|
Hyökkäyksiä satelee kuin luoteja 2 maailmansodassa
|
|
|
jartsi12
Suspended due to non-functional email address
|
6. maaliskuuta 2006 @ 12:26 |
Linkki tähän viestiin
|
|
Eli onko normaalia että virus hyökkäyksiä tulee oikeen kaatamalla, nytkin kun tässä tarkastelen norton internet securityn tilastotietoja, niin hyökkäyksiä tulee noin sekunnin välein, ainakaan ennen ei tämmöstä ollut, jouduin ottaamaan sen ilmoituksenkin pois käytöstä mikä tulee tuonne alakulmaan aina kun joku yrittää hyökätä.
Jos oikein muistan kun katoin mitä yritettiin syöttää, doom portal vai mikä se oli? en ole aivan varma.
|
Senior Member
1 tuotearvio
|
6. maaliskuuta 2006 @ 13:08 |
Linkki tähän viestiin
|
Katsotaan näkyykö hjt-logissa mitään, joka voisi aiheuttaa tuon. Hae Hijackthis täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
|
|
mawdrgn
Member
|
6. maaliskuuta 2006 @ 13:08 |
Linkki tähän viestiin
|
No Doom Portal kuulostaa aika örkiltä.
Päättelisin, että sinulle on voinut päästä joku virus/haittaohjelma, joka lähettää netin välityksellä ns."kutsuja" muille madoille ja örkeille, jotka koittavat hyökätä koneeseesi. Jotkut madot tykkäävät nääs tehdä niin. Tämän kutsuja-örkin tod.näk. näemme Hijack This-lokista:
Lataa Hijack This
http://koti.mbnet.fi/pattaya1/HijackThis.exe
Tallenna omaan hakemistoonsa pääasemasi juureen:
esim. C:\hjt\Hijack This
Sitten käynnistä se, klikkaa Do A System Scan And Save Logfile, sitten lähetä se muistiossa esiin pomppaava loki kokonaisuudessaan tänne ;)
EDIT: Disa nopee :D
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. maaliskuuta 2006 @ 13:09
|
|
jartsi12
Suspended due to non-functional email address
|
6. maaliskuuta 2006 @ 15:05 |
Linkki tähän viestiin
|
Näin tein, estin kaiken liikenteen, ajoin ewidon, nortonin, ja muut spyware ohjelmat, sen jälkeen avasin nortonin, menin palomuuri -> määritä -> ohjelmat ja kielsin jokaikisen ohjelman ja nollasin sallitut ja kielettyt ohjelmat, eli en sallinut verkkoliikennettä missään ohjelmassa. Käynnistin koneen uudelleen ja aloitin alusta mitkä ohjelmat saavat käyttää verkkoa. Nyt hyökkäyksiä on tullut 19 (päivitys tässä lopussa vielä, nyt tullu hyökkäyksiä jo 63) noin 15-20 minuutissa ja hiljattain nousee, mikä kyllä kuulostaa vieläkin omituiselta :D mutta ei silti niin paha tilanne kuin äsken, eli ei taija olla vieläkään tilanne hanskassa, aika omituista kyllä... Katsoin lokista että vielähän "Portal of Doomia" sieltä lykätään pertskele, aika velho nimi muuten, vaikka eipä tässä kannattais paljoo naureskella.
Ja tossa sitä hjt logiakin:
------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:05:43, on 6.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
D:\Program Files\Diskeeper Lite\DKService.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Razer\CopperHead\razerhid.exe
D:\Program Files\ABIT\ABIT uGuru\GuruClock.exe
D:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\Program Files\Razer\CopperHead\razertra.exe
D:\Program Files\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\Razer\CopperHead\razerofa.exe
D:\Program Files\ABIT\ABIT uGuru\uGuru.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
D:\Program Files\BitComet\BitComet.exe
D:\Program Files\Mozilla\Mozilla Firefox\firefox.exe
D:\Program Files\Winamp\Winamp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\mIRC\mirc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\HJT\Hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razer] D:\Program Files\Razer\CopperHead\razerhid.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GuruClock] D:\Program Files\ABIT\ABIT uGuru\GuruClock.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Copperhead] D:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ABIT uGuru] D:\Program Files\ABIT\ABIT uGuru\uGuru.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O15 - Trusted Zone: http://*.update.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Program Files\Diskeeper Lite\DKService.exe
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect -palvelu (navapsvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
|
|
Tonski
Senior Member
|
6. maaliskuuta 2006 @ 15:16 |
Linkki tähän viestiin
|
|
|
jartsi12
Suspended due to non-functional email address
|
6. maaliskuuta 2006 @ 17:12 |
Linkki tähän viestiin
|
|
Nyt kun tässä aloin muisteleemaan, että mitä tein ennenkuin hyökkäyksiä alkoi sateleen. Asesin java runtime vai mikä sen nimi on, sivulta joka ei pitäisi olla paha, mutta eikai sitä koskaan tiedä, ja enkä aijo enää kokeillakaan, kummiskin, niin löysin muutamia tiedostoja jotka "hieman" haiskahtavat
C:asemalla tämmöinen java kansio jossa muutamia tiedostoja:
plugin150_06.trace
plugin150_05.trace
deployment.properties
tietenkin, olen aivan aloittelija näissä hommissa, joten voin olla aivan väärässä, mutta tuo "trace" varsinkin vähän haiskahtaa paskalle :D
vois poistaa ja kahtoo mitä tapahtuu
|
|
mawdrgn
Member
|
6. maaliskuuta 2006 @ 17:30 |
Linkki tähän viestiin
|
|
Älä nyt vielä lähde mitään poistelemaan.
Lähetä ne tiedostot tänne: www.virustotal.com
Kerro sitten tulokset
|
|
Mainos
|
|
|
|
jartsi12
Suspended due to non-functional email address
|
7. maaliskuuta 2006 @ 01:40 |
Linkki tähän viestiin
|
|
En sitten tiiä, mitähän sitä tekis?
Kyllä Nortonit ja ewido guardit on, plus Spyware blaster, ja ei oo tapana käydä missään porno sivuilla tai missään muissakaan "pahoilla" sivuilla, joten aika kummallista että yhtäkkiä aletaan pommittaan kuin sikaa häkissä, ainakin omasta mielestä. Noh..eipä tämä mitään ihmeellistä oo omalla kohalla...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. maaliskuuta 2006 @ 01:58
|
