mybot.log -> fichier de plus de 2 Go !!

mybot.log -> fichier de plus de 2 Go !! - Win NT/2K/XP - Windows & Software

Marsh Posté le 23-01-2004 à 18:49:03    

Bonjour à tous!
 
Je viens de constater sur une de nos machine que la partition C:/ (9Go) est complétement pleine...
Pourtant rien n'y est installer sauf les soft de base.
Je vois que mon dossier Winnt contient plus de 9Go de donné :pt1cable:  
Je fais une recherche des fichier de plus de 100Mo, et je vois plusieurs fichier nommé MyBot.log de plus de 2Go logé dans winnt\system32
 
Bref, quelqu'un a déjà vu ca??
 
Je les ai viré. Lancé SpyBot ainsi qu'une annalyse anti-virus avec trendnet online, et ce dernier a trouvé ces virus:
-BKDR IROFFER12.A
-IRC BOUNCE.B
-BAT MUMU.B
Trendnet ne peux ke les virer.
Que me conseillez-vous de faire?
 
Merci,
 
A+

Reply

Marsh Posté le 23-01-2004 à 18:49:03   

Reply

Marsh Posté le 23-01-2004 à 18:52:55    

Les fichier infecté sont tous dans system32:
-SecureNetbios.exe
-kabomon
-load.bat
 
Ce dernier contien ceci:
@echo off
net share /y /delete c$
net share /y /delete d$
net share /y /delete admin$
net share /y /delete ipc$
net share /y /delete e$
net share /y /delete g$
net share /y /delete z$
net share /y /delete s$
net share /y /delete f$
net share /y /delete m$
c:\winnt\system32\pprsv.exe
 
Bizard, non?
 
Bref, j'ose virer tous ce bo monde?
Ke pensez-vous?

Reply

Marsh Posté le 23-01-2004 à 18:54:06    

Je précise que je n'ai aucun de ses fichier sur une autre config. Je suppose donc qu'il ne sont pas vital au bon fonctionnement de Windows

Reply

Marsh Posté le 26-01-2004 à 13:51:03    

PoKK a écrit :

ça s'appelle se faire hacké via la faille IPC comme il faut
en gros t'as hebergé un XDCC pendant quelque temps,
un firewall ça peut etre pas mal la
 


Wouaw...
Je sais pas ce qu'est un xdcc, mais c'est pas cool ;)
Voilà ce que j'ai trouvé:
user_nick [XDCC]XXXX-649
slotsmax 20
loginname XXXXX
filedir C:\RECYCLER\S-1-5-21-2686636377-1107193052-384560437-1000
uploaddir C:\RECYCLER\S-1-5-21-2686636377-1107193052-384560437-1000
xdccfile c:\winnt\system32\vmn32\asp\mybot.xdcc
pidfile c:\winnt\system32\vmn32\asp\mybot.pid
server irc.XXXXXX.net 6667
server irc.XXXXXX.net 7000
server XXXX.XXXXX.net 6667
server XXXX.XXXXX.net 7000
server XXX.XXX.XX.XXX 6667
logrotate weekly
messagefile c:\winnt\system32\vmn32\asp\mybot.msg
ignorefile c:\winnt\system32\vmn32\asp\mybot.ignl
channel #XDCC -plist 15
user_realname XDCC
user_modes +i
virthost no
vhost_ip virtip.domain.com
firewall no
dccrangestart 4000
queuesize 20
slotsmaxpack 0
slotsmaxslots 5
slotsmaxqueue 10
maxtransfersperperson 1
maxqueueditemsperperson 1
restrictlist yes
restrictsend yes
overallminspeed 5.0
transfermaxspeed 0
overallmaxspeed 2000
overallmaxspeeddayspeed 0
overallmaxspeeddaytime 9 17
overallmaxspeeddaydays MTWRF
debug no
autosend no
autoword bleh
automsg bleh
autopack 1
xdccautosavetime 15
creditline ^2Brought to you by #XDCC^2
adminpass Xv8h8aXknm8J5z
adminhost *!*@*.XXXXXX.net
adminhost *!*@*.cia.gov
uploadallowed no
uploadmaxsize 900
 
 
J'avais déjà viré ca:
xdccfile c:\winnt\system32\vmn32\asp\mybot.xdcc
pidfile c:\winnt\system32\vmn32\asp\mybot.pid
Est-ce suffisant?
 
Mais ce ki fait chier, c'est que j'étais a jour au niveau des Update de Crosoft.
N'ayant pas la possibilté actuelement de mettre un firewall, que me conseillez-vous?
 
Merci

Reply

Marsh Posté le 26-01-2004 à 19:06:25    

Pour le firewall matériel, j'aurai peut-être le budjet, mais c'est pas encore sûr.
Pour un firewall logiciel, je veux bien, mais les machines sont déjà pas rapide.
Existe t'il un firewall qui ne fait que de bloquer tous les ports en entrée, sauf ceux que j'utilise? Car la plupart d'entre eux sont des usines à gaz...
J'ai déjà installé un Norton internet security, mais c'est beaucoup trop lourd.  
Si tu as des proposition?
 
Je présise que j'utilise uniquement ma connexion web pour la télémaintenance avec pcanywhere (port non standard) et le FTP (port standard).
 


Message édité par helvetik le 26-01-2004 à 19:10:22
Reply

Marsh Posté le 29-02-2004 à 19:52:58    


juste un pti truc.
 
un firewall matériel, ca s fait facilement.
 
va voir sur des site comme www.ixus.net.
 
il te faudra juste une vielle machine(avec kan meme au moin 32 Mo de ram)
 
et t aura un bo firewall souvent mis a jour, bien plus baleze que crosoft, et surtout qui tournera que sur une machine.
 
tout ca accessible par interface web.
 
pour info, le proc est vraiment pas utilisé, j lai mis sur un 166MMX, et j ai meme enlever le ventillo parce que ca chauffe apas un pet.
 
A mon avis un bon plan.(y a des endroit ou ils l utilise pour des config de 250 poste.)
 
au menu, DHCP, firewall, log, bande passante, + plein de services sympas.
 
Tout ca pour le temps d une install, cad environ 15 minute a tout cassé!!!
 
dans tout ceux donné, j prefer ipcop, aprés a toi de voir!!!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed