Réseau domestique bloqué par UDP-flood
Hors lignePiku Le 15/03/2012 à 20:47 Profil de Piku Configuration de Piku

Bonjour,

Quelqu'un peut-il m'aider ?

Mon réseau local (routeur, cable et wifi sur connexion ADSL) est régulièrement bloqué par du SYN-FLOOD ou du UDP-FLOOD en provenance d'un seul PC de

mon réseau.

L'"attaque" est violente, elle bloque tous les PC du réseau, y compris le wifi.

Cela se reproduit chaque jour ou presque, mais à des heures différentes : par exemple blocage total pendant 10 à 30 minutes, puis plus aucun prolbème

pendant plusieurs heures.

Le problème perdure depuis des mois. Evidemment, nous avons testé antivirus et anti-spyware sur le pc infecté (scan complet, etc)... sans résultat.

Il est parfois possible de limiter la difficulté en bloquant (dans le firewall) les adresses ip faisant l'objet de l'attaque. Mais la liste est déjà longue et le résultat peu concluant.

Le PC impliqué est un Dell sous win 7 (mises à jour régulières).
Un extrait du log est copié ci-dessous.

Qu'est-ce qu'il faudrait encore controler sur ce poste ? Je ne suis guère enclin à faire une réinstallation totale.

Merci d'avance,



03/15/2012  20:24:11 **UDP Flood (per Min)** 192.168.1.31, 29517->> 46.22.238.198, 56879 (from PPPoE1 Outbound)
03/15/2012  20:24:11 **UDP Flood (per Min)** 192.168.1.31, 29517->> 178.92.46.202, 61226 (from PPPoE1 Outbound)
03/15/2012  20:24:10 **UDP Flood (per Min)** 192.168.1.31, 29517->> 14.98.227.149, 22123 (from PPPoE1 Outbound)
03/15/2012  20:24:10 **UDP Flood (per Min)** 192.168.1.31, 29517->> 109.229.87.158, 13362 (from PPPoE1 Outbound)
03/15/2012  20:24:10 **UDP Flood (per Min)** 192.168.1.31, 29517->> 80.245.114.128, 40841 (from PPPoE1 Outbound)
03/15/2012  20:24:10 **UDP Flood (per Min)** 192.168.1.31, 29517->> 195.211.63.129, 23765 (from PPPoE1 Outbound)
03/15/2012  20:24:09 **UDP Flood (per Min)** 192.168.1.31, 29517->> 85.183.144.136, 49313 (from PPPoE1 Outbound)
03/15/2012  20:24:05 **UDP Flood (per Min)** 192.168.1.31, 49576->> 94.245.121.253, 3544 (from PPPoE1 Outbound)
03/15/2012  20:24:02 **UDP Flood (per Min)** 192.168.1.31, 29517->> 201.55.134.66, 1024 (from PPPoE1 Outbound)
03/15/2012  20:24:02 **UDP Flood (per Min)** 192.168.1.31, 29517->> 93.34.6.16, 53335 (from PPPoE1 Outbound)
03/15/2012  20:24:01 **UDP Flood (per Min)** 192.168.1.31, 49576->> 94.245.121.253, 3544 (from PPPoE1 Outbound)
03/15/2012  20:23:59 **UDP Flood (per Min)** 192.168.1.31, 49576->> 94.245.121.253, 3544 (from PPPoE1 Outbound)
03/15/2012  20:23:57 **UDP Flood (per Min)** 192.168.1.31, 29517->> 94.231.183.78, 62931 (from PPPoE1 Outbound)
03/15/2012  20:23:52 **SYN Flood (per Min)** 192.168.1.31, 49467->> 178.125.249.249, 30858 (from PPPoE1 Outbound)
03/15/2012  20:23:52 **SYN Flood** 192.168.1.31, 49467->> 178.125.249.249, 30858 (from PPPoE1 Outbound)
03/15/2012  20:23:49 **SYN Flood (per Min)** 192.168.1.31, 49448->> 78.163.12.145, 54032 (from PPPoE1 Outbound)
03/15/2012  20:23:49 **ICMP Redirect** 188.230.113.163->> 77.109.101.148, Type:5, Code:1 (from PPPoE1 Inbound)
03/15/2012  20:23:46 **ICMP Redirect** 188.230.113.163->> 77.109.101.148, Type:5, Code:1 (from PPPoE1 Inbound)
03/15/2012  20:22:00 sending ACK to 192.168.1.28
03/15/2012  20:22:00 sending OFFER to 192.168.1.28
03/15/2012  20:20:54 sending ACK to 192.168.1.31
03/15/2012  20:20:28 NTP Date/Time updated.    
08/01/2003  00:00:26 If(PPPoE1) PPP connection ok !
08/01/2003  00:00:25 PPPoE1 get IP:XX.XXX.XXX.XXX
08/01/2003  00:00:25 PPPoE1 start PPP          
08/01/2003  00:00:25 PPPoE receive PADS        
08/01/2003  00:00:25 PPPoE send PADR           
08/01/2003  00:00:25 PPPoE receive PADO        
08/01/2003  00:00:25 PPPoE send PADI           
08/01/2003  00:00:20 PPPoE send PADI           
08/01/2003  00:00:20 ADSL Media Up !          

Hors ligneEddy34 Le 16/03/2012 à 08:59 Profil de Eddy34 Configuration de Eddy34

Bonjour,

Dans un premier temps je dois te dire que je pars demain soir à l'étranger pour une quinzaine de jours voire 3 semaines, donc si tu te dépèches je veux bien commencer mais je vais avertir un collègue helper qui pourra je pense prendre la suite, en attendant et pour faire avancer les choses:

Sur le PC présumé malade:

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

 

Et sur tous les PC, le malade compris en les numérotants:

• Télécharge UsbFix (créé par El Desaparecido) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
• Au menu principal, clique sur "Recherche"
• Laisse travailler l'outil
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

 

--
Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Hors lignePiku Le 18/03/2012 à 10:25 Profil de Piku Configuration de Piku

Bonjour,

J'ai suivi la procédure.
Voici le fichier ZHPDiag.txt : http://cjoint.com/?BCskxaHv0Vd

Merci à celui qui m'aidera à l'analyser... !

Hors ligneEddy34 Le 18/03/2012 à 12:02 Profil de Eddy34 Configuration de Eddy34

Bonjour,

Mon avion décolle cet après midi et j'ai juste le temps de te donner quelques consignes en espérant que Maxou45 prenne la suite, je l'ai averti.

Ton PC est énormément infecté, c'est rare qu'ils le soient de cette façon, 135 Malwares et en plus tu as certainement un Rogue.

Tu as Malwarebytes, mets le à jour et fais un scan complet.

Ensuite:

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Après:

1. Explications

Le Scanner En ligne d'ESET est un instrument facile à utiliser, libre et puissant avec lequel on peut erradiquer tous type de malwares !
Le scanner en ligne est seulement compatible avec le navigateur web Internet Explorer sans Avoir à installer le logiciel antivirus.

IMPORTANT : les privilèges d'Administrateur sont Obligatoires pour lancer une analyse

2. Utilisation




  • Tous d'abord, rendez vous sur ce Lien : CLIQUEZ ICI
     
  • Cliquez alors sur le carré vert "ESET Online Scanner"
     
  • Si un contrôle ActivX vous empêche l'exécution du Scanner, Alors installez le,
    Une fois que vous l'aurez installé, vous serez redirigé vers la page des Contrats de licence :
     
  • Cochez Alors la case "OUI, j'accepte les termes du contrat de licence" Et cliquez sur "Start"
     
  • Vous serez alors redirigé vers la page de configuration..
    Cliquez sur le lien bleu : "Paramètres Avancés"
    Puis appliquez les réglages suivants :

    --> S'isl ne sont pas cochés, cochez ces cases :

    -> "Rechercher les applications potentiellement indésirables"
    -> "Rechercher les applications potentiellement dangereusess"
    -> "Activer la technologie Anti-Stealth (Anti-furtivité)"

    --> décochez cette case : utilisez des paramètres proxy manuel...
     
  • Cliquez à ce moment là sur "Démarrer"

    Le scan va donc Débuter ...
     
  • Dans le cas ou vous vous faites aider sur un forum...
    En fin de scan , un rapport se sauvegardera automatiquement ici :
    C:\Program Files\EsetOnlineScanner\log.txt

Après ça tu refaits une nouvelle analyse avec ZHPDiag en le mettant à jour en cliquant sur la flèche verte après l'avoir ouvert et tu postes le rapport pour Maxou45.

--
Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Hors lignePiku Le 18/03/2012 à 12:19 Profil de Piku Configuration de Piku

Merci pour cette réponse rapide.
 

J'ai ré-installé Malwarebytes  et refait un scan : il a trouvé et corrigé deux erreurs.

Mais je n'ai pas pu downlaoder AdwCleaner, le site est fermé pour maintenance. Je ne l'a pas non plus trouvé ailleurs.

A tout hasard, j'ai relance USBFIx, en voici le nouveau log : http://cjoint.com/?BCsqmdrVGN8 . Est-il différent ?

---------

edit : j'ai aussi exécuté ESET Online, mais le log http://cjoint.com/?BCsqYKwfo0p me semble "vide"

-----

Merci déjà pour vos prochains commentaires.

Hors ligneMaxou45 Le 18/03/2012 à 20:02 Profil de Maxou45 Configuration de Maxou45

Je reprends derriere Eddy

Voici le nouveau lien pour adwcleaner

http://general-changelog-team.fr/fr/downloads/summary/20-outils-de-xplode/2-adwcleaner

 

ne fais rien sans qu'on te le dise, sinon on ne peux pas savoir ou tu en es...

--
Rien ne sert de courrir http://www.forum-windows7-windows8.fr
Hors lignePiku Le 18/03/2012 à 22:22 Profil de Piku Configuration de Piku

Merci à toi aussi Maxou pour ton aide.
J'ai donc lancé AdwCleaner (c'est beaucoup plus rapide que je ne l'imaginais !) et en voici le log : http://cjoint.com/?BCswurAQvVJ

J'attends donc la suite de vos commentaires.

Hors ligneMaxou45 Le 19/03/2012 à 12:33 Profil de Maxou45 Configuration de Maxou45

Aurais tu le rapport MBAM ?

si NON, refais ceci

 

  • Télécharge Malwarebytes'Antimalwares en cliquant sur ce lien sur ton Bureau

     
  • Installe-le en double-cliquant sur le fichier mbam-setup----.exe.
    Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

     
  • Lors de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 

     
  • Lance l'exécution de MalwareByte's Anti-Malware
    Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

     
  • Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

     
  • Afin de lancer la recherche, clic sur "Rechercher".

    image

     
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :


    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

       
    • Si des infections sont présentes," 

      • Clic sur "Afficher les résultats"
         
      • Vérifier que toutes les cases sont cochées
         
      • puis Cliquez sur " Supprimer la sélection "
  • Enregistre le rapport sur ton Bureau.

     
  • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

     

Il est possible que la suppression de certains fichiers nécessite le redémarrage de ton PC.
Il faut le faire en cliquant sur Oui à la question posée

--
Rien ne sert de courrir http://www.forum-windows7-windows8.fr
Hors lignePiku Le 20/03/2012 à 08:40 Profil de Piku Configuration de Piku

Merci Maxou pour cette info complémentaire.
J'ai refait hier un scan complet MBAM en tant qu'administrateur. Je n'ai pas pris copie du log (je suis sur un autre poste maintenant), mais il indiquait aucune erreur.

Une autre idée ?

Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels