Lawrens Hammond news:44b42e2e@news.home.net.pl napisal [-a]
[..................]
> ja stawiam na wira, któy zarzyna komunikację,
> próbując zarażać (niekoniecznie) pobliskie komputery.
ja takze to podejrzewalem, stad skanowanie obledne, ale nic nie wykrywalo.
W koncu zadzialalem po raz n-ty HijackThis - i na tym forum:
http://www.cdaction.com.pl/agora/viewtopic.php?t=5674&start=350&sid=
znalazlem to i owo, potem wywalalem takie cuda:
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [secures23] mssecure.exe
O4 - HKLM\..\Run: [winsystems25] winsystems.exe
O4 - HKLM\..\Run: [Windows Core Kernel Update]
C:\WINDOWS\System32\win32bootcfg.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [secures23] mssecure.exe
O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ls4ss - Unknown owner - C:\WINDOWS\system32\ls4ss.exe (file
missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner -
C:\WINDOWS\win32host.exe
I juz jest OK z siecia, trzyma polaczenie bez problemu :)
Ale moze rzuc okiem na log z HijackThis _po_ czyszczeniu, czy czegos
podejrzanego jednakowoz nie ma. To po pierwsze. A po drugie: po logu z
HijackThis daje wydruk netstat - jak to jest teraz z polaczeniami, bo cos mi
jednak za duzo ich. Moze przesadzam.
_HijackThis_
Logfile of HijackThis v1.99.1
Scan saved at 02:03:47, on 2006-07-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spread.exe
D:\drweb\spidernt.exe
C:\WINNT\system32\internat.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\CiDial\CiDial.exe
D:\OEPowerTool\OE_PowerTool.exe
D:\totalcmd\TOTALCMD.EXE
D:\Maxthon\Maxthon.exe
E:\MOJE DOKUMENTY\DDD\PROGRAMY\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Łącza
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SpIDerNT] D:\drweb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "D:\drweb\spiderml.exe"
O4 - HKLM\..\Run: [zegar] E:\MOJE DOKUMENTY\DDD\PROGRAMY\zegar\TClock.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [hook99] E:\MOJE DOKUMENTY\DDD\PROGRAMY\hook\hook99.exe
O4 - Startup: CiDial 2.3.lnk = D:\CiDial\CiDial.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\MSOffice\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file
missing)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151720284250
O17 -
HKLM\System\CCS\Services\Tcpip\..\{F105E0C1-3B53-481D-AC40-576D1743E7CF}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Usługa administracyjna Menedżera dysków logicznych
(dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINNT\System32\nvsvc32.exe
O23 - Service: Port Reporter (PortReporter) - Unknown owner - C:\Program
Files\PortReporter\portreporter.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. -
D:\drweb\SpiderNT.exe
NETSTAT -P TCP
==> o co chodzi w tych probach polaczen, ze prawie wszedzie jest
"microsoft-ds".... ???
Aktywne poĄczenia
Protok˘ Adres lokalny Obcy adres Stan
TCP bonikowo:1029 208.66.193.198:22430 USTANOWIONO
TCP bonikowo:1084 dkd158.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:1089 dpc5.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:1092 dpc5.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:1093 dkd158.neoplus.adsl.tpnet.pl:microsoft-ds
OCZEKIWANIE_FIN__1
TCP bonikowo:3492 dkz140.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3494 dkz140.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3763 dka114.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3766 dka114.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3767 dkm100.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3780 dkm100.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3825 dpe2.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:3837 dpe2.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4066 news.chip.pl:nntp USTANOWIONO
TCP bonikowo:4121 dsk189.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4129 dsk189.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4293 dqn36.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4296 dqn36.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4389 dqh223.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4390 dqh223.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4494 dsu228.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:4496 dsu228.neoplus.adsl.tpnet.pl:microsoft-ds
CZAS_OCZEKIWANIA
TCP bonikowo:1001 bonikowo:4062 USTANOWIONO
TCP bonikowo:4062 bonikowo:1001 USTANOWIONO
NETSTAT -N
Aktywne poĄczenia
Protok˘ Adres lokalny Obcy adres Stan
TCP 83.24.128.186:1029 208.66.193.198:22430 USTANOWIONO
TCP 83.24.128.186:1084 83.24.7.158:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1089 83.24.136.5:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1092 83.24.136.5:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1093 83.24.7.158:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1302 83.24.164.224:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1303 83.24.164.224:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:1801 83.24.232.173:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:2061 83.24.205.221:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:2065 83.24.205.221:445 CZAS_OCZEKIWANIA
TCP 83.24.128.186:4066 62.87.136.11:119 USTANOWIONO
TCP 127.0.0.1:1001 127.0.0.1:4062 USTANOWIONO
TCP 127.0.0.1:4062 127.0.0.1:1001 USTANOWIONO
PYTANIE: skad, skoro to jest instalacja w2k tuz tuz zrobiona - skad takie
zainfekowanie systemu bylo ? siec ? tak natychmiast? trefna cd instal? ale
ktos ja uzywal juz i byla ok... nie wiem.
Received on Thu Jul 13 08:45:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 13 Jul 2006 - 09:42:03 MET DST