CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo hlp glupi trojan/wir i porty.........

hlp glupi trojan/wir i porty.........

siemka mam taki problem zainstalowalem jesszcze raz wina xp i po 2 dniach komp zaczal cholernie mulis uzycie procka 100%uzyalo to webrebates1 a jak go wylaczylem to wlaczal sie web rebates0 ok usunalem to jakos, pozniel sprawdzilem antywirem kompa (norton 2004 z najnowszymi update'ami nic nie znalazl dopiero skanery online) nom i wszystko byloby git bo usunalem wiry ktore nie usunal skaner (mialem zaznaczone autoclean) ale cos zostaloi nie wiem co......... zamiescilem obrazek co mi nis pokazuje oto log do hijacka:

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesNorton Internet SecurityNISUM.EXE
C:Program FilesNetropaMultimedia Keyboard hksrv.exe
C:WINDOWSSystem32Ati2evxx.exe
C:Program FilesNorton Internet SecurityccPxySvc.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesNetropaMultimedia KeyboardMMKeybd.exe
C:WINDOWSSystem32MMTray.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesNetropaMultimedia KeyboardTrayMon.exe
C:Program FilesNetropaOnscreen DisplayOSD.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32svchost.exe
C:Documents and SettingsMateuszPulpithijackthisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Easy–WebPrint – {327C2873–E90D–4c37–AA9D–10AC9BABA46C} – C:Program FilesCanonEasy–WebPrintToolband.dll
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [MULTIMEDIA KEYBOARD] C:Program FilesNetropaMultimedia KeyboardMMKeybd.exe
O4 – HKLM..Run: [MMTray] MMTray.exe
O4 – HKLM..Run: [Easy–PrintToolBox] C:Program FilesCanonEasy–PrintToolBoxBJPSMAIN.EXE /logon
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: Easy–WebPrint Add To Print List – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_AddToList.html
O8 – Extra context menu item: Easy–WebPrint High Speed Print – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_HSPrint.html
O8 – Extra context menu item: Easy–WebPrint Preview – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_Preview.html
O8 – Extra context menu item: Easy–WebPrint Print – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_Print.html
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097738221968
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab

aha i mam wielki problem bo zawsze sciagam z torrenta a od tego tam czasu z wirami nie uzywalem go ale teraz jak juz prawie wszystkie wiry usunalem (kilka ich bylo) to chcialem cos sciagnac a mi tu pisze na kazdym torrencie problem connecting to tracker i nie wiem co mam robic...

mam na ten temat tez swoja opinie czy jest mozliwosc ze trojan skanujeporty a nis je zablokowal i sa zablokowane tez te, z ktorych kozysta torrent....... jak ktos wie jak spowrotem uruchomic te porty albo zrobic cos zeby torrent dzialal to pls hlp

Odpowiedzi: 7

Co do Whack–a–mole Trojan napisałem Tobie źebyś zobaczył do przeglądarki dziennika ( Log Viewer ),
tam masz info w Wykrywaniu wtargnięć ( Intrusion Detection ) z jakiego IP nastepuje komunikacja, na jakim porcie i za pomocą jakiego protokołu.
Nie jest to Trojan na HDD tylko próba "otwarcia" danego portu na którym jest ustawiona reguła blokowania tego typu komunikacji.
Zapora Tobie działa i blokuje dany typ komunikacji na tych portach.
Jeśli przeszkadza Tobie wysuwający się Alert Tracker to moźesz go wyłączyć i wtedy nie będziesz miał pojawiającego się alertu o "ataku" za jego pomocą a mimo to będzie on blokowany.

service1.symantec.com jest wityną web producenta gdzie moźna znaleść info o wystepujących problemach z produktami jak i sposobie ich naprawienia.

Gdy SFC nie pomoźe to moźna spróbować wykonać nakładkę systemu.
McScr@by
Dodano
19.10.2004 21:30:45
portier:
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
To nic niepokojacego. Usun i odznacz dumprep w msconfig.
EL NINO
Dodano
19.10.2004 20:20:59
mam kolejnego loga i niepokoi mnie ten wpis
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
czy cos z tym nie tak????

Log z HJ wkleja sie w ten sposob:

EL NINO

Logfile of HijackThis v1.98.2
Scan saved at 17:52:59, on 2004–10–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesNorton Internet SecurityNISUM.EXE
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesNetropaMultimedia KeyboardMMKeybd.exe
C:WINDOWSSystem32MMTray.exe
C:Program FilesNetropaMultimedia KeyboardTrayMon.exe
C:Program FilesNetropaOnscreen DisplayOSD.exe
C:Program FilesNetropaMultimedia Keyboard hksrv.exe
C:WINDOWSSystem32Ati2evxx.exe
C:Program FilesNorton Internet SecurityccPxySvc.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32wuauclt.exe
C:Documents and SettingsMateuszPulpithijackthisHijackThis.exe
C:WINDOWSSoftwareDistributionDownloadInstallWindowsXP–KB824105–x86–plk.exe
c:be6bf2b699cb325ca257186xpsp1hfm.exe
c:be6bf2b699cb325ca257186sp1updateupdate.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Easy–WebPrint – {327C2873–E90D–4c37–AA9D–10AC9BABA46C} – C:Program FilesCanonEasy–WebPrintToolband.dll
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [MULTIMEDIA KEYBOARD] C:Program FilesNetropaMultimedia KeyboardMMKeybd.exe
O4 – HKLM..Run: [MMTray] MMTray.exe
O4 – HKLM..Run: [Easy–PrintToolBox] C:Program FilesCanonEasy–PrintToolBoxBJPSMAIN.EXE /logon
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
O4 – HKLM..RunOnce: [WMC_0] C:WINDOWSSystem32 egsvr32.exe /s "C:WINDOWSSystem32wmpcore.dll"
O4 – HKLM..RunOnce: [WMC_1] C:WINDOWSSystem32 egsvr32.exe /s "C:WINDOWSSystem32msdxm.ocx"
O4 – HKLM..RunOnce: [WMC_2] C:WINDOWSSystem32 egsvr32.exe /s "C:WINDOWSSystem32dxmasf.dll"
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: Easy–WebPrint Add To Print List – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_AddToList.html
O8 – Extra context menu item: Easy–WebPrint High Speed Print – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_HSPrint.html
O8 – Extra context menu item: Easy–WebPrint Preview – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_Preview.html
O8 – Extra context menu item: Easy–WebPrint Print – res://C:Program FilesCanonEasy–WebPrintResource.dll/RC_Print.html
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097738221968
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
portier
Dodano
19.10.2004 19:58:11
Byc moze z wirusem usunales jakies pliki systemowe. Uzyj polecenia "sfc" w Uruchom. Oczywiscie z odpowiednim przelacznikiem. Jakim ? Pomoc systemowa i haslo "sfc", lub w Uruchom cmd+Enter a pozniej "sfc /?"
EL NINO
Dodano
19.10.2004 18:56:53
nie nie i nie......... zauwazylem to dopiero teraz... w grach nie mam dzwieku a jeszcze 3dni temu wszystko bylo git...... glupi wirus mi to zrobil ??? czy haker??? a wiec problem jest taki... z windy wszystkie dzwieki ida ok np gg, wlaczanie systemu ale juz gry to inna bajka... w cs'ie nie ma dzwieku, w fifie 2k5, pes3 i nawet pinbalu z windowsa to sie stalo powazniejsze pls hlp pls wiem ze to forum jest the best bo juz kiedys pomogliscie mi usunac wira ......:):):):):) z gory thx.....
portier
Dodano
19.10.2004 18:49:39
thx za pierwsza odpowiec do tematu ale to mi nic nie dajebo dalej pojawia mi si ten whack a mole
1.jak sie tego pozbyc i czym zeskanowac aby to znalesc
2.z kad mozna dostac tego service1.symantec?
3.pls hlp
portier
Dodano
19.10.2004 18:25:30
Witaj portier.

W dzienniku nic podejrzanego nie widać.

Alert Tracker informuje Ciebie o próbie komunikacji przez port 12361, 12362 lub 12363 nie znaczy to źe jest to próba zdalnego dostępu do Twojego PC za pomocą Whack–a–mole Trojan lub innego procesu ale moźe być to prawdopodobne.

NIS posiada standartowe reguły zapory, które blokują ten typ komunikacji na tym porcie co zostało wykryte i zablokowane.
IP "Agresora" zostało dodane do listy wykrytych wtargnieć i zostanie blokowana z nim komunikacja przez 30min ( ustawienie domyślne ).
Jest oczywiści moźliwość wydłuźenia czasu blokowania "Agresora" w ustawieniach wykrywania wtargnięć ( Intrusion Detection ).
Ta metoda sprawdza się tylko jeśli IP z którego została nawiązana próba komunikacji jest statyczne.
Jeśli ten typ "ataku" powtarza się z z róźnych IP to ta metoda nie zadziała.
Moźesz w zaporze ustawić własną regułę lub zmodyfikować tą domyślną ( np. o nie info Ciebie o tego typu komunikacji, a włącznym blokowaniu ).
Moźesz takźe podać IP do strefy zabronionej i te komputery nie będą się komunikować z Twoim PC ( nie dostaną odpowiedzi ).

Wybacz, ale nie korzystam z P2P więc nie napisze Tobie z jakich portów korzysta Torrent a moźe mieć to takźe wpływ jeśli zablokowałeś komunikacje oraz zabroniłeś dostępu do sieci tej aplikacji.
Myśle źe jak zobaczysz do Podglądu dziennika NIS to będziesz wiedział co nalezy zrobić.

Update:

Kiedyś uźywałem wersji NIS 2003 i po upłynięciu terminu waźności certyfikatu VeriSing moźna było zaobserwować znaczne spowolnienie pracy tego pakietu.
Moźe spróbuj pobrać nowy cetifikat, ale czy to Tobie pomoźe ? ( temat poruszany na tym forum jak na innych, zobacz w archiwum bo podawałem link do service1.symantec gdzie był rzeczowo opisywany problem i sposób jego rozwiązania ).
McScr@by
Dodano
19.10.2004 10:39:46
portier
Dodano:
19.10.2004 08:46:21
Komentarzy:
7
Strona 1 / 1