Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

empanada

trojan port 1025: System toujours à l'ecoute

Messages recommandés

Salut tout le monde.

J'ai un trojan, c'est clair. Je ne suis pas capable a fermer ce satanée port 1025 (pourtant le planificateur des tâches es bien DÉSACTIVÉ).

Il est toujours à l'écoute, et mon Kerio Personal Firewall 2.1.5 enregistre de ataques vers ce port qui veulent se conecter ver "System" ou "kernel" :P:-( , et des paquets ICMP echo 8 (=request). Hier, je ne sais exactement ce qu'il a fait, mais il a reusi a geler le driver du firewall et a le stoper (heuresement j'étais là et j'ai déconnecté tout de suite), mais vraiment ça m'AGACE. :-P

Traceroute ne travaille pas très bien, mais ben, je pense que suivir les traces ne servira pas grand chose, car il peut se proteger derrière du NAT, ou m'ataquer parmis un host pasarelle.

AVG mis au jour, Ad-Aware mis au jour, Spybot, PestPetrol mis au jour. Aucun processus bizarre je pense. J'ai fait aussi un "tasklist /svc": rien.

 

Une recherche des trojans qui utilisent le port 1025 m'a donné ça:

port 1025 AcidkoR, BDDT, DataSpy Network X, Fraggle Rock , KiLo, MuSka52, NetSpy, Optix Pro , Paltalk, Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, RemoteNC

 

port 1025 (UDP) - KiLo, Optix Pro , Ptakks, Real 2000, Remote Anything, Remote Explorer Y2K, Remote Storm, Yajing

port 1026 BDDT, Dark IRC, DataSpy Network X, Delta Remote Access , Dosh, Duddie, IRC Contact, Remote Explorer 2000, RUX The TIc.K

 

içi

J'a recherché un peu leur fichiers, etc, mais par l'instant rien trouvé.

 

RHAHHHHHRRRRRR :-P:-P

Modifié par empanada

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci beaucoup.

Je vais poster. On va voir.

J'avais oublié: toutes les mises à jour critiques installés.

Par l'instant j'ai installé Faber Toys (merci une foi de plus, tesgaz!!!). Je vais répaser les *.dll utilisés par system.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour empanada, Olivier, bonjour à tous,

 

empanada, regarde quelques bonnes adresses dans une de mes pages -> http://gerard.melone.free.fr/IT/IT-AV0.html#13 (forums sur la gauche) ; je te conseille le forum de SpyWareInfo : ils sont super forts, super rapides, super serviables !

 

Bonne chance !

Partager ce message


Lien à poster
Partager sur d’autres sites

Par l'instant posté à SpyWareInfo: , mais personne a repondu. Comme a dit O.Fournier, ça a l'air costaud. Il parait qu'en mettant Kerio sur le reglage "Deny Unknown" au lieu de "ask me first", la securité ameliore, mais pas posible de le virer quoi que ce soit.

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

 

[ Distributed Transaction Coordinator ]

 

Le service Distributed Transaction Coordinator fonctionne par défaut sur un

système Windows 2000 version serveur et ouvre le port 3372, ainsi qu'un port TCP

immédiatement supérieur à 1023 (1025 dans notre exemple).

 

L'arrêt de ce service permet donc de fermer deux ports TCP :

 

C:\WINNT>net stop msdtc

The Distributed Transaction Coordinator service is stopping.

The Distributed Transaction Coordinator service was stopped successfully.

 

ma bible ==> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html

 

 

ensuite avec kerio 2.15, bloquer l'icmp echo 8, rien de grave :P

Modifié par Y@kuz@

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour empanada, Olivier, Y@kuz@, bonjour à tous,

Par l'instant posté à SpyWareInfo: , mais personne a repondu.
... un peu de patience empanada ! :P

11:37a Paris Time c'est 5:37a sur la côte Est et 2:37a sur la côte Ouest !

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×