Czy mam trojana????
W analizie dziennika NIS znalazłem przed chwilą nastepujęce wpisy, które pojawiły się w trakcie aktualizacji Windows:
Przekierowane połączenie: localhost: 1025.
z localhost: Backdoor–g–1(1243).
wysłano bajtów 367
odebrano bajtów 15726.
czas trwania: 34.759
i wpis z linijki nad powyźszym:
Połączenie: localhost: Backdoor–g–1(1243).
do localhost: 1025.
wysłano bajtów 15726
odebrano bajtów 553.
czast trwania: 34.840
W bazie wirusuów Symanteca jest trojan Backdoor G, przeczytałem o nim, poszukałem wpisów które tworzy i nie znalazłem. Przeskanowanie kompa teź nic nie dało.
Dodam jeszcze, źe kilka minut wczesniej dostałem od NIS alert o zezwolenie na komunikację pliku C:\Windows\system32\svchost.exe z zaleceniem, źeby zezwolić.
Wpis w alercie wygląda następująco:
Pakiet przychodzący UDP.
Adres lokalny, usługa (0.0.0.0,1026).
Adres zdalny, usługa (61.152.158.152, 51884).
Nazwa procesu to "C:\WINDOWS\system32\svchost.exe".
Czy to moźe mieć coś wspólnego???
Pozdrawiam
Oakhallow
Przekierowane połączenie: localhost: 1025.
z localhost: Backdoor–g–1(1243).
wysłano bajtów 367
odebrano bajtów 15726.
czas trwania: 34.759
i wpis z linijki nad powyźszym:
Połączenie: localhost: Backdoor–g–1(1243).
do localhost: 1025.
wysłano bajtów 15726
odebrano bajtów 553.
czast trwania: 34.840
W bazie wirusuów Symanteca jest trojan Backdoor G, przeczytałem o nim, poszukałem wpisów które tworzy i nie znalazłem. Przeskanowanie kompa teź nic nie dało.
Dodam jeszcze, źe kilka minut wczesniej dostałem od NIS alert o zezwolenie na komunikację pliku C:\Windows\system32\svchost.exe z zaleceniem, źeby zezwolić.
Wpis w alercie wygląda następująco:
Pakiet przychodzący UDP.
Adres lokalny, usługa (0.0.0.0,1026).
Adres zdalny, usługa (61.152.158.152, 51884).
Nazwa procesu to "C:\WINDOWS\system32\svchost.exe".
Czy to moźe mieć coś wspólnego???
Pozdrawiam
Oakhallow
Odpowiedzi: 4
Ano np mam taki wpis:
Oakhallow
Oakhallow
Ano np mam taki wpis:
Oakhallow
Oakhallow
Oakhallow:
W analizie dziennika NIS znalazłem przed chwilą nastepujęce wpisy
gdzie w/w dzienik moźna znaleź
sprawdz jakie masz połączenia start=>> uruchom CMD netstat –an
Nie wiem czy jedno z drugim ma cos wspolnego, ale adres widoczny w alercie pochodzi z Szanghaju:
SHANGHAI–GLOBAL–NET
Shanghai Global Network Co., Ltd.
Jesli nie masz tam wujka Ji Yi mieszkajacego w Shanghai, 200085, PRC, 3F,333 North Jiangxi Road, nie jest to normalne i nie powinienes zezwalac na takie polaczenia :wink: .
Przegladnij inne zrodla na temat tego trojana i porownaj te informacje z plikami u siebie –> http://www.europe.f–secure.com/v–descs/subseven.shtml
Jak to zwykle bywa w takich sytuacjach, przeskanuj system programikiem HiJackThis i wrzuc log do automatycznego "sprawdzacza". Jesli bedziesz mial watpliwosci, pokaz ten log tutaj wklejajac go do posta. Info o HiJacku w przyklejonym temacie.
SHANGHAI–GLOBAL–NET
Shanghai Global Network Co., Ltd.
Jesli nie masz tam wujka Ji Yi mieszkajacego w Shanghai, 200085, PRC, 3F,333 North Jiangxi Road, nie jest to normalne i nie powinienes zezwalac na takie polaczenia :wink: .
Przegladnij inne zrodla na temat tego trojana i porownaj te informacje z plikami u siebie –> http://www.europe.f–secure.com/v–descs/subseven.shtml
Jak to zwykle bywa w takich sytuacjach, przeskanuj system programikiem HiJackThis i wrzuc log do automatycznego "sprawdzacza". Jesli bedziesz mial watpliwosci, pokaz ten log tutaj wklejajac go do posta. Info o HiJacku w przyklejonym temacie.
Strona 1 / 1