Trojan inconnu ?

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

Messagepar krilin » 24 Oct 2003 20:27

bonjour à tous ! <BR> <BR>voilà je vous expose mon "probleme"... <BR> <BR>il y a 2 jours un poste de mon reseau (sous win xp home, à jour) s'est mis à vouloir sortir des paquets (environ 100 connexions/minute, tellement qu'il bloquait ma connexion) à une adresse (en l'occurence dos.f-key.biz, qui demande d'ailleurs une authentification) mais mon firewall ne le permettait pas. <BR> <BR>j'ai fait une ptite recherche et je suis tombé sur un service inhabituel : dos64.exe (demarrage automatique bien sur...). depuis j'ai fait le ménage (restauration base reg, elimination du démarrage et de l'applic., tout va bien ! <BR> <BR>mais j'ai fait une recherche mais impossible de trouver quelque renseignment que ce soit, si quelqu'un avait une idée, ca serait zuper ! <IMG SRC="images/smiles/icon_find.gif"> <BR> <BR>merci, bon week <IMG SRC="images/smiles/icon_bise.gif">
Je suis capable du meilleur et du pire, mais dans le pire, c'est moi le meilleur.
Avatar de l’utilisateur
krilin
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 19 Août 2003 00:00

Messagepar neo_hijacker » 24 Oct 2003 20:37

le mot key fait penser aux touches du clavier <BR> <BR>Peut etre un keylogger ? <BR> <BR> <BR>EDIT : Tu as envoyé le fichier au SARC de symantec ?<BR><BR><font size=-2></font>
Avatar de l’utilisateur
neo_hijacker
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 24 Avr 2003 00:00
Localisation: Devant le PC

Messagepar krilin » 24 Oct 2003 20:41

nan comme j'ai rien trouvé (oui google est bel et bien mon ami, mais là...) je ne donnais po beaucoup de crédibilité à ma "découverte"... <BR> <BR>mais je vais finalement le faire...
Je suis capable du meilleur et du pire, mais dans le pire, c'est moi le meilleur.
Avatar de l’utilisateur
krilin
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 19 Août 2003 00:00

Messagepar krilin » 24 Oct 2003 21:02

euh... je précise que j'ai fait un scan avec un mcafee à jour, et rien...
Je suis capable du meilleur et du pire, mais dans le pire, c'est moi le meilleur.
Avatar de l’utilisateur
krilin
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 19 Août 2003 00:00

Messagepar Rbill » 24 Oct 2003 22:13

est ce que le dos64.exe est un programme personnel à la personne titulaire de ce poste.
Avatar de l’utilisateur
Rbill
Amiral
Amiral
 
Messages: 1323
Inscrit le: 15 Jan 2003 01:00
Localisation: Hauts de Seine (92)

Messagepar krilin » 24 Oct 2003 22:27

a priori non, personne ne prend l'initiative d'installer quoi que ce soit sans me demander (une consigne que j'ai d'ailleurs eu du mal a faire passer) et je n'ai pas vu de modif depuis l'install native (env. 1 mois)
Je suis capable du meilleur et du pire, mais dans le pire, c'est moi le meilleur.
Avatar de l’utilisateur
krilin
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 19 Août 2003 00:00

Messagepar Rbill » 24 Oct 2003 23:12

Je trouve cela quand même bizarre de ne trouver aucune info sur cette .exe! <BR>A moins que tu sois dans une société tres convoité! <BR>Comment peux tu être certain que cela ne soit pas installé de chez toi?
Avatar de l’utilisateur
Rbill
Amiral
Amiral
 
Messages: 1323
Inscrit le: 15 Jan 2003 01:00
Localisation: Hauts de Seine (92)

Messagepar micjack » 24 Oct 2003 23:45

Ping sur -> dos.f-key.biz = IP [66.90.67.10] <BR> <BR>Whois sur 66.90.67.10 <BR> <BR>OrgName: FDCservers.net LLC <BR>OrgID: FDCSE <BR>Address: 141 West Jackson Blvd, Suite 1135 <BR>City: Chicago <BR>StateProv: IL <BR>PostalCode: 60604 <BR>Country: US <BR> <BR>NetRange: 66.90.64.0 - 66.90.95.255 <BR>CIDR: 66.90.64.0/19 <BR>NetName: FDCSERVERS <BR>NetHandle: NET-66-90-64-0-1 <BR>Parent: NET-66-0-0-0-0 <BR>NetType: Direct Allocation <BR>NameServer: NS3.FDCSERVERS.NET <BR>NameServer: NS4.FDCSERVERS.NET <BR>Comment: <BR>RegDate: 2003-08-18 <BR>Updated: 2003-08-18 <BR> <BR>OrgTechHandle: PKR5-ARIN <BR>OrgTechName: Kral, Petr <BR>OrgTechPhone: +1-312-933-1046 <BR>OrgTechEmail: <!-- BBcode auto-mailto start --><a href="mailto:petr@fdcservers.net">petr@fdcservers.net</a><!-- BBCode auto-mailto end --> <BR> <BR># ARIN WHOIS database, last updated 2003-10-23 19:15 <BR># Enter ? for additional hints on searching ARIN's WHOIS database. <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lipenja » 25 Oct 2003 00:32

sur quel port,il arrive ton troien? <IMG SRC="images/smiles/icon_confused.gif">
Une expérience vécue n ' est qu' une suite d' erreurs.
Si nous ne savons pas, il faut essayer.
Avatar de l’utilisateur
lipenja
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 171
Inscrit le: 23 Août 2003 00:00
Localisation: singapour

Messagepar lipenja » 25 Oct 2003 01:00

micjack <BR>j' ai contolé L' IP ce n' est pas passé par chez moi car j' ai tout les logs de ZA sur mon disque depuis aout. <BR>j' ai fait un WHOIS je trouve pareil que toi. <BR>Que penser? <BR> <BR>Vérifie si tu n' as pas une infection deja installée. qu' en penses tu? <IMG SRC="images/smiles/icon_confused.gif">
Une expérience vécue n ' est qu' une suite d' erreurs.
Si nous ne savons pas, il faut essayer.
Avatar de l’utilisateur
lipenja
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 171
Inscrit le: 23 Août 2003 00:00
Localisation: singapour

Messagepar lipenja » 25 Oct 2003 01:15

En faisant +safety+dos 64.exe sur google <BR>je tombesur<!-- BBCode Start --><A HREF="mailto:nibbs-log">nibbs-log</A><!-- BBCode End --> <BR> <BR>il parlerai apparemment de nimda. il y aurait tout le code source? <BR> <IMG SRC="images/smiles/icon_confused.gif">
Une expérience vécue n ' est qu' une suite d' erreurs.
Si nous ne savons pas, il faut essayer.
Avatar de l’utilisateur
lipenja
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 171
Inscrit le: 23 Août 2003 00:00
Localisation: singapour

Messagepar micjack » 25 Oct 2003 01:26

Bonsoir lipenja, tu me disait: <BR>>Vérifie si tu n' as pas une infection deja installée. qu' en penses tu? <BR> <BR>Non! je suis le dernier a me faire gaufrer <IMG SRC="images/smiles/icon_razz.gif"> <BR>
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar lipenja » 25 Oct 2003 01:27

Lundi je vai chez Afflelou, j' ai la vue qui baisse. <BR> <BR>L ' URL : <BR><!-- BBCode Start --><A HREF="mailto:nilab.info/resource/bbslof/nibbs220_14.html">nilab.info/resource/bbslof/nibbs220_14.html</A><!-- BBCode End --> <BR>je pense qu' il y a le code source? <IMG SRC="images/smiles/icon_confused.gif">
Une expérience vécue n ' est qu' une suite d' erreurs.
Si nous ne savons pas, il faut essayer.
Avatar de l’utilisateur
lipenja
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 171
Inscrit le: 23 Août 2003 00:00
Localisation: singapour

Messagepar lipenja » 25 Oct 2003 01:36

Non micjack excuse moi je ne parlais pas pour toi. Mais c' est vrai il doit y avoir quelque chose sur l' ordinateur de la personne qui appelle au secours. <BR> <BR>De plus l' url ne fonctionne pas. Par contre sur Google si tu fais: <BR> <BR>+safety+dos64.exe <BR>tu devrais tomber sur un forum asiatique : nibbs-loc, il y a plein de caractères asiatiques mais il ya suffisemment de caractères alphabetiques pour comprendre qu'apparemment il parlerait de Nimda, avec un code source, mais je n' en suis pas sur. <IMG SRC="images/smiles/icon_confused.gif">
Une expérience vécue n ' est qu' une suite d' erreurs.
Si nous ne savons pas, il faut essayer.
Avatar de l’utilisateur
lipenja
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 171
Inscrit le: 23 Août 2003 00:00
Localisation: singapour

Messagepar micjack » 25 Oct 2003 01:55

Excuse moi, mais j'ai rien trouvé avec ta concaténation <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Si non! "dos64.exe" a deja ete visiblement recherché <IMG SRC="images/smiles/icon_smile.gif"> <BR>meme par moi <IMG SRC="images/smiles/icon_smile.gif"> rien trouvé <IMG SRC="images/smiles/icon_cry.gif"> <BR> <BR>File nous ta recherche stp <IMG SRC="images/smiles/icon_bise.gif"> <BR>
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Suivant

Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)