Backdoor trojan active attack


(Kubablachy) #1

Jakiś gnojek próbował wgrać mi jakiego syfa. Mam kerio który to wykrył i zablokował (mam nadzieje, tak jest napisane w logu). sprawdziłem zaraz system avastem, ad-awarem i spybotem S&D.

Mam sie bać???


(boczi) #2

Znasz go?

Tu masz trochę programów antytrojanowych:

http://forum.dobreprogramy.pl/viewtopic ... Atrojan%2A

Nie ma się co bać.


(Musg) #3

dla pewnosci log :slight_smile:


(Kubablachy) #4

Nie znam i dlatego napisałem, że "jakiś" (IP 65.75.185.13).

LOG:

Logfile of HijackThis v1.99.1

Scan saved at 22:14:15, on 2005-05-14

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

D:\Download\1\aswUpdSv.exe

D:\Download\1\ashServ.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\Program Files\Creative\ShareDLL\CtNotify.exe

D:\Download\1\ashDisp.exe

D:\Download\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Creative\ShareDLL\MediaDet.Exe

D:\Download\Poptray\PopTray.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

D:\Download\Kerio\Personal Firewall 4\kpf4gui.exe

D:\Download\1\ashMaiSv.exe

D:\Download\Kerio\Personal Firewall 4\kpf4gui.exe

D:\Download\1\ashWebSv.exe

D:\Download\Firefox\firefox.exe

D:\TotalComander\totalcmd\TOTALCMD.EXE

C:\DOCUME~1\SYLWIA~1\USTAWI~1\Temp\_tc\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Download\Spybot\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\Download\AKCELE~1\STARDO~1\SDIEInt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [avast!] D:\Download\1\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Desktop Calendar StartUp.lnk = D:\Download\Kalendarz\DESKCAL.EXE

O4 - Startup: PopTray.lnk = D:\Download\Poptray\PopTray.exe

O8 - Extra context menu item: Download with Star Downloader - D:\Download\Akcelerator\Star Downloader\sdie.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{63CEE5D7-3195-42CD-8CEC-4CDF554BED26}: NameServer = 194.204.159.1,194.204.152.34

O23 - Service: Apache - Unknown owner - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Download\1\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Download\1\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Download\1\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Download\1\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Download\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)

O23 - Service: MySql - Unknown owner - d:/apacz/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(boczi) #5

Log czysty. Zainstaluj SP2 i wszystkie łaty z WindowsUpdate.


(Kubablachy) #6

no dobra już sie nie boję. dzięki.


(Musg) #7

a to jakies pozostalosci?

Jesli tak to usun :slight_smile:


(Skubisze) #8

Możesz sprawdzić czyj to adres IP np. TU

Search results for: 65.75.185.17

OrgName: Managed Solutions Group, Inc.

OrgID: MSG-48

Address: 46750 Fremont Blvd.

Address: #107

City: Fremont

StateProv: CA

PostalCode: 94538

Country: US

NetRange: 65.75.128.0 - 65.75.191.255

CIDR: 65.75.128.0/18

NetName: NET-MANAGED

NetHandle: NET-65-75-128-0-1

Parent: NET-65-0-0-0-0

NetType: Direct Allocation

NameServer: NS1.MANAGED.NET

NameServer: NS2.MANAGED.NET

Comment:

RegDate: 2004-01-16

Updated: 2004-10-21

AbuseHandle: ABUSE429-ARIN

AbuseName: MSG Inc Abuse

AbusePhone: +1-888-585-8889

AbuseEmail: abuse@managedsg-inc.com

TechHandle: MAT48-ARIN

TechName: MSG Arin Tech

TechPhone: +1-888-585-8889

TechEmail: tech@managedsg-inc.com

OrgAbuseHandle: ABUSE429-ARIN

OrgAbuseName: MSG Inc Abuse

OrgAbusePhone: +1-888-585-8889

OrgAbuseEmail: abuse@managedsg-inc.com

OrgTechHandle: MAT48-ARIN

OrgTechName: MSG Arin Tech

OrgTechPhone: +1-888-585-8889

OrgTechEmail: tech@managedsg-inc.com

ARIN WHOIS database, last updated 2005-05-13 19:10

Enter ? for additional hints on searching ARIN's WHOIS database.


(Kubablachy) #9

To EasyPhp.

A powiedzcie, czy DC++ w najnowszej wersji (0.674) może mieć wbudowane jakieś takie śmieci. Bo właśnie wczoraj zaktualizowałem go i ssałem coś z sieci. Może to jakiś użytkownik od którego coś brałem postanowił zrobić mi kawał??


(Skubisze) #10

Za takie kawały można ponieść odpowiedzialność, nawet karną, ale nie wszyscy zdają sobie z tego sprawę


(Kubablachy) #11

No to już wiem, że to na pewno dc++.

Dzisiaj znowu się łączyłem i ponownie od razu miałem kilka prób tego trojana o którym pisałem wyżej. Co za kicha. we wcześniejszej wersji nie zdarzało się coś takiego!!

Wiem ale komu by sie chciało bawić w kotka i myszke z jakimś palantem. Zwłaszcza, że ja jestem zwolennikiem opcji "oko za oko" - jednak z powodu niewystarczającej wiedzy w tym zakresie pozostaje mi poprzeklinać tego kogoś. Inaczej sam wymierzyłbym mu sprawiedliwość.