Re: w2k - po czasie utrata internetu

Użytkownik "1634Racine" <1634@Racine.pl> napisał w wiadomości
news:e9an00$g67$2@nemesis.news.tpi.pl...
> >> C:\WINNT\system32\services.exe
> > Mógł zostać zarażony i nie wyleczony
>
> "znaczy sie, co?" :)

Wirus włażąc do kompa mógł się przy okazji przykleić. A co za tym idzie, móc
trochę sobie popanoszyć.

> smss, winlogon,services - wiemy, za co teraz "robia" ? moze to teraz tylko
> zwyczajne procesy natywne w2k?

Tak, ale jak to usługi (bo są to usługi) mogą też zostać zarażone, w końcu
usługa, to też program.

> >> C:\WINNT\system32\lsass.exe
> > Zdarza się.
>
> ano; wyrzucilem. Zostawilem tylko Lsass.exe - "Biblioteka DLL pliku
> wykonywalnego i serwera LSA".

Winda sama z siebie nie rozróżnia małych i dużych liter w nazwie pliku, choć
sam NTFS jak najbardziej ma to przewidziane.

> Swoja droga ... dlaczego drweb32 ... NIE
> WYKRYL lsass.exe ? Ani ... brudów: ...

Jak rootkit, lub inny program wciskający się głęboko w system, przechwytujący
pewne odwołania do funkcji systemowych... najstarszą powszechnie znaną sprawą
było ukrywanie sie wirusa przed wystąpieniem błędu dyskowego podczas próby
zarazenia zabezpieczonej dyskietki. Trzeba było przejąć funkcję/przerwanie
programowe &24h i w razie wystąpienia błędu nie pozwolić na jego
zakomunikowanie. Usaer mógł więc nie wiedzieć, że mu wirus chciał właśnie
dyskietkę "rozorać", ukrył się.
Tak samo mogło być i tu.

(svchost.exe)
> to znaczy - co? jak ostroznie? nie uzywac :) ?? powaznie pytam.

Yyy... nie da się nie używać... Od niego zależą istotne demony (usługi
systemowe).

>
> >> C:\WINNT\system32\spoolsv.exe

Drukarka OIDP.

> >> C:\WINNT\System32\svchost.exe

No, to ten "babolołap".

> >> C:\WINNT\System32\nvsvc32.exe
> > To raczej grafa
>
> tak

Dobrze zgadłem :)

>
> >> C:\WINNT\system32\MSTask.exe
> > raczej bezpieczny
>
> ponoc harmonogramy

Nie inaczej. Można wyłączyć usługę, jeśli się nie odpala CRON-a, bo to jest
właśnie taki CRON dla Windows.

> >> C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
> > Omamuśku! Wyjeb to gówno jak najszybciej!
>
> nic z tego :) jest ok, to monitor _od_sagema_ . Jest opcjonalnie po tej
> "dobrej" instalacji modemu-karty, oczywiscie NIE z plyty neostradowej, to
> sagem.

OK, to go pilnie obserwuj, Srażemowe wynalazki to trochę lont pod bombę...

> >> DOKUMENTY\DDD\PROGRAMY\zegar\TClock.exe
> > Zegarek ustawia? :)
>
> via serwery ntp.

To można zostawić, choć OIDP, już w systemie jest wbudowana obsługa i
odświeżanie zegara systemowego z ntp. Kilka dni temu sobie ustawiłem... ale
jak masz i działą, to może zostać, zaszkodzić raczej nie powinno.

>
> >> DOKUMENTY\DDD\PROGRAMY\hook\hook99.exe
> > A ten zdecydowanie mi się nie podoba.
>
> spokojnie :) malenstwo do zmiany (prawie dowolnej) przycisku
> "start"

OK. Ale miej na niego oko.

> > Proponowałbym Ci tak:
> > http://www.olesno.pl/~pablo/kerio/download/kerio-pf-2.1.5-en.exe
> > http://www.olesno.pl/~pablo/kerio/download/kerio-personal-firewall-2.1
> > .5-pl.exe
>
> czyli rozmawiamy teraz o firewalls? postawie moze jednak AgnitumOutpost...

Też dobry, choć już nie darmowy.

> nie wiem jeszcze. A moze to, o czym piszesz? bede mial kogo pytac :)

OK. Możesz śmiało, bezproblemowo współpracuje z XP, najwyżej do update'ów
trzeba go będzie wyłączać... ale tak chociaż wiesz, że Ci byle gówna nie
ściągnie bez Twojej wiedzy.

>
> > Wywal inne FW poza systemowym
>
> mam w2kpro

Jeśli to ten, co się ustawia w zaawansowanych właściwościach sieci, to nie
widzę przeszkód, by chodziły oba.

>
> > Jako antywir u mnie jest Avast,
>
> u mnie drweb32. do dzisiaj ok, a od dzisiaj zastanawia mnie, ze jednak
> przepuszcza brudy opisane w watku.
> A przeciez sa juz - jak widze w sieci - bardzo znane...

Przede wszystkim darmowy, bardzo szybki i bardzo skuteczny, jak też bardzo
oszczędny w użyciu zasobów (jedynie czasem po instalacji na ok. godzinę może
zamulić komputer, ale wtedy skanuje b. dogłębnie wszystko, co tylko może...
kilka razy u ludzi tak miałem. Poza tym nie zauważasz jego obecności).
Rejestrację za darmo odnawiasz co roku i znów masz program, który sam się
aktualizuje, jeśli tylko go tak ustawisz.

>
>
> po wywaleniu tego i owego -najpierw log hijackthis, a potem netstaty:
>
>
> Logfile of HijackThis v1.99.1
> Scan saved at 13:58:52, on 2006-07-15
> Platform: Windows 2000 SP4 (WinNT 5.00.2195)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINNT\System32\smss.exe
> C:\WINNT\system32\winlogon.exe
> C:\WINNT\system32\services.exe
> C:\WINNT\system32\lsass.exe
> C:\WINNT\system32\svchost.exe
> C:\WINNT\system32\spoolsv.exe
> C:\WINNT\System32\svchost.exe

Nic obcego.

>
> Lsass.exe przez duze L, tylko to mam, a to juz systemowy proces, inne tez
> maja nazwy jak proc.systemowe, zadnych wpisow w win.ini, system.ini ... -
> raczej systemowe procesy

Jak wspomniałem, Winda nie rozróżnia małych i dużych liter w nazwach plikó,
lsass to dla Windy dokładnie to samo, co np. LsAsS.
Czyli pewnie wzięło z jakiejś kopii zapasowej.

(lista plików i z rejestru)

Te procesy nie wydawały mi się xzbyt podejrzane, choćnie ukrywam, że kilku z
nich chętnie bym nie widział.

>
>
>
> NETSTAT -A
>
> Aktywne poˆĄczenia
>
(ciachnięta lista)
> TCP bonikowo:microsoft-ds dpu157.neoplus.adsl.tpnet.pl:3008
> USTANOWIONO
>
> NETSTAT -N
>
> Aktywne poˆĄczenia
>
> Protok˘ˆ Adres lokalny Obcy adres Stan
> TCP 83.24.151.254:445 83.24.154.242:1027 USTANOWIONO
> TCP 83.24.151.254:445 83.24.255.145:4132 USTANOWIONO

Noooo... teraz bym powiedział gites :))
Teraz to możesz uagresywnić emulka do maksimum i powinien pójść :))
Troszkę mnie zastanawiają te połączenia z portem 445, "USTANOWIONE", co nie
powiem, żeby mnie uspokajało... Ale już jest o nieeebo lepiej :)
Teraz tylko odciepać te 445 i chyba zapomnisz, ze miałeś kłopoty z netem :) Bo
jeśli nawet coś jeszcze żre system, to można go odciąć firewallem, wyłuskać
ad-awarem i avastem, aby się nie rozmnożyło.

Powodzenia :)

-- 
LH
Zanim ogłosisz w złym miejscu: http://www.usenet.pl/nospam/simple-polish.htpl
Zanim zawołasz na GG: http://zanim.napiszesz.prv.pl
Zanim zadasz pytanie na grupie dyskusyjnej: http://rtfm.killfile.pl