Uønsket besøk på Win2k maskin.

[doofus]

Hei, våknet av at noen forsøkte å innstallere SerU-FTP på maskinen min igår. Det som jeg syntes var rart var at jeg faktisk så muspekeren bevege seg og installere programmet å maskinen min. Har alle sikkerhetsoppdateringer uptodate men allikelev får en person altså FULL kontroll over maskinen.

 

Har nå lagt på passord på brukerkontoene i Windows, hadde ikke det før.

 

Noen som har noen flere råd til hvordan å sikre?

 

Har nextgentel ADSL 1024/512, bær dette meldes fra`?

 

Doof

[Merrin79]

Har du vurdert en brannmur noen gang ?

[agvg]

Hei, våknet av at noen forsøkte å innstallere SerU-FTP på maskinen min igår. Det som jeg syntes var rart var at jeg faktisk så muspekeren bevege seg og installere programmet å maskinen min. Har alle sikkerhetsoppdateringer uptodate men allikelev får en person altså FULL kontroll over maskinen.

 

Har du antivirusprogramvare da?

[Ueland]

Ja dette bør det meldes ifra om, det bør være mulig og finne ip en til han som gjorde det og "sørge for at han/hun ikke gjør det mer"

[doofus]

Joa, antivirus fra Norton installert. Har også ZoneAlarm installert, men hadde ikke de mest agressive instillingene når det gjelder sikkerhet.

 

Tror Mirc hadde litt av skylden i dette da det sto på når jeg sovnet. Når jeg våknet var trolig maskinen resatt fordi mange andre programmer også var avskrudd.

 

Tror det er en klone av en IRCbot trojansk hest som kom inn. Finner filer som tilsier dette, men antivirus finner bare standard komponenter og ikke scriptene.

 

Noen måte å få tak i IP'n på egenhånd?

 

Doofus

[Grobo]

Dofus: Se om noen har lagt inn back ground i mirc hos deg.

Se om det er en fil som heter "x"

eller en fil i mirc mappa som heter noe uten fil navn bak.

[Grobo]

Også se etter Remote Administrator og/eller netbus.

[doofus]

joa, sletta hele mirc, men fant et program i sysytem32 mappa som het noe helt annet med mirc ikonet. Xonealarm har agressive instillinger nå og er oppdatert så jeg har ikke opplevd noe mer nå.

 

Tror det å ha passord til administrator påloggingen min i windows hjalp.

 

Doof

[erikindre]

Har noen hatt tilgang til maskinen din? Er fort gjort å installere f.eks VNC og sette det til å kjøre som server service. Sjekk om det finnes noen "services" som starter opp når du starter windows.

 

Tar ikke oppdaterte antivirusprogram de fleste trojaner???

[doofus]

Joa, ta de fleste.. Men det er flere folk som lager kloner av trojanerne og forandrer på script/navn på filer osv.

 

Befant meg på Battlefield 1942 kanalen på Efnet når angrepet skjedde.

 

Doofus

[sumptrollet]

Joa, antivirus fra Norton installert. Har også ZoneAlarm installert, men hadde ikke de mest agressive instillingene når det gjelder sikkerhet.

 

 

Det hjalp åpenbart ikke. Det viktigste man kan gjøre mot denslags ting du har oppnådd nå, er å bruke vettet.

 

 

Tror Mirc hadde litt av skylden i dette da det sto på når jeg sovnet. Når jeg våknet var trolig maskinen resatt fordi mange andre programmer også var avskrudd.

 

 

Det er kun en person/ting som har skylden for dette, nemlig deg selv.

 

 

Tror det er en klone av en IRCbot trojansk hest som kom inn. Finner filer som tilsier dette, men antivirus finner bare standard komponenter og ikke scriptene.

 

 

Reinnstaller alt på maskinen din, og trekk den av nett i mellomtiden. Du vet ikke hva folk har innstallere av bakdører ol på boksen din.

[Rim]

Det er en trojansk hest ja.

 

Steng alle programmer som er tilkoblet internett, gå til DOS og skriv: netstat -an.

 

Er det en dårlig trojaner vil IPen hans stå der (sjekk med nslookup først slik at det ikke er noen forbindelser som "henger igjen"). Er det en bra en, vil det bare stå 0.0.0.0:<høyt portnummer>.

 

Trykk også ctrl+alt+del -> Task manager -> Processes og se etter "rare" ting.

 

-Rim

[doofus]

Takker

for svar og tips!

 

Ip'en fant jeg ikke, men fant et par programmer i taskmanager som ikke hadde noe i minnet mitt å gjøre:

 

explore32.exe (Hadde først noe som het explore.exe på maskinen som jeg fjerna med en gang.

 

taskmngr.exe (lett å forveksle med taskmgr.exe)

 

resten var allerede fjerna, at man bare ikke kan få være i fred!

 

En eller annen idiot skulle liksom stjele min harddisk og båndbredde til å servere drittunger "warez" på irc. Faen så lamet.

 

Doofus

[zuhr]

når du har nextgentel har du en ruter. Ruteren sperrer de portene du ikke har åpnet inn. Dette fungerer jo som en "firewall".

Men kan være trojaner over irc. er mye av det.

[Zimon]

Sier bare en ting jeg, scan med en anti trojaner scanner.

 

Beste IMHO = The Cleaner = http://www.moosoft.com

 

Gratis 30 dagers prøvetid på den, og funker som bare det. Programmet kan også kjøre scanner i bakgrunnen slik som antivirsprogrammer/firewalls gjør og kan da fange opp ting som prøver å legge seg i registry blant annet og at du blir varslet.

 

Kjempegodt program.

[doofus]

Jaja, nå rapporterer Zonealarm om portscans fra en haug av ip'er (med forskjellige porter).

 

Den rapporterer dns fra tele danmark, telus.net og Tamu.Edu er dette proxyer som de skjuler seg under eller kasnkje andre maskiner med trojaneren installert?

 

Doofus