Użytkownik "1634Racine" <1634@Racine.pl> napisał w wiadomości
news:e94q5o$3t8$1@atlantis.news.tpi.pl...
> Lawrens Hammond news:44b42e2e@news.home.net.pl napisal [-a]
> [..................]
> > ja stawiam na wira, któy zarzyna komunikację,
> > próbując zarażać (niekoniecznie) pobliskie komputery.
>
Spróbuję się odnieść do programów, którym bym się przyjrzał bliżej, ściślej,
których obecność u mnie wydała by mi się dziwna. Mogą się trafić stery do
czegoś, których nie znam.
>
> ja takze to podejrzewalem, stad skanowanie obledne, ale nic nie wykrywalo.
> W koncu zadzialalem po raz n-ty HijackThis - i na tym forum:
> http://www.cdaction.com.pl/agora/viewtopic.php?t=5674&start=350&sid=
> znalazlem to i owo, potem wywalalem takie cuda:
>
> O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
babol
> O4 - HKLM\..\Run: [secures23] mssecure.exe
babol, niekoniecznie
> O4 - HKLM\..\Run: [winsystems25] winsystems.exe
babol
> O4 - HKLM\..\Run: [Windows Core Kernel Update]
> C:\WINDOWS\System32\win32bootcfg.exe
Zdecydowanie babol
> O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
> O4 - HKLM\..\RunServices: [secures23] mssecure.exe
> O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe
> O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
>
> "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
> O23 - Service: ls4ss - Unknown owner - C:\WINDOWS\system32\ls4ss.exe (file
> missing)
> O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner -
> C:\WINDOWS\win32host.exe
Też babole
>
>
> I juz jest OK z siecia, trzyma polaczenie bez problemu :)
>
> Ale moze rzuc okiem na log z HijackThis _po_ czyszczeniu, czy czegos
> podejrzanego jednakowoz nie ma. To po pierwsze. A po drugie: po logu z
> HijackThis daje wydruk netstat - jak to jest teraz z polaczeniami, bo cos mi
> jednak za duzo ich. Moze przesadzam.
>
>
> _HijackThis_
>
> Logfile of HijackThis v1.99.1
> Scan saved at 02:03:47, on 2006-07-13
> Platform: Windows 2000 SP4 (WinNT 5.00.2195)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINNT\System32\smss.exe
> C:\WINNT\system32\winlogon.exe
> C:\WINNT\system32\services.exe
Mógł zostać zarażony i nie wyleczony
> C:\WINNT\system32\lsass.exe
Zdarza się.
> C:\WINNT\system32\svchost.exe
Ostrożnie z nim!!! Babole baaardzo go lubią, do tego stopnia, że sam się robi
babolem. Tak u mnie było.
> C:\WINNT\system32\spoolsv.exe
> C:\WINNT\System32\svchost.exe
> C:\WINNT\System32\nvsvc32.exe
To raczej grafa
> C:\WINNT\system32\MSTask.exe
raczej bezpieczny
> C:\WINNT\system32\stisvc.exe
Grafa?
> C:\WINNT\System32\WBEM\WinMgmt.exe
> C:\WINNT\system32\svchost.exe
> C:\WINNT\Explorer.EXE
Swój, choć też bym się przyjrzał. Mógł się zababolić.
> C:\WINNT\system32\spread.exe
Przyjrzałbym się.
> D:\drweb\spidernt.exe
Hmm... mało go kojarzę, u siebie bym zbadał. Na wszelki wypadek, czy się nie
strojanił.
> C:\WINNT\system32\internat.exe
> C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
Omamuśku! Wyjeb to gówno jak najszybciej!
Słyszałem o tym programie tyle niepochlebnych rzeczy, ze głowa mała. Nie jest
wirem, ale może nasrac w systemie, aż zakwiczy...
W W2k i XP jest OIDP opcja w połączeniach sieciowych i telefonicznych, ze do
netu łączysz się przez modem ADSL, czyli np. nerwostradowy. Wyjeb to gówno, a
zaznasz spokoju.
> D:\CiDial\CiDial.exe
PPPoE? Może jednak lepiej jechać na systemowym?
> D:\OEPowerTool\OE_PowerTool.exe
Swój i nie spodziewam się tu wira.
> D:\totalcmd\TOTALCMD.EXE
Stary znajomy :) Jeśli się nie wyłączył, to jest zdrowy.
> D:\Maxthon\Maxthon.exe
Fajna nakładeczka :)
> E:\MOJE DOKUMENTY\DDD\PROGRAMY\HijackThis.exe
"Wiem, kim jestem" :))
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.onet.pl/
> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
> Łącza
> O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
> C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
> C:\WINNT\system32\msdxm.ocx
> O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
Aktualizuje stronki.
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
> C:\WINNT\System32\NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Cały czas mam wrażenie, że to od grafy.
> O4 - HKLM\..\Run: [winsystems25] spread.exe
Hmm... wygląda obco... usiluję sobie przypomnieć, czy ma jakąś pożyteczną
rolę.
> O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
> O4 - HKLM\..\Run: [SpIDerNT] D:\drweb\spidernt.exe /agent
> O4 - HKLM\..\Run: [SpIDerMail] "D:\drweb\spiderml.exe"
Aby się nie zababolił...
> O4 - HKLM\..\Run: [zegar] E:\MOJE DOKUMENTY\DDD\PROGRAMY\zegar\TClock.exe
Zegarek ustawia? :)
> O4 - HKLM\..\RunServices: [winsystems25] spread.exe
Hmmm...
> O4 - HKCU\..\Run: [internat.exe] internat.exe
> O4 - HKCU\..\Run: [hook99] E:\MOJE DOKUMENTY\DDD\PROGRAMY\hook\hook99.exe
A ten zdecydowanie mi się nie podoba.
> O4 - Startup: CiDial 2.3.lnk = D:\CiDial\CiDial.exe
> O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
> 800-840\dslmon.exe
> O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
> 800-840\dslmon.exe
Neozdradowe gówno... potrafi nasyfić.
> O4 - Global Startup: Microsoft Office.lnk = D:\MSOffice\Office\OSA9.EXE
> O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
> present
> O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
> C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
> O9 - Extra 'Tools' menuitem: Sun Java Console -
> {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
> Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
> O9 - Extra 'Tools' menuitem: Show &Related Links -
> {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file
> missing)
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
> O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
> O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
>
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151720284250
> O17 -
> HKLM\System\CCS\Services\Tcpip\..\{F105E0C1-3B53-481D-AC40-576D1743E7CF}:
> NameServer = 194.204.152.34 217.98.63.164
> O23 - Service: Usługa administracyjna Menedżera dysków logicznych
> (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
> O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
> C:\WINNT\System32\nvsvc32.exe
Czyli dobrze zgadłem, grafa.
> O23 - Service: Port Reporter (PortReporter) - Unknown owner - C:\Program
> Files\PortReporter\portreporter.exe
Pilnuje, zeby bajty nie wyciekły? :)
> O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. -
> D:\drweb\SpiderNT.exe
>
>
> NETSTAT -P TCP
> ==> o co chodzi w tych probach polaczen, ze prawie wszedzie jest
> "microsoft-ds".... ???
Zamiast numeru portu, pokazuje protokół/usługę, która jest przypisana do
niego. To jest właśnie port 445, który jest ukochany przez wszelkie robale...
>
> Aktywne poĄczenia
>
> Protok˘ Adres lokalny Obcy adres Stan
> TCP bonikowo:1029 208.66.193.198:22430 USTANOWIONO
> TCP bonikowo:1084 dkd158.neoplus.adsl.tpnet.pl:microsoft-ds
> CZAS_OCZEKIWANIA
...
>
> NETSTAT -N
>
>
> Aktywne poĄczenia
>
> Protok˘ Adres lokalny Obcy adres Stan
> TCP 83.24.128.186:1029 208.66.193.198:22430 USTANOWIONO
> TCP 83.24.128.186:1084 83.24.7.158:445 CZAS_OCZEKIWANIA
> TCP 83.24.128.186:1089 83.24.136.5:445 CZAS_OCZEKIWANIA
...
> PYTANIE: skad, skoro to jest instalacja w2k tuz tuz zrobiona - skad takie
> zainfekowanie systemu bylo ? siec ? tak natychmiast? trefna cd instal? ale
Tak. Ja miałem wira w 4 minuty po podłączeniu się do sieci, zestaw - W2k i
SDI. Nie zdążyłem jeszcze ściagnąć ogniomurka i musiałem reinstalować
wszystko, bo zaraziło svchost.exe... Welchia właśnie.
> ktos ja uzywal juz i byla ok... nie wiem.
Na 80 % program dostępowy do Neostrady.
Proponowałbym Ci tak:
http://www.olesno.pl/~pablo/kerio/download/kerio-pf-2.1.5-en.exe
http://www.olesno.pl/~pablo/kerio/download/kerio-personal-firewall-2.1.5-pl.exe
Wywal inne FW poza systemowym, zainstaluj najpierw pierwszy program, potem BEZ
RESTARTU od razu drugi, wtedy nie będziesz musiał zatrzymywać usługi FW po
resratcie kompa, by zainstalować spolszczenie. Dopiero po instalacji
spolszczenia restart kompa. Bardzo dobrze współpracuje z systemową zaporą XP,
na kompach, które za moją sprawą mają KPF 2.1.5 (wyższe wersje są OK, ale
trochę żrą zasobów i mocy, ten jest malutki i bardzo szybki, a także
skuteczny) pod XP wszystko chodzi pięknie.
Ma on fajną rzecz - można podejrzeć, jaki program z czym się łączy. Acha,
jeden minus, mogą nie chodzić update'y, aby zrobić WindowsUpdate, muszę na
moment wyłączyć ochronę w KPF, jak będę mieć czas, to rozgryzę, co trzeba komu
odblokować. Na razie rozgryzłem (i rozwiązałem) zagadkę długiego logowania się
do niektóych serwisów email (np. Bankier.PL), gdy Kerio jest aktywny - trzeba
puścić ruch do portu 113, dla adresu (po numerze IP) serwera POP3 i dać
regułkę, że tylko ten serwer, tylko po TCP, można dla wszystkich lokalnych
(zresztą kpf bez reguły melduje "traffic to unopened port"). Sprawdziłem,
reguła jest skuteczna.
Jako antywir u mnie jest Avast, chwalę sobie, chroni mi wszystko (no, prawie)
:) Poza tym chyba nawet rootkity powykrywa - skanuje on-boot, zanim się
wszystko pouruchamia (jeśli mu takie skanowanie zadam przed zamknięciem
systemu)
Tak to ja widzę. Z pewnością nakłamałem. Ale w dobrej wierze, bo napisałem,
jak bym się zajął swoim systemem. A jakoś mi to się udaje i system mam zdrowy.
Podejrzane wpisy w Rejestrze najskuteczniej się usuwa, sprawdzone
(Ryzykowne!) - usunąć złe wpisy, usunąć podejrzane pliki, lub je zafiksować
gdzieś na boku do zbadania, zamknąć edytor rejestru, poczekać trochę ze
względu na buforowanie dysków i - odłączyć, po chamsku, zasilanie od kompa.
Chodzi o to, aby udydolić wirusa, zanim przy zamykaniu systemu ponownie się
zapisze do rejestru celem uruchomienia, a także np. do swojego katalogu, aby
miało się co uruchomić. Tak dialery usuwałem. Z autostartu też trzeba
pousuwać.
Po ponownym starcie nie będzie wskazania w rejestrze do uruchomienia paskudy,
autostart także nie będzie mieć wpisu do uruchomienia śmiecia, na wszelki
wypadek można przed takim "chamskim" zamknięciem systemu zadać dogłębny skan
on-boot. Wtedy prawie na pewno system jeśli wstanie, będzie zdrowy.
Mam nadzieję, że rozumiesz, że takie rozwiązanie jest ryzykowne i jeśli nie
masz pewności, co robisz, to lepiej niech to zrobi np. znajomy informatyk.
Ogólną zasadą, zmniejszającą ryzyko, jest powyłączanie wszystkich programów,
które się da wyłączyć, zanim się przystąpi do likwidacji paskudztwa. Chodzi o
to, żeby system w trakcie gwałtownego wyłączania miał jak najmniej otwartych
plików, a także, co daleko ważniejsze dla bezpieczeństwa nośnika - żeby HDD
nie był w tym momencie w trakcie zapisu, gdyż można sobie "rozwalić" dysk i
HDD-Regenerator niekoniecznie musi dać sobie z tym radę. Mam w swoich zasobach
dysk tak właśnie załatwiony - komp wyłączony w trakcie zapisu na dysk. Z
wielkim trudem doprowadziłem go do jako-takiej używalności - nie brał go ani
format, ani nawet HDD-Reg.
Powodzenia :))
I pamiętaj, bądź bardzo ostrożny, to podstawa, do tego pamiętaj o ostrożności
i nie zapomnij także, by wszystko robić bardzo ostrożnie... Czasem lepiej
zrobić coś naokoło, niż ryzykować pad danych. Niezamknięte pliki pozamyka (i
pousuwa w razie potrzeby) chkdsk. Uszkodzony nośnik może sprawiać problemy w
przyszłości. Dlatego wyłączenie kompa tylko, gdy dysk nie pracuje... chyba, ze
wir zaczął aktywnie niszczyć dane, wtedy inna sprawa. A bezpieczniej będzie
użyć klawisza reset :)) Niektóre kompy jednak go nie mają :))
3m się.
-- LH Zanim ogłosisz w złym miejscu: http://www.usenet.pl/nospam/simple-polish.htpl Zanim zawołasz na GG: http://zanim.napiszesz.prv.pl Zanim zadasz pytanie na grupie dyskusyjnej: http://rtfm.killfile.pl PS. Pardon, Grupa, za nakłamanie, gdzie nakłamałem :) Rzeczową krytykę z wdzięcznością przyjmę. :)Received on Thu Jul 13 22:20:06 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 13 Jul 2006 - 22:42:03 MET DST