AfterDawn.com Mainosta sivuillamme
User Käyttäjä Salasana  
  Puuttuuko tunnus? Liity jäseneksi nyt!.
Salasana hukassa? Klikkaa tästä. 		 
  Etusivu   Uutiset   Oppaat   Ohjelmat   Sanasto   Laitevertailu   Profiilit   Keskustelu  
 Yksityisviestit     Luo uusi yksityisviesti     Kaikki uudet viestit     Ilman vastauksia olevat viestiketjut     Hae viestejä
sunnuntai 2.11.2025 / 18:23
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > windows -ongelmat > tunkeutujan selvittäminen?
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Tunkeutujan selvittäminen?
  Siirry:
 
Kirjoittaja Viesti
midge
Suspended due to non-functional email address
_ 		27. huhtikuuta 2005 @ 16:15 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Koneellani oli svchost.exe tiedostoksi naamioitunut virus tms., jonka avulla joku yritti päästä koneelleni. Osaako kukaan täällä neuvoa, voiko esim. tuom alla olevan perusteella ip:n perusteella jäljittää mistä nuo tunkeutumisyritykset ovat tulleet?
Ihan vaan, että voisi vaikka laittaa kyseisen henkilön palveluntarjoajalle kyselyn kyseisestä toiminnasta. Virus pitäisi nyt olla poissa, mutta ärsyttää vaan kun meni monta päivää tapellessa asian kanssa.

eli tuossa Norton internet securityn logia kyseisestä asiasta:

Details: This one time, the user has chosen to "block" communications.
Inbound TCP connection.
Local address,service is (82.128.216.**,http(80)).
Remote address,service is (62.13.170.12,29379).
Process name is "C:\program Files\Internet Explorer\shttps\svchost.exe".


ja toinen vastaava ilmoitus, jossa remote address oli: (80.28.28.126,49395).
[ + lainaa]
anatemus
Member
_ 		27. huhtikuuta 2005 @ 16:34 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
En tiedä auttaako nämä, mutta tuon palvelun avulla olen palomuurilokeja tulkinnut.
http://www.ripe.net/perl/whois?searchtext=62.13.170.12
http://www.ripe.net/perl/whois?searchtext=80.28.28.126
[ + lainaa]
Why use Windows when you can have air conditioning?
Why use Windows, when you can leave through the door?
-- Konrad Blum
midge
Suspended due to non-functional email address
_ 		27. huhtikuuta 2005 @ 16:38 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Joo, eli jonnekkin ulkomaille nuo taitaa viitata. Aika turha varmaan ruveta asiaa selvittämään sen enempää. Kiitos avusta kuitenkin.
[ + lainaa]
matvei
Junior Member
_ 		28. huhtikuuta 2005 @ 05:43 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Koneestasi oltiin tekemässä spammeriautomaattia. Voisit pistää
H3g:lle noottia asiasta, sillä toi on whois.sc:n mustalla listalla
Tässäpä tietoa:

62.13.170.12

Blacklist Status: Listed - Cached Today (details)
Cached Whois: Cached today
Whois History: 64 records stored
Record Type: IP Address
IP Location: Italy - H3g
Reverse IP: No websites hosted using this IP address
Reverse DNS: not set



% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is going to be changed soon. Your tools may need
% to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum: 62.13.170.0 - 62.13.170.255
netname: H3GIT
descr: H3G IT department
country: IT
admin-c: VO175-RIPE
tech-c: RC497-RIPE
tech-c: EMF4-RIPE
tech-c: GB1450-RIPE
status: ASSIGNED PA
notify:
mnt-by: H3G-CN-MNT
changed: 20021121
source: RIPE

route: 62.13.160.0/19
descr: H3G Italy SpA
descr: UMTS operator and ISP
origin: AS24608
mnt-by: H3G-CN-MNT
mnt-routes: H3G-CN-MNT
changed: 20020222
source: RIPE

person: Vittorio Orsini
address: H3G Italia S.p.A.
address: Via Cristoforo Colombo, 416 - 420
address: I 00145 Roma RM
address: Italy
phone: +39 06 59551
fax-no: +39 06 54602123
e-mail:
nic-hdl: VO175-RIPE
changed: 20010807
source: RIPE

person: Raffaele Celentano
address: H3G Italia S.p.A.
address: Via Cristoforo Colombo 416
address: I-00145 Roma RM
address: Italy
phone: +39 06 59556068
fax-no: +39 06 54602123
e-mail:
nic-hdl: RC497-RIPE
changed: 20010807
source: RIPE

person: Giuliano Biondi
address: H3G Italia S.p.A.
address: Via Cristoforo Colombo, 416 - 420
address: I 00145 Roma RM
address: Italy
phone: +39 06 59551
fax-no: +39 06 54602123
e-mail:
nic-hdl: GB1450-RIPE
changed: 20010807
source: RIPE

person: Enrico Maria Fondi
address: H3G Italia S.p.A.
address: Via Cristoforo Colombo, 416 - 420
address: I 00145 Roma RM
address: Italy
phone: +39 06 59556066
fax-no: +39 06 54602123
e-mail:
nic-hdl: EMF4-RIPE
changed: 19950613
changed: 19950614
changed: 19990615
changed: 20010807
source: RIPE




Date Data Source Answer Information
2005-04-27 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-04-18 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-04-15 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-04-12 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-04-07 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-04-04 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-30 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-29 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-27 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-24 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-23 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-22 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-21 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-20 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-18 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-16 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-10 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
2005-03-02 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
[ + lainaa]
matvei
Junior Member
_ 		28. huhtikuuta 2005 @ 05:48 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
" En tiedä auttaako nämä, mutta tuon palvelun avulla olen palomuurilokeja tulkinnut."

Tää on parempi: http://www.whois.sc/

Kun liittyy jäseneksi saa enemmän tietoa, eikä se maksa mitään.
[ + lainaa]
kaustinen
Newbie
_ 		29. huhtikuuta 2005 @ 05:04 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Mitenkäs kun noita svchost.exe:jä näkyy task managerissa useampiakin, onko siitä syytä huolestua ja miten tuon svchostin oikeellisuuden voisi tarkistaa? Käytössä on xp pro ja f-securen fis2005.

Kuuluuko noita (svchosteja) todellakin olla useampia auki?
[ + lainaa]
stauf
Senior Member
_ 		29. huhtikuuta 2005 @ 05:15 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
No minä olen käsittänyt asian niin, että tuo svchost.exe, joka on c:\windows\ hakemistossa on ok.
Muissa paikoissa sijaitsevat samannimiset eivät.

Mutta oikaiskaa viisaammat jos olen väärässä.

Tuolta lisää tietoa:
http://www.neuber.com/taskmanager/process/svchost.exe.html

E: Itselläni on näköjään 6 kpl niitä auki.
[ + lainaa]

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 29. huhtikuuta 2005 @ 05:21
Mainos
_ 		__
 
_
Easycola
Member
_ 		29. huhtikuuta 2005 @ 06:42 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Niin, XP:ssä svchost.exe sijaitsee %SystemRoot%\System32 kansion alla, muualla sijaitsevat svchost.exe:t pitäisi herättää palohälyttimet...;)

Mitä taas tulee useisiin svchost.exe näkymiin taskmanager:n kautta, (taikka esim käyttämällä tasklist /svc komentokehotteen kautta) svchost.exe on yleinen prosessinimi kaikille niille palveluille jotka ladataan dll-kirjastoista, sen takia niitä näkyy useampia.
Hyvän käsityksen saat kun vakoilette vaikka järjestelmävalvojan (adminstrative tools)tuokalujen kautta palvelut (services), varsinkin ne jotka latautuvat automaattisesti käynnistyksen yhteydessä.
Esimerkiksi omalta koneelta:
COM+ Event System =
-->C:\WINDOWS\system32\svchost.exe -k netsvcs
Logical Disk Manager =
-->C:\WINDOWS\System32\svchost.exe -k netsvcs
jne jne...
Vihjeeksi, turhia palveluita voi poistaa käynnistymättä automaattisesti, käytännössä vaikkapa jos ei ole lähiverkkoa käytössä, siihen liittyvät turhat palvelut voi poistaa latautumasta automaattisesti.
[ + lainaa]
afterdawn.com > keskustelu > yleistä keskustelua tietokoneista > windows -ongelmat > tunkeutujan selvittäminen?
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2025 AfterDawn Oy