Atak

Dla specjalistów Bezpieczeństwo
#1

Witam wszystkich.

Mam mały (chyba) problemik.

Posiadam Avasta i Outposta 2.6.

Avast wyświetla co kilka sek.komunikat:

08.05.2005 21:36:49 DCOM Exploit attack

from 83.26.156.127:135

Tylko co nowy komunikat to zmienia się ip. atakującego.

Sytuacja zaczeła sie prawdobodobnie gdy Outpost zapytał sie czy ma zezwolić na połączenie usługi svchost.exe (ja zezwoliłem).

Tak więc nie wiem czy się śmiać czy płakać.

Prosze mądre głowy o odpowiedz (co jest grane).

Z Góry Dzięki.

#2

wlej loga z HiJackThis 8)

#3

Ok.

Logfile of HijackThis v1.99.1

Scan saved at 21:53:48, on 2005-05-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTHELPER.EXE

D:\Program Files\cFosSpeed\cFosSpeed.exe

D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

D:\Program Files\Gadu-Gadu\gg.exe

d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

d:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\Program Files\cFosSpeed\spd.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

D:\Program Files\Raxco\PerfectDisk\PDSched.exe

d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

d:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

D:\Program Files\BitComet\BitComet.exe

D:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

G:\Moje\Programy\Bezpieczeństwo\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM…\Run: [cFosSpeed] D:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM…\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM…\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM…\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray

O8 - Extra context menu item: Pobierz stronę WEB z Free Download Manager - file://d:\Program Files\Free Download Manager\dlpage.htm

O8 - Extra context menu item: Pobierz wszystko z Free Download Manager - file://d:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Pobierz z Free Download Manager - file://d:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Pobierz zaznaczenie z Free Download Manager - file://d:\Program Files\Free Download Manager\dlselected.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe

#4

Log czysty

#5

Dzięki tylko dlaczego mam te komunikaty o atakach.

#6

może są to fałszywe alarmy ?

#7

podaj screna z tego ataku! !!

#8

A jak sie wstawia screna-mam w pliku jpg

#9

http://forum.dobreprogramy.pl/viewtopic … =screen%2A

#10

Dzieki wszystkim .Zamykam.

#11

Cała dyskusja na temat odpowiedzi na innym forum Kosz.

Takie informacje prosze podawać na PW.