Paralio Skrevet 29. januar 2005 Del Skrevet 29. januar 2005 Kanskje et litt merkelig spørsmål, men når jeg kjører netstat i cmd, dukker det som regel opp en eller to eksterne adr som jeg absoulutt ikke kjenner. Som f.eks dyn336.win.tue.nl:60655 Adr endrer seg en gang i blandt, men alltid til ukjente adr. Har ikke noen programmer opp som burde stått å koblet seg mot nettet. (Som feks MS-explorer, outlook osv) Har kjørt virustest, lokal og online (trend og panda(online)) og spywaretest (Spybot og adaware + et par online). Også tatt en Symantec komplett online test, men pcen går offline etter en stund. Portscanning onling funker bra og alle porter viser stealth. Å blokkere disse adr er umulig iom det endrer seg ca vært 10 min. Forslag Lenke til kommentar
femfulle Skrevet 30. januar 2005 Del Skrevet 30. januar 2005 Du kan no prøve å finne ut litt meir om oppkoblinga, eventuelt bruke ethereal eller eit tilsvarande program som sniffar opp trafikken. Dersom du finn ut litt informasjon om kva for portar (utgåande og inngåande) som blir brukte kan du sjekke dette opp mot kjente trojanar o.l (ta eit google søk på "port list" eller lignande) , for å finne eventuelle likheiter. Muligens kan netstat vise kva for prosess som opprettar oppkoblinga, sånn at du kan slette fila/filene. Eg brukar ikkje windows så eg veit ikkje om netstat har denne finessa, men ein skulle tru det. Lenke til kommentar
Paralio Skrevet 30. januar 2005 Forfatter Del Skrevet 30. januar 2005 Har nå tatt en kjøring med Etherreal. Nå har jeg registrert/etablert trafikk fra 223.red-62-57-42.user.auna.net:27211. Hvis jeg gå på loggen som viser en av pakkene som har blitt distrubiert, kommer følgende info frem: No. Time Source Destination 7 32.962920 192.168.y.xx 223.red-62-57-42.user.auna.net Protocol Info TCP 1031 > 27211 [PSH, ACK] Seq=0 Ack=150 Win=17520 Len= Legger også med hele loggen som fil Ser ut for meg at port 1031 og 27211 blir brukt. log1 Lenke til kommentar
femfulle Skrevet 30. januar 2005 Del Skrevet 30. januar 2005 (endret) Moglegheita for at dette er ein trojan er til stades, port 1031 blir nytta av trojanen Xanadu, har personleg aldri vært bort i den før. Men det kan sjølvsagt være noko uskyldig også. Eg har ikkje så mykje erfaring med sånt Men skulle likt å visst kva prosessesnavnet bak det heile var. Eg trur kommandoen netstat -an viser prosessnavn som styrer tcp/udp oppkoblinga. Kan du poste output? Dette vil gje verdifulle spor i å finne ut kva dette er. Du vil og gjere smart i å sette opp ein brannmur som blokkar port 1031 før ein får identifisert kva det virkelege problemet er. Endret 30. januar 2005 av femfulle Lenke til kommentar
Paralio Skrevet 31. januar 2005 Forfatter Del Skrevet 31. januar 2005 Har kjørt saken på en annen site: http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=10250 Ser ut som løsningen er nær. Spybot fant etter vært winpup og nirsoft Har kjørt en hijackthis. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå