Saftis Skrevet 29. november 2004 Del Skrevet 29. november 2004 (endret) Hei Ja, jeg vet mange av dere sikkert er lei av alle som har installert zonealarm og flipper bare de får en ping request, men jeg har ganske god grunn til å tro at noen var inne på maskina mi og snuset i går (de fikk tak i deler av navnet mitt o.l.). Jeg vet de hadde ip'en min. Jeg er interessert i å vite hvilket hull de brukte, og om jeg evt. kan overvåke trafikk på dette hullet / tette det, og tar gjerne i mot forslag til programmer man kan gjøre dette med (som ikke kræsjer SP2). Kopierer logger fra Hijackthis og Symantec online security scan: Logfile of HijackThis v1.97.7 Scan saved at 14:14:52, on 29.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Programfiler\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programfiler\NVIDIA Corporation\ForceWare\Multimedia\NVPVR\nvpvrmon.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\TrafMeter\TrafSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programfiler\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe C:\Programfiler\D-Tools\daemon.exe C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programfiler\Hmonitor\hmonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\Skype\Phone\Skype.exe C:\WINDOWS\System32\rundll32.exe C:\progra~1\valve\steam\steam.exe C:\Programfiler\MessengerDiscovery\MessengerDiscovery.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programfiler\ITEA Monitor\ITEA Monitor.exe C:\WINDOWS\system32\cmd.exe C:\Programfiler\Opera\Opera.exe C:\Documents and Settings\Anonymous\Mine dokumenter\HijackThis.exe C:\mIRC\mirc.exe C:\Programfiler\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programfiler\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [NVMixerTray] "C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvRemoteManager] C:\Programfiler\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe O4 - HKLM\..\Run: [TrafMonitor] C:\Programfiler\TrafMeter\trafmonitor.exe /logon O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [hmonitor] C:\Programfiler\Hmonitor\hmonitor.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programfiler\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [MessengerDiscovery] C:\Programfiler\MessengerDiscovery\MessengerDiscovery.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - Startup: ITEA Monitor.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programfiler\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Trace (HKLM) O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM) O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Oppslag (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095162424500 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab Symantec (bare tatt med advarslene): Port Description Status ICMP Ping. Open 80 HTTP (Hypertext Transfer Protocol). Open 443 HTTP over TLS/SSL. Open Jeg får ikke lov til å disable ICMP i SP2 firewall, og finner ikke hvor jeg kan disable webserver-porter (jeg kjører ikke noen webserver). EDIT: Er spesiellt interessert i å finne evt. keyboardloggere o.l. Endret 29. november 2004 av Saftis Lenke til kommentar
Løve Skrevet 29. november 2004 Del Skrevet 29. november 2004 Synes den loggen så "ren" ut jeg, bortsett fra TrafficMeter som jeg ikke vet hva er. Og det at du blir angrepet er sikkert bare et virus som prøver å komme seg inn på maskina. Lenke til kommentar
FenrisC0de Skrevet 30. november 2004 Del Skrevet 30. november 2004 C:\Documents and Settings\Anonymous\Mine dokumenter\HijackThis.exe, <== hva er dette? Lenke til kommentar
Saftis Skrevet 30. november 2004 Forfatter Del Skrevet 30. november 2004 C:\Documents and Settings\Anonymous\Mine dokumenter\HijackThis.exe, <== hva er dette? HijackThis, programmet man bruker for å generere disse listene Synes den loggen så "ren" ut jeg, bortsett fra TrafficMeter som jeg ikke vet hva er. Og det at du blir angrepet er sikkert bare et virus som prøver å komme seg inn på maskina. TrafficMeter er noe jeg bruker for å måle om jeg har overskredet samskipnadens internettkvoter. Fant i ettertid ut at jeg hadde glemt å deaktivere en delt upload-mappe som hadde et ekstremt enkelt passord, mulig de bruteforcet den elns. Lenke til kommentar
Ongabonga Skrevet 30. november 2004 Del Skrevet 30. november 2004 www.library.2ya.com Der er det en del guider om åssen man buster og bekytter seg mot hackere. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå