Flood NetBios

Discussion in 'LnS French Forum' started by sevr, Sep 6, 2006.

Thread Status:
Not open for further replies.
  1. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
    Bonjour,

    Je me suis décidé à poster au bout de quelques jours de recherche n'ayant pas trouvé de réponse à mes interrogations.

    Dans le journal de LNS (version 2.05p2) j'observe un nombre très important de requêtes NetBios droppées. Celles-ci sont d'autant plus étranges à mon goût que l'adresse IP cible de ces requêtes s'incrémente doucement le tout dans une plage également on ne peut plus bizarre (ex: @IP cible = 0.0.16.1).

    http://bidou59.neuf.fr/garb/lns.JPG

    J'ai de suite penser à un virus (ver ou backdoor) mais mon anti-virus est à jour et les scan en ligne connus n'ont rien décelé.

    J'ai également relancer une analyse spy-bot : RAS.

    En complément, la log de PortExplorer me retourne ceci :

    http://bidou59.neuf.fr/garb/port_explorer.JPG

    Quelqu'un a t-il une petite idée de l'origine de ces broadcast o_O

    Merci
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut sevr :)

    1- Utilises-tu le NetBios ou autrement dit: as-tu un réseau MS installé?
    Si c'est le cas il se pourrait que celui ci soit mal configuré ou que les
    règles LNS pour le réseau local soient à revoir.

    Voir le site de LNS pour les règles à importer et les explications.

    2- Si tu n'utilise pas le NetBios, il se pourrait que les services de ton PC soient mal configurés. Si des services inutiles pour la config de ton PC sont démarrées il se pourraient qu'ils soient à l'origine de ces mystérieux broadcasts.

    Démarrer | exécuter | services.msc

    Choisi l'affichage "standard" (onglet en bas...)
    Enlève les colonnes "description" et "ouvrir une session en tant que"
    puis
    fait un tri sur la première colonne "nom"
    puis
    sur la colonne "type de démarrage"
    pour avoir la liste en ordre alphabétique et par type de démarrage
    puis
    faites une copie de cette liste dans un fichier texte
    (2 ième barre d'outils, 6 ième icône : exporter...)

    Joint ce fichier .txt avec ton prochain message.
    Je vais y jetter un coup d'oeil.

    Pas d'autre idée pour le moment.

    :)
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Oui, très curieux comme log o_O
    Pas souvenir d'avoir vu un truc pareil (en passant: attention au nombre d'alertes que ça génère: plus de 32000, vous avez intérêt à limiter le nombre d'entrées du journal dans les options avancées).

    Par hasard est-ce que le masque de sous réseau ne serait pas configuré à un truc bizarre du genre 0.0.0.1, au lieu de 255.255.255.0 ?

    Faire IPConfig dans une boite de commande pour le savoir.

    Frédéric
     
  4. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
    Salut !


    Pour répondre tout d'abord à Fred mon masque est correctement paramétré.

    Climenole, j'utilise effectivement NetBios pour le partage de fichier locaux via MS XP Pro et W2K.

    Pour ce qui est de la configuration de LNS j'ai créé une règle qui n'autorise que les requêtes TCP port 139 sur mon LAN, régle placée au-dessus de la règle qui stoppe tout le NetBios.

    La liste des services est disponible à cette adresse :

    http://bidou59.neuf.fr/garb/services.txt

    Autre chose qui m'echappe, c'est la resolution de nom qu'effectue Port Explorer en adresse locale : softbank... , alors que le ping -a de 127.0.0.1 correspond bien au "localhost" ...
     
  5. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
  6. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
    Du nouveau :

    "SOFTBANK BB is the largest company in the SOFTBANK Group and was established in January 2003 through the merger of BB Technology Corporation, SOFTBANK Networks Inc., SOFTBANK EC Holdings and SOFTBANK Commerce Corporation. It handles all aspects of broadband services centering on Yahoo!" (source www.cisco.com) NB: i love cisco :cool:

    https://www.softbankbb.co.jp/english/index.html
     
  7. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
    :mad:

    Ce que je redoutais arriva...

    Je suis de ceux qui ne redémarre jamais leur PC et qui ne l'éteigne pas. Or hier je décide de désinstaller LNS et d'essayer Jetico. Aie aie aie. La désinstallation puis l'installation se déroulent sans problème puis je reboot comme demandé après installation du soft.

    Et les ennuis commencent... :'(

    1ère observation : XP met un temps fou avant de démarrer
    2eme observation : l'ouverture de ma session également :cautious:

    Et là c'est la catastrope o_O

    - plus de barre des taches
    - impossible d'installer quoi que ce soit (CCleaner par ex)
    - la fonction coller a disparu (que ce soit via interface graphique ou raccourci clavier)
    - les fonctions d'admininstration de Windows sont réduites : impossible d'éditer ou modifier un service, impossible d'éditer les évènements dans l'eventvwr ...
    - la moitié des programmes ne fonctionnent plus (Nero :'( )
    - TCPIP n'est plus de ce monde et mes connexions réseau dans le panneau de config ont disparu

    Après réflexion j'arrive à retrouver ma barre des tâches. Passage de la résolution en 800x600 puis étirement. Certes je retrouve mon bouton démarrer mais je remarque que toutes les taches en cours n'apparaissent plus dans la barre et que toutes les applis exécutées au démarrage ne se sont pas lancées (ex: Avast)

    J'ai relancé de nombreux Scan AV avec Avast à jour et hormis une dizaine de fichier qu'il n'arrive pas à lire, pas de virus trouvé, idem avec Spybot.

    Berf je suis dans la m**de !!!

    Avez-vous entendu parler récemment de symptomes similaires ?
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Non, pas eu d'écho de cas similaire jusqu'à présent.

    Avez-vous redémmaré l'ordinateur entre la déinstallation de Look 'n' Stop et l'installation de Jetico ?
    Si oui, est-ce que tout était normal entre les 2 ?
    Si non, essayez de désinstaller Jetico pour voir si l'état du PC revient comme avant.

    Eventuellement vérifiez que les drivers de Look 'n' Stop sont bien désinstallés avec la procédure manuelle:
    http://www.looknstop.com/Fr/faq_problems.htm#driver_restant

    Si oui, il est peu probable que ces problèmes viennent de Look 'n' Stop.

    Peut être que vous devriez poster aussi dans un forum dédié Jetico.

    Frédéric.
     
  9. sevr

    sevr Registered Member

    Joined:
    Sep 6, 2006
    Posts:
    7
    Effectivement ce post devient hors sujet. N'hésitez pas à le déplacer dans une section plus adequat.

    Pour te répondre Frederic je n'ai pas redemaré entre la desinstallation de LNS et l'installation de Jetico ; d'ailleurs je n'ai pas le souvenir qu'il me l'ai demandé :cautious:

    Dès l'apparition des problemes j'ai de suite viré Jetico avec un nettoyage complet du registre par Regcleaner et Regseaker.

    Par la suite j'ai identifié le virus responsable grace à Ewido (bizarre qu'Avast n'a rien décelé), trojan.genlot.dx qu'il a éradiqué, cependant j'ai de nombreux dysfonctionnements qui persistent.

    La fonction coller a disparu pour de bon (même après désinstallation et réinstallation du presse papier) et impossible de modifier les services dans mmc en mode standard, et plus rien ne s'affiche en mode étendu... :mad:

    J'ai réinstallé tcp/ip, les fonctions comme ipconfig, ping ... sont à nouveau disponibles.

    Voilà, Je continue à chercher des solutions avant l'ultime recours d'une nouvelle installation d'XP.
     
Thread Status:
Not open for further replies.