Gå til innhold

Filserveren min prøver å hente ned virus !


Anbefalte innlegg

Har en maskin som fungerer som filserver i heimen. Den kjører W2K som oppdateres jevnlig, samt AVG antivirus. Videre har jeg Utorrent 1.6 kjørende samt VNC Enterprise for fjernstyring LAN/WAN. Bruker dynamisk DNS.

 

For et par-tre uker siden begynte den å åpne start-kjør av seg selv og prøve seg med diverse lugubre ip-adresser og domenenavn, og å kjøre diverse virus/trojanere på disse stedene. Eksempler er upd.exe og Msconfig2.exe. Begge er virus. Dette skjer utallige ganger i døgnet.

 

Jeg kjørte Firefox når problemet oppstod, men takket være brukerbekreftelsen fikk den aldri hentet ned eller installert noe virus. Jeg trodde først det kunne være et eller annet hull i FF som ble utnyttet, og avinstallerte denne nettleseren. Etter det stod det ingen standard nettleser, og det var like greit for når start-kjør-hent virus popper opp åpnes ingen nettleser. Problemet består altså selv om FF er avinstallert.

 

Maskinen har omtrent ikke vært brukt til surfing.

 

Jeg har kjørt det jeg har funnet av online virus, trojan, spy og malwarescans, og ingenting blir funnet. Videre har jeg selvfølgelig kjørt full scan med AVG, Ad-Aware og Spybot, også uten å finne noe.

 

Nå har jeg restartet routeren og fått ny IP av Telenor, og så vil de neste timene se om det hjelper.

 

Tips til hva dette kan være, og hva jeg eventuelt kan gjøre for å få slutt på det?

Endret av Muffinman
Lenke til kommentar
Videoannonse
Annonse

Scan boxen din grundig med online scanner hvis det er tvil om din AV installasjon.

 

Kaspersky Online scanner

Trend AV + Spyware søk

 

edit:

vnc enterprise logger jo alle pålogginger uansett, så den burde jo gi svar om det var det som var problemet. Hoster du andre tjenester ut mot verden?

evt kjør "netstat" kommandoen og se om pcen din lytter på en port du ikke har godkjent.

Endret av JoKr
Lenke til kommentar

Om noen hacket seg inn på VNC kunne de jo veldig enkelt lagt inn viruset selv, men det eneste som skjer er at start-kjør åpnes og at det forsøkes å kjøre noe snusk som ligger på tvilsome steder på veven. Det mislykkes jo i og med at ingen programmer er tilknyttet handlingen (les: ingen standard nettleser). Om man hadde full tilgang via VNC kunne man jo lett fullføre handlingen? Bruker forresten VNC Enterprise med kryptering.

Scan boxen din grundig med online scanner hvis det er tvil om din AV installasjon.
Om du leser det første innlegget ser du at jeg har prøvd omtrent det som er å finne på internett. ;)
Det tyder på at en eksternt fra har hacket seg inn på VNC'en din .
Det er min tanke også, men på hvilken måte? Har man plassert noe i PC`en, eller sitter det en gjøk og gjør dette manuelt 5-7 ganger i døgnet? Det er i så fall veldig mye umake for å få infisert en maskin med virus. Ingen hater meg SÅ mye...
Hoster du andre tjenester ut mot verden?
Kjører Utorrent store deler av døgnet. FTP slås kun på ved behov, og det er svært skjelden.
kjør "netstat" kommandoen og se om pcen din lytter på en port du ikke har godkjent.
Ingenting unormalt der.
Bytt ut AVG mot Avast og velg scan ved neste(første) start, kan hende du har noe som gjemmer seg i boxen...
Har dette virkelig noe for seg når jeg har deepscannet med alle online tjenestene jeg har funnet?
Slå av VNC server når du ikke trenger den .

Sammen med dyndns så er det jo åpent .

Trenger VNC hele tiden. Burken er har kun to kabler tilkoblet; power og LAN. Dessuten Har jeg stort sett filserveren oppe på laptop`en hele dagen via VNC. Men jeg stenger DDNS, det bruker jeg sjeldnere.

 

:hmm:

Endret av Muffinman
Lenke til kommentar
Bytt ut AVG mot Avast og velg scan ved neste(første) start, kan hende du har noe som gjemmer seg i boxen...
Har dette virkelig noe for seg når jeg har deepscannet med alle online tjenestene jeg har funnet?

6636944[/snapback]

 

Har hjulpet meg mange ganger så det så..

Blir ikke helt det samme som onlinescanning siden avast scanner som i sikkerhetsmodus ved oppstarten, før progs. starter opp.

Lenke til kommentar

Ok, men sier ikke loggen til vnc om hvem og når de logget på?

Ellers høres det ut som du har fått et simpelt vb script via en nettside, som kanskje blir kjørt i sammen med en process som ikke kan betegnes som virus/trojan/"farlig", det er jo bare simpel vb...

 

Det var de siste tanker jeg klarte å produsere før jeg går og restarter, ble litt seint, så boot tiden blir ikke så lang som jeg hadde håpet, og humor forsvinner etter klokken 12 (faktum).

Lenke til kommentar

Kan høres ut som du har fått en ubuden server, og ja, den kan godt være et vbs-script, men i så fall bør du sjekke om du har wscript.exe i oppgavebehandlingas prosessvindu, fordi da kjører et vbs-script i bakgrunnen. Skulle gjesten alternativt for eksempel være et bat-script, da har du cmd kjørende i prosessvinduet. Både vbs- og bat-filer kan lett konverteres til exe-filer, så derfor bør også sjekke i prosessvinduet om du ser ukjente exe-filer der i tillegg til wscript.exe og cmd.

Lenke til kommentar

Hmm...da har vi hatt et tilfelle igjen her...jeg er faktisk fristet til å ta en reinstall og bytte til XP på filserveren. Er bare bekymret for oppetiden...med W2K står burken på uke etter uke, måned etter måned uten problemer...noen som vet om XP greier dette?

Lenke til kommentar

Her er et tips du også kan prøve:

Neste gang det skjer mens det holder på vel at merke, i task managers prosessvindu, klikk cpu overskrifta, og du får øverst i listeboksa prosessene sortert etter cpu. Dobbelklikk så på en av kantene til prosessvinduet, hold så musa nede og trekk prosessvinduet rundt på skjerma. Nå ser du øverst, prosessene som bruker mest cpu og den ubudne gjesta som altså må være aktiv, burde være blant disse, direkte eller indirekte. Dobbelklikk prosesskanten igjen for å få prosessvinduet tilbake til vanlig form.

Lenke til kommentar
Hmm...da har vi hatt et tilfelle igjen her...jeg er faktisk fristet til å ta en reinstall og bytte til XP på filserveren. Er bare bekymret for oppetiden...med W2K står burken på uke etter uke, måned etter måned uten problemer...noen som vet om XP greier dette?

6645831[/snapback]

 

Jeg har satt opp 2 stk filservere som fungerer som rene lagringsdisker via windows nettverk. Den ene har og en service kjørende mot 2 stk klienter og (toll deklaringsprogramvare).

Oppetid er vel i snitt 200dager.

Lenke til kommentar
Disse kjører XP?

 

Jupp. Den ene har aldri hatt krasj, Intel entryboard som tikker og går. Har kun hatt vedlikeholds nedetid i forbindelse med installasjon av diverse windows oppgraderinger og litt sånt. Den står i england, så det er ikke det at jeg bare kan gå over hvis den låser seg, så jeg er litt avhengig av stablitet.

Den andre som ikke kjører services, låser seg engang i mellom, men det ser ut til å være dårlig sammensetning av hardware. Men sist jeg var der (1 år siden) så ble et par nye drivere lagt inn sammen med SP2 og den har vel hengt 1 gang siden det.

 

Windows XP er ganske stabilt syns jeg. Har kun opplevd krasj i forbindelse med dårligere 3.parts drivere eller 3.parts program i senere tid (2år). Kanskje jeg bare er heldig?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...