GG łączy się z unused-217017045144.atman.pl

Kloss-J23 · 18 Październik 2007 22:46

Witam. Zauważyłem (przy pomocy netstat -b), że gadu-gadu łączy się z adresem unused-217017045144.atman.pl (po zalogowaniu użytkownika GG na sewer) na porcie 1059. Do czego to jest wykorzystywane ? Czy to jakiś spyware albo coś do naliczania statystyk ? System WinXP Pro + SP2, zapora systemowa wyłączona, firewall Zone Alarm zawsze włączony.

Dołączam log z hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:44:28, on 2007-10-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Programy\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programy\SeaMonkey\seamonkey.exe

D:\Programy\GaduGadu\gg.exe

C:\WINDOWS\system32\cmd.exe

D:\Programy\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\AdobeReader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programy\GetRight\xx2gr.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programy\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download with GetRight - D:\Programy\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - D:\Programy\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184690854718

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D983A1AD-4608-48C5-BA4A-E7727800EB59}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\Avast\ashServ.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


--

End of file - 3119 bytes

daghda · 18 Październik 2007 23:12

Szczegółowe wyniki testu


Hop	IP	Name	ms	% loss	Location	Network

0	x.x.x.x	xxx	-	0	-	OnDemand #2

1	212.106.131.254	-	0	0	(Poland)	Silesian University of Technology

2	-	-	-	0	-	-

3	157.158.254.163	G-CK-r2-rc.SILWEB.PL	35	0	(Poland)	CKPOLSL - Silesian University of Technology, Computer Center

4	-	-	-	0	-	-

5	193.111.36.69	z-atman-krakow-katowice.oc3.p.silweb.pl	32	0	Warsaw, Poland	ATM S.A., WARSAW, POLAND

6	-	-	-	0	-	-

7	85.232.232.254	r3.isp-10G-r2.isp.atman.pl	18	0	Warsaw, Poland	ATMAN Network point-to-point connections

8	-	-	-	0	-	-

9	217.17.45.144	unused-217017045144.atman.pl	18	0	(Poland)	SMS-Express Servers

Spróbuj jeszcze

http://spywaredetector.net/spyware_ency … Ggdoor.htm

http://www.firewallleaktester.com/tools/wwdc.exe

i pozamykać wszystkie porty (raczej nie zalecam wszystkich…).

Ale ja generalnie nie widzę powodów do obaw.

Kloss-J23 · 20 Październik 2007 12:23

Dzięki. Mam jeszcze pytanie odnośnie tego programu Spyware Detector.

Wykrył on kilka trojanów, ale wyświetlone przez niego informacje dotyczyły tylko i wyłącznie wpisów w rejestrze (część siedziało w wpisach gg). Przyczepił się między innymi do:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.b3d]

@="IrfanView.b3d"

twerdząc, ze jest to Adware.Briliant Digital Wykazał też Downloader.Delf i Porn.Dialer:

[HKEY_USERS\S-1-5-21-1085031214-1682526488-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nt]


[HKEY_USERS\S-1-5-21-1085031214-1682526488-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nt\OpenWithList]

"a"="NOTEPAD.EXE"

"MRUList"="a"

(wpisy usunąłem ręcznie, bo wersja trial Spyware Detector tego nie umożliwiała)

Czy jest on wiarygodny ? Sprawdzałem komputer również Ad-Aware, SuperAntiSpyware, SpyBot Serch & Destroy, Avastem i skanerem online MKS. Po odinstalowaniu tego Spyware Detector włączyłem jeszcze raz Avasta. Wykrył on wirusa Win32:Trojan-gen w w katalogu dotyczącym najnowszego punktu przywracania systemu. Czy może to mieć jakiś związek z instalacją Spyware Detector ? Plik instalatora był sprawdzony przed użyciem. Ponadto SpyBot Serch & Destroy uznał za szkodliwy plik, który pozostał po Spyware Detector:

c:\WINDOWS\system32\SDRemoveDB.db