
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 10:12
29 août 2013 à 10:12
tu n'as pas appliqué les consignes à la lettre lis bien tout
Lecture trop rapide de ma part, voici les 2 liens :
http://cjoint.com/?3HDkubetWEq
http://cjoint.com/?3HDkuK2DNqN
http://cjoint.com/?3HDkubetWEq
http://cjoint.com/?3HDkuK2DNqN
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 10:47
29 août 2013 à 10:47
heberge ces trois rapports sur cjoint stp
C:\Pre_Scan_28_08_2013_16_17_30.txt
C:\Pre_Scan_28_08_2013_16_40_40.txt
C:\Pre_Scan_28_08_2013_19_18_55.txt
===
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
[2013/08/07 09:56:08 | 000,565,248 | ---- | M] () (No name found) -- C:\Users\Fauveaux Mathieu\AppData\Roaming\mozilla\firefox\profiles\0ekmsp4m.default\extensions\jid0-GXjLLfbCoAx0LcltEdFrEkQdQPI@jetpack.xpi
O4 - HKLM\..\Run: [DptfPolicyLpmServiceHelper] C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe File not found
O4 - HKU\S-1-5-21-4095364979-429211114-318418435-1001\..\Run: [AdobeBridge] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Main present
O20 - AppInit_DLLs: (C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL) - File not found
[2013/08/28 15:59:12 | 000,000,000 | ---D | C] -- C:\Pre_Scan
[2013/08/28 15:57:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013/08/28 15:57:40 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013/08/05 11:20:14 | 000,000,000 | ---D | C] -- C:\Users\Fauveaux Mathieu\AppData\Local\PackageAware
[2013/08/04 01:56:30 | 000,000,223 | -HS- | M] () -- C:\Users\Fauveaux Mathieu\Application Data\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini
[2013/08/28 17:00:21 | 000,000,000 | ---D | M] -- C:\ProgramData\Spybot - Search & Destroy
[2013/08/05 11:20:14 | 000,000,000 | ---D | M] -- C:\Users\Fauveaux Mathieu\AppData\Local\PackageAware
[2013/08/29 09:40:15 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
:Reg
[-HKEY_CURRENT_USER\Software\Windows]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
:commands
[emptytemp]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
C:\Pre_Scan_28_08_2013_16_17_30.txt
C:\Pre_Scan_28_08_2013_16_40_40.txt
C:\Pre_Scan_28_08_2013_19_18_55.txt
===
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
[2013/08/07 09:56:08 | 000,565,248 | ---- | M] () (No name found) -- C:\Users\Fauveaux Mathieu\AppData\Roaming\mozilla\firefox\profiles\0ekmsp4m.default\extensions\jid0-GXjLLfbCoAx0LcltEdFrEkQdQPI@jetpack.xpi
O4 - HKLM\..\Run: [DptfPolicyLpmServiceHelper] C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe File not found
O4 - HKU\S-1-5-21-4095364979-429211114-318418435-1001\..\Run: [AdobeBridge] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Main present
O20 - AppInit_DLLs: (C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL) - File not found
[2013/08/28 15:59:12 | 000,000,000 | ---D | C] -- C:\Pre_Scan
[2013/08/28 15:57:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013/08/28 15:57:40 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013/08/05 11:20:14 | 000,000,000 | ---D | C] -- C:\Users\Fauveaux Mathieu\AppData\Local\PackageAware
[2013/08/04 01:56:30 | 000,000,223 | -HS- | M] () -- C:\Users\Fauveaux Mathieu\Application Data\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini
[2013/08/28 17:00:21 | 000,000,000 | ---D | M] -- C:\ProgramData\Spybot - Search & Destroy
[2013/08/05 11:20:14 | 000,000,000 | ---D | M] -- C:\Users\Fauveaux Mathieu\AppData\Local\PackageAware
[2013/08/29 09:40:15 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
:Reg
[-HKEY_CURRENT_USER\Software\Windows]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
:commands
[emptytemp]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Les 3 rapports :
http://cjoint.com/?CHDlaz6HNcg
http://cjoint.com/?CHDlaTqDAaw
http://cjoint.com/?CHDla3bu4yO
Et voici le rapport :
http://cjoint.com/?CHDlblG1h0O
Pour information, la première fois ESET a bloqué le changement de programmes au démarrage. Je l'ai donc désactivé et recommencé la manip.
http://cjoint.com/?CHDlaz6HNcg
http://cjoint.com/?CHDlaTqDAaw
http://cjoint.com/?CHDla3bu4yO
Et voici le rapport :
http://cjoint.com/?CHDlblG1h0O
Pour information, la première fois ESET a bloqué le changement de programmes au démarrage. Je l'ai donc désactivé et recommencé la manip.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 11:20
29 août 2013 à 11:20
J'ai regardé le log, rien de grave pour moi, de la découverte réseau sortante en réseau local, regarde voir si possible si DNS (port 53) est autorisé en sortie au moins en UDP, si c'est bloqué ça pourrait être un indice, et ça semble être le cas, il me semble me rappeler que le port 5355 peut suppléer en pareil cas.
224.0.0.252. port 5355, voir ton log.
A mon avis, si tu as mis le pare feu en automatique (fortement conseillé), ça va aller (sauf infection), sinon désactive le et mets celui de Windows pour voir, si c'est mieux contacte Eset.
Windows 8.1?... hum! c'est la dernière en beta, attends le 17 octobre, aucun antivirus/pare feu n'est vraiment prêt pour l'instant.
A mon avis, si tu as mis le pare feu en automatique (fortement conseillé), ça va aller (sauf infection), sinon désactive le et mets celui de Windows pour voir, si c'est mieux contacte Eset.
Windows 8.1?... hum! c'est la dernière en beta, attends le 17 octobre, aucun antivirus/pare feu n'est vraiment prêt pour l'instant.
Voici le rapport de l'analyse : http://cjoint.com/?3HDmeJIf9hz
J'ai un petit problème au redémarrage avec un freeze, j'ai du reboot 3 fois.
La config du firewall est revenu en automatique, donc normalement il n'y a plus de soucis de config ?
Pour info j'ai un soucis avec Chrome, j'ai mes onglets inaccessibles par moment, et j'ai du posté 3 fois ce message pour qu'il apparaisse bien. :s
J'ai un petit problème au redémarrage avec un freeze, j'ai du reboot 3 fois.
La config du firewall est revenu en automatique, donc normalement il n'y a plus de soucis de config ?
Pour info j'ai un soucis avec Chrome, j'ai mes onglets inaccessibles par moment, et j'ai du posté 3 fois ce message pour qu'il apparaisse bien. :s
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 12:17
29 août 2013 à 12:17
et ouais mais si tu joues avec des cr@cks faut pas s'etonner d'avoir des soucis...
==
fais le menage
http://security-helpzone.com/gen-hackman/nettoyage-en-fin-de-desinfection/
==
fais le menage
http://security-helpzone.com/gen-hackman/nettoyage-en-fin-de-desinfection/
C'est le seul que j'avais depuis plusieurs mois, et aucun soucis avant cette détection ARP.
Il est supprimé, et toujours ces problèmes dans la journal.
Il est supprimé, et toujours ces problèmes dans la journal.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
Modifié par g3n-h@ckm@n le 29/08/2013 à 12:40
Modifié par g3n-h@ckm@n le 29/08/2013 à 12:40
ah ben oui mais nettoie-le le journal ^^ et vois si d'autres viennent ensuite...
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Bientôt désinscrit de Commentcamarche...
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Bientôt désinscrit de Commentcamarche...
Le journal est nettoyer mais plusieurs dizaines de lignes par secondes, svchost.exe, ssdp, netbios etc... et une différence de poids sur les paquets R/E.
Que faire maintenant ? Quel est le soucis au niveau DNS ? comment me protéger dans un premier temps ? et éradiquer ce problème ?
Que faire maintenant ? Quel est le soucis au niveau DNS ? comment me protéger dans un premier temps ? et éradiquer ce problème ?
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
29 août 2013 à 14:44
29 août 2013 à 14:44
Le journal est nettoyer mais plusieurs dizaines de lignes par secondes, svchost.exe, ssdp, netbios etc
pas compris....qui sont revenues ?
pas compris....qui sont revenues ?
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
Modifié par g3n-h@ckm@n le 29/08/2013 à 14:57
Modifié par g3n-h@ckm@n le 29/08/2013 à 14:57
on voit pas l heure à gauche
ca ressemble à une liaison avec d'autres ordinateurs sur le reseau
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Bientôt désinscrit de Commentcamarche...
ca ressemble à une liaison avec d'autres ordinateurs sur le reseau
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Bientôt désinscrit de Commentcamarche...
28 août 2013 à 20:21
Merci pour ta réponse. Qu'est qu'un IDS? Petite précision, nous sommes 4 dans l'entreprise, sans connaissances ou peu en sécurité réseau.
Il y a un serveur web mac qui héberge nos données en local.
28 août 2013 à 20:28
Modifié par Joe le 28/08/2013 à 20:34
Le serveur, s'il est relié à internet, quand il ne sert pas tu le fermes.
28 août 2013 à 21:01
C'est pour cette raison que spybot est dessus. Pour moi j'ai chope une merde, puisque depuis la tentative d'attaque de ce midi, j'ai le fichier log qui s'affole.
Je vais désinstaller spybot etc.. Pour voir si il y conflit.
J'avais aussi essayé l'outil de ESET de remise à zéro des DNS, sans succès.
Modifié par Joe le 29/08/2013 à 07:17
Avant supprime la "vaccination".
Remets tous les paramètres d'Eset par défaut, pare feu compris, vérifie le blocage de scans de port (paramètres ICMP), puis fais un scan avec Eset seul.
Si ça continue probablement une infection.