Tunkeutujan selvittäminen?

Discussion in 'Windows -ongelmat' started by midge, Apr 27, 2005.

  1. midge

    midge Guest

    Koneellani oli svchost.exe tiedostoksi naamioitunut virus tms., jonka avulla joku yritti päästä koneelleni. Osaako kukaan täällä neuvoa, voiko esim. tuom alla olevan perusteella ip:n perusteella jäljittää mistä nuo tunkeutumisyritykset ovat tulleet?
    Ihan vaan, että voisi vaikka laittaa kyseisen henkilön palveluntarjoajalle kyselyn kyseisestä toiminnasta. Virus pitäisi nyt olla poissa, mutta ärsyttää vaan kun meni monta päivää tapellessa asian kanssa.

    eli tuossa Norton internet securityn logia kyseisestä asiasta:

    Details: This one time, the user has chosen to "block" communications.
    Inbound TCP connection.
    Local address,service is (82.128.216.**,http(80)).
    Remote address,service is (62.13.170.12,29379).
    Process name is "C:\program Files\Internet Explorer\shttps\svchost.exe".


    ja toinen vastaava ilmoitus, jossa remote address oli: (80.28.28.126,49395).
     
    midge, Apr 27, 2005
    #1
  2. anatemus

    anatemus Regular member

    Joined:
    Mar 11, 2002
    Messages:
    472
    Likes Received:
    0
    Trophy Points:
    26
    anatemus, Apr 27, 2005
    #2
  3. midge

    midge Guest

    Joo, eli jonnekkin ulkomaille nuo taitaa viitata. Aika turha varmaan ruveta asiaa selvittämään sen enempää. Kiitos avusta kuitenkin.
     
    midge, Apr 27, 2005
    #3
  4. matvei

    matvei Member

    Joined:
    Jan 24, 2005
    Messages:
    79
    Likes Received:
    0
    Trophy Points:
    16
    Koneestasi oltiin tekemässä spammeriautomaattia. Voisit pistää
    H3g:lle noottia asiasta, sillä toi on whois.sc:n mustalla listalla
    Tässäpä tietoa:

    62.13.170.12

    Blacklist Status: Listed - Cached Today (details)
    Cached Whois: Cached today
    Whois History: 64 records stored
    Record Type: IP Address
    IP Location: Italy - H3g
    Reverse IP: No websites hosted using this IP address
    Reverse DNS: not set



    % This is the RIPE Whois query server #2.
    % The objects are in RPSL format.
    %
    % Note: the default output of the RIPE Whois server
    % is going to be changed soon. Your tools may need
    % to be adjusted. See
    % http://www.ripe.net/db/news/abuse-proposal-20050331.html
    % for more details.
    %
    % Rights restricted by copyright.
    % See http://www.ripe.net/db/copyright.html

    inetnum: 62.13.170.0 - 62.13.170.255
    netname: H3GIT
    descr: H3G IT department
    country: IT
    admin-c: VO175-RIPE
    tech-c: RC497-RIPE
    tech-c: EMF4-RIPE
    tech-c: GB1450-RIPE
    status: ASSIGNED PA
    notify:
    mnt-by: H3G-CN-MNT
    changed: 20021121
    source: RIPE

    route: 62.13.160.0/19
    descr: H3G Italy SpA
    descr: UMTS operator and ISP
    origin: AS24608
    mnt-by: H3G-CN-MNT
    mnt-routes: H3G-CN-MNT
    changed: 20020222
    source: RIPE

    person: Vittorio Orsini
    address: H3G Italia S.p.A.
    address: Via Cristoforo Colombo, 416 - 420
    address: I 00145 Roma RM
    address: Italy
    phone: +39 06 59551
    fax-no: +39 06 54602123
    e-mail:
    nic-hdl: VO175-RIPE
    changed: 20010807
    source: RIPE

    person: Raffaele Celentano
    address: H3G Italia S.p.A.
    address: Via Cristoforo Colombo 416
    address: I-00145 Roma RM
    address: Italy
    phone: +39 06 59556068
    fax-no: +39 06 54602123
    e-mail:
    nic-hdl: RC497-RIPE
    changed: 20010807
    source: RIPE

    person: Giuliano Biondi
    address: H3G Italia S.p.A.
    address: Via Cristoforo Colombo, 416 - 420
    address: I 00145 Roma RM
    address: Italy
    phone: +39 06 59551
    fax-no: +39 06 54602123
    e-mail:
    nic-hdl: GB1450-RIPE
    changed: 20010807
    source: RIPE

    person: Enrico Maria Fondi
    address: H3G Italia S.p.A.
    address: Via Cristoforo Colombo, 416 - 420
    address: I 00145 Roma RM
    address: Italy
    phone: +39 06 59556066
    fax-no: +39 06 54602123
    e-mail:
    nic-hdl: EMF4-RIPE
    changed: 19950613
    changed: 19950614
    changed: 19990615
    changed: 20010807
    source: RIPE




    Date Data Source Answer Information
    2005-04-27 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-04-18 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-04-15 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-04-12 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-04-07 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-04-04 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-30 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-29 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-27 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-24 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-23 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-22 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-21 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-20 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-18 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-16 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-10 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
    2005-03-02 DNSBL.SORBS.NET 127.0.0.* WEB http://www.dnsbl.us.sorbs.net/lookup.shtml
     
    matvei, Apr 27, 2005
    #4
  5. matvei

    matvei Member

    Joined:
    Jan 24, 2005
    Messages:
    79
    Likes Received:
    0
    Trophy Points:
    16
    " En tiedä auttaako nämä, mutta tuon palvelun avulla olen palomuurilokeja tulkinnut."

    Tää on parempi: http://www.whois.sc/

    Kun liittyy jäseneksi saa enemmän tietoa, eikä se maksa mitään.
     
    matvei, Apr 27, 2005
    #5
  6. kaustinen

    kaustinen Member

    Joined:
    Apr 26, 2005
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    11
    Mitenkäs kun noita svchost.exe:jä näkyy task managerissa useampiakin, onko siitä syytä huolestua ja miten tuon svchostin oikeellisuuden voisi tarkistaa? Käytössä on xp pro ja f-securen fis2005.

    Kuuluuko noita (svchosteja) todellakin olla useampia auki?

     
    kaustinen, Apr 28, 2005
    #6
  7. stauf

    stauf Regular member

    Joined:
    Feb 14, 2005
    Messages:
    571
    Likes Received:
    0
    Trophy Points:
    26
    No minä olen käsittänyt asian niin, että tuo svchost.exe, joka on c:\windows\ hakemistossa on ok.
    Muissa paikoissa sijaitsevat samannimiset eivät.

    Mutta oikaiskaa viisaammat jos olen väärässä.

    Tuolta lisää tietoa:
    http://www.neuber.com/taskmanager/process/svchost.exe.html

    E: Itselläni on näköjään 6 kpl niitä auki.
     
    Last edited: Apr 28, 2005
    stauf, Apr 28, 2005
    #7
  8. Easycola

    Easycola Regular member

    Joined:
    Aug 30, 2002
    Messages:
    265
    Likes Received:
    1
    Trophy Points:
    26
    Niin, XP:ssä svchost.exe sijaitsee %SystemRoot%\System32 kansion alla, muualla sijaitsevat svchost.exe:t pitäisi herättää palohälyttimet...;)

    Mitä taas tulee useisiin svchost.exe näkymiin taskmanager:n kautta, (taikka esim käyttämällä tasklist /svc komentokehotteen kautta) svchost.exe on yleinen prosessinimi kaikille niille palveluille jotka ladataan dll-kirjastoista, sen takia niitä näkyy useampia.
    Hyvän käsityksen saat kun vakoilette vaikka järjestelmävalvojan (adminstrative tools)tuokalujen kautta palvelut (services), varsinkin ne jotka latautuvat automaattisesti käynnistyksen yhteydessä.
    Esimerkiksi omalta koneelta:
    COM+ Event System =
    -->C:\WINDOWS\system32\svchost.exe -k netsvcs
    Logical Disk Manager =
    -->C:\WINDOWS\System32\svchost.exe -k netsvcs
    jne jne...
    Vihjeeksi, turhia palveluita voi poistaa käynnistymättä automaattisesti, käytännössä vaikkapa jos ei ole lähiverkkoa käytössä, siihen liittyvät turhat palvelut voi poistaa latautumasta automaattisesti.


     
    Easycola, Apr 28, 2005
    #8

Share This Page