Mitä tarkoittaa kun palomuurini ilmoittaa jatkuvasti ongelmia ja sulkee esim. netin jos olen juuri käyttämässä sitä. Menin äsken katsomaan mitä siellä palomuurissa näkyy ja sinne oli tullut pelkästään tunnin aikana (jonka olin koneella ollut) 24 hälytysilmoitusta. Ja sitten siinä oli lista 5 eniten estettyä konetta (ja koneiden ip-osoitteet). Eli? Mitä ne on? Mitä pitää tehdä? Uskallanko käyttää mitään pankkijuttujakaan nyt?
Sinuna en käyttäisi mitään pankkijuttuja juuri nyt. Odottele kunnes joku HJT-nero tulee tähän neuvomaan mitä tehdä Vaikka ainahan noi palomuurit jotain blokkailee ja ilmottelee siitä, sehän niiden tehtävä on. Mutta jos se sulkee sun nettiyhteydenkin niin varmaan jotain vialla..?
Kuullostaa senverran pahalta ,että ei kannata mitään salasanoja kirjoittaa pahemmin ,ei mitään pankkijuttuja tai verkko-ostoksia tilailla. Mutta sen HijackThis .login voisit jo laittaa valmiiksi tänne.
Tässä tää olis, en nyt sit pistänyt sitä tonne tälle varatulle alueelle, saa kyl siirtää jos siltä tuntuu.. Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 5:07:39, on 26.6.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\FSGK32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE C:\WINNT\system32\hidserv.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMB32.EXE C:\WINNT\system32\nvsvc32.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FCH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Common\FAMEH32.EXE C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsqh.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\ispnews.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsaua.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINNT\system32\RUNDLL32.EXE C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe C:\Program Files\SEC\MagicTune 2.5\GammaTray.exe C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\fsguidll.exe C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsus.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fssm32.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsav32.exe C:\Documents and Settings\Järjestelmänvalvoja\Työpöytä\HiJackThis_v2.0.0.0.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Elisa Tietoturvapalvelu\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [News Service] "C:\Program Files\Elisa Tietoturvapalvelu\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Color Calibration.lnk = C:\Program Files\SEC\MagicTune 2.5\GammaTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123164775625 O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://www.virustorjunta.net/modules/Online_Scanner/fscax.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll O23 - Service: Hälytys (Alerter) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: Sovellusten hallinta (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe (file missing) O23 - Service: Tietokoneiden selaus (Browser) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: DHCP-asiakas (Dhcp) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe O23 - Service: Loogisen levyn hallinta (dmserver) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: DNS-asiakas (Dnscache) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Program Files\Elisa Tietoturvapalvelu\Anti-Virus\fsgk32st.exe O23 - Service: Faksipalvelu (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Elisa Tietoturvapalvelu\Common\FSMA32.EXE O23 - Service: Palvelin (lanmanserver) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: Työasema (lanmanworkstation) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: TCP/IP NetBIOS Helper -palvelu (LmHosts) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: Viestinvälitys (Messenger) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINNT\System32\mnmsrvc.exe O23 - Service: Verkon DDE (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe O23 - Service: Verkon DDE DSDM (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe O23 - Service: Verkkokirjautuminen (Netlogon) - Unknown owner - C:\WINNT\System32\lsass.exe O23 - Service: NT LM -suojaustuen toimittaja (NtLmSsp) - Unknown owner - C:\WINNT\System32\lsass.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Unknown owner - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: IP-suojauskäytäntöagentti (PolicyAgent) - Unknown owner - C:\WINNT\System32\lsass.exe O23 - Service: Suojattu tallennuspaikka (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: Käyttöoikeustilien hallinta (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe O23 - Service: Älykortti-apuohjelma (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe O23 - Service: Tehtävien ajoitus (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe O23 - Service: RunAs-palvelu (seclogon) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe O23 - Service: Resurssilokit ja -hälytykset (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe (file missing) O23 - Service: Tiedostolinkkijäljityksen asiakas (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe O23 - Service: Toimintojen hallinta (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe O23 - Service: Windows Time (W32Time) - Unknown owner - C:\WINNT\System32\services.exe O23 - Service: WMI-palvelu (Windows Management Instrumentation) (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe O23 - Service: WM -instrumenttien ohjainlaajennukset (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe -- End of file - 11266 bytes Onko mitään tehtävissä kun olen ehtinyt niitä pankkipalveluja, sähköpostia, ostoksia sun muita tekeen jo tässä aika reilusti viime aikoina? Mitä on voinut tapahtua, kannattaako vaihtaa salasanat jokapaikkaan vai hyödyttääkö se mitään enää? Olisi kiva jos joku osaisi helppiä.. Ja mitä noi Unknown ownerit tarkottaa? Teinkö tän HijackThis login oikein?
Itelläni ainakin palomuuri blokkailee aika paljonkin tavaraa. Käytössä on ZoneAlarm. Sieltä on poislaitettuna se asetus joka näyttää jokaisen blokin. Nyt näytää vain jos joku ohjelma yrittää päästä ulos/sisään. Mutta se on jo vähän omituisempaa että se sulkee sun netin.
Kun ton netin kanssa on alkanu nyt tuleen just sellasta, että oli mikä sivu hyvänsä, niin se saattaa yhtäkkiä ilmottaa että esim Opera.exe on aiheuttanut virheen ja se täytyy sulkea. Ja sit se vaan menee kiinni. Sitä ei osaa ollenkaan ennustaa koska se sulkee sen, mutta se tapahtuu tosi monta kertaa netissä oloaikana. Voiko se olla pelkästään Opera-ongelma vai mikä juttu toi on? Ennen ei oo tehny tämmöstä. Mites muuten toi HijackThis? Mitä noi Unknown Ownerit on? Onko logissa jotain häikkää? Mulla on muutenkin tässä projektina tää Operan uusiminen ja koneen formatointi, en vaan löydä Biosista sitä kohtaa johon vaihdetaan se cd-rom (että se siis avaa sen siitä kun alkaa formatoimaan). Siellä kohdassa mihin joku neuvo menemäänkin (eli BOOT-valikosta numero 1.) ei lue vaihtoehtona cd-rom, vaan vaihtoehdot ovat nämä: disabled, legacy floppy (tämä oli automaattisesti siinä, onko oikea?), LS120, ZIP, ATAPI MO, USB FDD, USB ZIP. Tämä nyt ei varsinaisesti sovi tän otsikon alle, mutta tuohon edelliseen eli formatointiin liittyen... Mitä tehdä kun en löydä Windows-cd:tä, voinko polttaa tämän nykyisen käyttöjärjestelmän cd:lle? Mulla on joku poltettu levy, jossa lukee päällä Windows 2000, ja XP ja emolevyn ajureita... Eli kaikki samassa. En osaa käyttää sitä.. Windows 2000.exe-kansiosta löyty ainakin joku service pack 4 tekstinen juttu sekä se alkoi avaamaan tuota i386 (tai joku vastaava)-kansiota, kun klikkasin sitä. Mistä tiedän onko Windows 2000 tuolla levyllä? Ja kuinka saan sen asennettua tuolta levyltä jos se siinä on, jos siellä on enemmänkin tavaraa ja ajureita? Jos jonkun hermo kestää niin olisi tosi mukava saada kaikkii kohtiin vastaus.. Jos näistä ei oikeesti tajua mitään niin niistä ei tajua. Terveisin n00b.
toi hjt logi on ihan ok O4 - Startup: PowerReg Scheduler V3.exe toi voin fixiä, vähän adwarea taitaa olla juu.
"O4 - Startup: PowerReg Scheduler V3.exe toi voin fixiä, vähän adwarea taitaa olla juu." Sama suomeksi kiitos?
Mitä noihin hyökkäyksien määriin tulee. 24 tunnissa on jotain täysin naurettavaa. Sitten kun tulee oikea hyökkäys määrät alkaa tasosta 10000 kpl sekunnissa. Eli kymmeniä miljoonia hyökkäyksiä tunnissa. Hyökkäyksiä on kyllä raportoitu sellaisissakin tasoissa että niitä tulee miljooniä sekunnissa. Vastaavasti tunnissa tulee sitten vähän enemmän. Tavallisen hitaan koti liittymän saa suhteellisen solmuun tosin jo jollain 2000 hyökkäyksellä sekunnissa. Mutta huomaa, tämäkin on sekunnissa eikä tunneista puhuta mitään. Tilannetta pahentaa jos palomuurisi vastaa hyökkäyspaketteihin jolloin paluukaista tukkeutuu nopeammin. Pelkästään omalta koneelta pystyisin luomaan helposti noin 20000 hyökkäyksen liikenteen sekunnissa. Puhumattakana siitä että käyttäisin muita koneita ja yhteyksiä joihin minulla on etähallinta. Pääsisin helposti miljoonaan hyökkäykseen sekunnissa. Hyökkäyksiä voisi tehostaa vielä erilaisilla reflection menetelmillä.
Todennäköisesti niitä hyökkäyksiä jotka on vaarallisia et näe mistään. Siinähän se suurin ongelma justiin on. Kyseisestä syystä olen jättänyt logien lukemisen aika vähälle. Logia tulee kuitenkin helposti päivässä megatavuja. Tärkeintä on panostaa siihen että hommat on kunnossa, niin logeilla ei ole niin paljon väliä. Jos hyökkäyksiä alkaa tutkimaan pitäisi siihen hommata kokonainen tietoturva-osasto ja kehittää automaattiset analysointimenetelmät. Mutta niitähän on jo ja rahalla saa nimellä IDS. Ainoa syy miksi ylipäätänsä loggaan informaatiota, on että jos jotain ongelmia havaitaan, niin voidaan sitten selvitellä logeja. Masentavaa, tiedän. Mutta sellaista tämä elämä on.
Asia ok. Just se mietityttikin kun tässä on ollu ton koneen kanssa hieman ongelmia Operan sun muiden kanssa, että olisiko noilla hyökkäyksillä ollu jotain osaa ja arpaa tähän. Pitänee silti formatoida kone ja alottaa puhtaalta pöydältä kaikkien ohjelmien kanssa kun ei ne tunnu pelaavan oikein. Kiitoksia silti kaikille jotka vaivautuivat vastaamaan.
