Lawrens Hammond news:44b6a9ae@news.home.net.pl napisal [-a]
[....]
>> W koncu zadzialalem po raz n-ty HijackThis - i na tym
>> forum:
>> http://www.cdaction.com.pl/agora/viewtopic.php?t=5674&start=350&sid=
znalazlem to i owo, potem wywalalem takie cuda
>> O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
> babol
wiem; i o tym pisze, ze powywalalem te cuda wg zapisow na forum
>> Ale moze rzuc okiem na log z HijackThis _po_ czyszczeniu, czy czegos
>> podejrzanego jednakowoz nie ma. [.......]
>> Running processes:
>> C:\WINNT\System32\smss.exe
>> C:\WINNT\system32\winlogon.exe
>> C:\WINNT\system32\services.exe
> Mógł zostać zarażony i nie wyleczony
"znaczy sie, co?" :)
smss, winlogon,services - wiemy, za co teraz "robia" ? moze to teraz tylko
zwyczajne procesy natywne w2k?
>> C:\WINNT\system32\lsass.exe
> Zdarza się.
ano; wyrzucilem. Zostawilem tylko Lsass.exe - "Biblioteka DLL pliku
wykonywalnego i serwera LSA".
Swoja droga bardzo ciekawe i wazne pytanie: dlaczego drweb32 (aktualna baze
wir), taki super ponoc antywir, uzywam od dawna, a jednak NIE
WYKRYL lsass.exe ? Ani (wczesniej) takich brudów: mssvcc.exe, mssecure.exe,
winsystems.exe, win32bootcfg.exe, winsystems.exe, win32host.exe oraz paru
innych.
>> C:\WINNT\system32\svchost.exe
> Ostrożnie z nim!!! Babole baaardzo go lubią, do tego stopnia, że sam
> się robi babolem. Tak u mnie było.
to znaczy - co? jak ostroznie? nie uzywac :) ?? powaznie pytam.
>> C:\WINNT\system32\spoolsv.exe
>> C:\WINNT\System32\svchost.exe
>> C:\WINNT\System32\nvsvc32.exe
> To raczej grafa
tak
>> C:\WINNT\system32\MSTask.exe
> raczej bezpieczny
ponoc harmonogramy
>> C:\WINNT\system32\stisvc.exe
> Grafa?
opisany jako:"Monitor urządzeń obrazów nieruchomych"...
>> C:\WINNT\system32\spread.exe
> Przyjrzałbym się.
tutaj na przyklad:
http://www.greatis.com/appdata/d/s/spread.exe_Removal.htm
i tutaj:
http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=37422
no to usuwam.
>> D:\drweb\spidernt.exe
> Hmm... mało go kojarzę, u siebie bym zbadał. Na wszelki wypadek, czy
> się nie strojanił.
od drweb32
>> C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
> Omamuśku! Wyjeb to gówno jak najszybciej!
nic z tego :) jest ok, to monitor _od_sagema_ . Jest opcjonalnie po tej
"dobrej" instalacji modemu-karty, oczywiscie NIE z plyty neostradowej, to
sagem.
> W W2k i XP jest OIDP opcja w połączeniach sieciowych i
> telefonicznych, ze do netu łączysz się przez modem ADSL, czyli np.
> nerwostradowy.
wlasnie tak mam ustawione po w/w instalacji modemu.
>> D:\CiDial\CiDial.exe
> PPPoE? Może jednak lepiej jechać na systemowym?
CiDial.exe jest w tray, skrot w autostart, super.
Z ciekawsci: jest jakis _systemowy_ podtrzymujacy neo i jeszcze
prostszy/mniejszy od cidial ???
>> O4 - HKLM\..\Run: [winsystems25] spread.exe
> Hmm... wygląda obco... usiluję sobie przypomnieć, czy ma jakąś
> pożyteczną rolę.
j.w
wywalilem.
>> O4 - HKLM\..\Run: [zegar] E:\MOJE
>> DOKUMENTY\DDD\PROGRAMY\zegar\TClock.exe
> Zegarek ustawia? :)
via serwery ntp.
>> DOKUMENTY\DDD\PROGRAMY\hook\hook99.exe
> A ten zdecydowanie mi się nie podoba.
spokojnie :) malenstwo do zmiany (prawie dowolnej) przycisku
"start"
>> O23 - Service: Port Reporter (PortReporter) - Unknown owner -
>> C:\Program Files\PortReporter\portreporter.exe
> Pilnuje, zeby bajty nie wyciekły? :)
cos w tym stylu, z M$
>> ktos ja uzywal juz i byla ok... nie wiem.
> Na 80 % program dostępowy do Neostrady.
o! to znaczy ktory _dokladnie_ ?
bowiem w/w dslmon.exe jest _tylko_ monitorem, po wylaczeniu go mam dostep do
sieci, a i dslmon.exe nie sadze by byl wagonem dla smieci z netu...
> Proponowałbym Ci tak:
> http://www.olesno.pl/~pablo/kerio/download/kerio-pf-2.1.5-en.exe
> http://www.olesno.pl/~pablo/kerio/download/kerio-personal-firewall-2.1
> .5-pl.exe
czyli rozmawiamy teraz o firewalls? postawie moze jednak AgnitumOutpost...
nie wiem jeszcze. A moze to, o czym piszesz? bede mial kogo pytac :)
> Wywal inne FW poza systemowym
mam w2kpro
> Jako antywir u mnie jest Avast,
u mnie drweb32. do dzisiaj ok, a od dzisiaj zastanawia mnie, ze jednak
przepuszcza brudy opisane w watku.
A przeciez sa juz - jak widze w sieci - bardzo znane...
po wywaleniu tego i owego -najpierw log hijackthis, a potem netstaty:
Logfile of HijackThis v1.99.1
Scan saved at 13:58:52, on 2006-07-15
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
Lsass.exe przez duze L, tylko to mam, a to juz systemowy proces, inne tez
maja nazwy jak proc.systemowe, zadnych wpisow w win.ini, system.ini ... -
raczej systemowe procesy
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
D:\drweb\SpiderNT.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
D:\drweb\spidernt.exe
D:\drweb\spiderml.exe
E:\MOJE DOKUMENTY\ddd\TClock.exe
C:\WINNT\system32\internat.exe
E:\MOJE DOKUMENTY\hook\hook99.exe
D:\CiDial\CiDial.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\MOJE DOKUMENTY\ddd\PROGRAMY\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Łącza
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SpIDerNT] D:\drweb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "D:\drweb\spiderml.exe"
O4 - HKLM\..\Run: [zegar] E:\MOJE DOKUMENTY\ddd\TClock.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [hook99] E:\MOJE DOKUMENTY\dd\PROGRAMY\hook\hook99.exe
O4 - Startup: CiDial 2.3.lnk = D:\CiDial\CiDial.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\drwebsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151720284250
O17 -
HKLM\System\CCS\Services\Tcpip\..\{F105E0C1-3B53-481D-AC40-576D1743E7CF}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Usługa administracyjna Menedżera dysków logicznych
(dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINNT\System32\nvsvc32.exe
O23 - Service: Port Reporter (PortReporter) - Unknown owner - C:\Program
Files\PortReporter\portreporter.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. -
D:\drweb\SpiderNT.exe
NETSTAT -A
Aktywne poĄczenia
Protok˘ Adres lokalny Obcy adres Stan
TCP bonikowo:epmap bonikowo:0 NASťUCHIWANIE
TCP bonikowo:microsoft-ds bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1025 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:netbios-ssn bonikowo:0 NASťUCHIWANIE
TCP bonikowo:microsoft-ds dpu157.neoplus.adsl.tpnet.pl:3008
USTANOWIONO
TCP bonikowo:1001 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1002 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1003 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1004 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1005 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1006 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1007 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1008 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1009 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1010 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1011 bonikowo:0 NASťUCHIWANIE
TCP bonikowo:1012 bonikowo:0 NASťUCHIWANIE
UDP bonikowo:microsoft-ds *:*
UDP bonikowo:netbios-ns *:*
UDP bonikowo:netbios-dgm *:*
UDP bonikowo:isakmp *:*
UDP bonikowo:4500 *:*
NETSTAT -N
Aktywne poĄczenia
Protok˘ Adres lokalny Obcy adres Stan
TCP 83.24.151.254:445 83.24.154.242:1027 USTANOWIONO
TCP 83.24.151.254:445 83.24.255.145:4132 USTANOWIONO
Received on Sat Jul 15 14:30:06 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 15 Jul 2006 - 14:42:03 MET DST