Eli onko normaalia että virus hyökkäyksiä tulee oikeen kaatamalla, nytkin kun tässä tarkastelen norton internet securityn tilastotietoja, niin hyökkäyksiä tulee noin sekunnin välein, ainakaan ennen ei tämmöstä ollut, jouduin ottaamaan sen ilmoituksenkin pois käytöstä mikä tulee tuonne alakulmaan aina kun joku yrittää hyökätä. Jos oikein muistan kun katoin mitä yritettiin syöttää, doom portal vai mikä se oli? en ole aivan varma.
Katsotaan näkyykö hjt-logissa mitään, joka voisi aiheuttaa tuon. Hae Hijackthis täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.
No Doom Portal kuulostaa aika örkiltä. Päättelisin, että sinulle on voinut päästä joku virus/haittaohjelma, joka lähettää netin välityksellä ns."kutsuja" muille madoille ja örkeille, jotka koittavat hyökätä koneeseesi. Jotkut madot tykkäävät nääs tehdä niin. Tämän kutsuja-örkin tod.näk. näemme Hijack This-lokista: Lataa Hijack This http://koti.mbnet.fi/pattaya1/HijackThis.exe Tallenna omaan hakemistoonsa pääasemasi juureen: esim. C:\hjt\Hijack This Sitten käynnistä se, klikkaa Do A System Scan And Save Logfile, sitten lähetä se muistiossa esiin pomppaava loki [bold]kokonaisuudessaan[/bold] tänne EDIT: Disa nopee
Näin tein, estin kaiken liikenteen, ajoin ewidon, nortonin, ja muut spyware ohjelmat, sen jälkeen avasin nortonin, menin palomuuri -> määritä -> ohjelmat ja kielsin jokaikisen ohjelman ja nollasin sallitut ja kielettyt ohjelmat, eli en sallinut verkkoliikennettä missään ohjelmassa. Käynnistin koneen uudelleen ja aloitin alusta mitkä ohjelmat saavat käyttää verkkoa. Nyt hyökkäyksiä on tullut 19 (päivitys tässä lopussa vielä, nyt tullu hyökkäyksiä jo 63) noin 15-20 minuutissa ja hiljattain nousee, mikä kyllä kuulostaa vieläkin omituiselta mutta ei silti niin paha tilanne kuin äsken, eli ei taija olla vieläkään tilanne hanskassa, aika omituista kyllä... Katsoin lokista että vielähän "Portal of Doomia" sieltä lykätään pertskele, aika velho nimi muuten, vaikka eipä tässä kannattais paljoo naureskella. Ja tossa sitä hjt logiakin: ------------------------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 20:05:43, on 6.3.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Norton Internet Security\ISSVC.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe D:\Program Files\Diskeeper Lite\DKService.exe D:\Program Files\ewido\security suite\ewidoctrl.exe D:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SOUNDMAN.EXE D:\Program Files\Razer\CopperHead\razerhid.exe D:\Program Files\ABIT\ABIT uGuru\GuruClock.exe D:\Program Files\Microsoft AntiSpyware\gcasServ.exe D:\Program Files\Razer\CopperHead\razertra.exe D:\Program Files\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe D:\Program Files\Razer\CopperHead\razerofa.exe D:\Program Files\ABIT\ABIT uGuru\uGuru.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\VIA\RAID\raid_tool.exe D:\Program Files\BitComet\BitComet.exe D:\Program Files\Mozilla\Mozilla Firefox\firefox.exe D:\Program Files\Winamp\Winamp.exe C:\Program Files\MSN Messenger\msnmsgr.exe D:\Program Files\mIRC\mirc.exe C:\WINDOWS\system32\cidaemon.exe C:\HJT\Hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\program files\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [razer] D:\Program Files\Razer\CopperHead\razerhid.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GuruClock] D:\Program Files\ABIT\ABIT uGuru\GuruClock.exe O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [Copperhead] D:\Program Files\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ABIT uGuru] D:\Program Files\ABIT\ABIT uGuru\uGuru.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O8 - Extra context menu item: Vie Microsoft E&xceliin - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi O15 - Trusted Zone: http://*.update.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted Zone: http://*.windowsupdate.com O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Program Files\Diskeeper Lite\DKService.exe O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect -palvelu (navapsvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
Hmm.. Loki näyttäis olevan ihan puhdas. Ewidonkin olet ajanut... Oletko kokeillut mitään Online-skannereita? Tästä linkistä niitä löytyy roppakaupalla: http://keskustelu.afterdawn.com/thread_view.cfm/162275
Nyt kun tässä aloin muisteleemaan, että mitä tein ennenkuin hyökkäyksiä alkoi sateleen. Asesin java runtime vai mikä sen nimi on, sivulta joka ei pitäisi olla paha, mutta eikai sitä koskaan tiedä, ja enkä aijo enää kokeillakaan, kummiskin, niin löysin muutamia tiedostoja jotka "hieman" haiskahtavat C:asemalla tämmöinen java kansio jossa muutamia tiedostoja: plugin150_06.trace plugin150_05.trace deployment.properties tietenkin, olen aivan aloittelija näissä hommissa, joten voin olla aivan väärässä, mutta tuo "trace" varsinkin vähän haiskahtaa paskalle vois poistaa ja kahtoo mitä tapahtuu
Älä nyt vielä lähde mitään poistelemaan. Lähetä ne tiedostot tänne: www.virustotal.com Kerro sitten tulokset
En sitten tiiä, mitähän sitä tekis? Kyllä Nortonit ja ewido guardit on, plus Spyware blaster, ja ei oo tapana käydä missään porno sivuilla tai missään muissakaan "pahoilla" sivuilla, joten aika kummallista että yhtäkkiä aletaan pommittaan kuin sikaa häkissä, ainakin omasta mielestä. Noh..eipä tämä mitään ihmeellistä oo omalla kohalla...
