CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede webasto Nybegynder
25. april 2004 - 20:31 Der er 6 kommentarer og
1 løsning

3 nye filer vil oprette forbindelse til rusland.

I løbet af dagen idag har NIS2003 opfanget 3 slubberter på vej ud:

up1.exe
up2.exe
mspack.exe

Her er report fra NIS på de tre:

Details: The user has created a rule to "block" communications
Outbound TCP connection
Remote address,service is (www.superdomen.fig(217.69.116.***),http(80))
Process name is "C:\WINDOWS\System32\up1.exe"



Details: The user has created a rule to "block" communications
Outbound TCP connection
Remote address,service is (www.superdomen.fig(217.69.122.***),http(80))
Process name is "C:\WINDOWS\System32\up2.exe"




Details: The user has created a rule to "block" communications
Outbound TCP connection
Remote address,service is (www.superdomen.fig(217.69.122.***),http(80))
Process name is "C:\WINDOWS\System32\mspack.exe"

(Sidste 3 cifre i IP er masket af mig!)

Alle tre exe'r vil ha' fat i ca. samme IP ... forskellen er kun i de sidste 3 cifre, en søgning giver en adr. der hedder teletube.net i næstsidste hop i en traceroute.

Godt så...

Men hvad pokker genererer disse nye små 51kb filer ??
Jeg har scannet med NAV og online Panda.
Jeg har kørt Adaware, Spybot S&D og hijackthis.

De er ikke at finde i Jobliste.

Ved at bruge TCPview kan jeg finde dem og stoppe deres proces for at ha' en mulighed for at slette dem fra min System32 mappe, men så er det jo bare at vente på den næste.


Jeg har endnu ikke kunnet finde banditten der genererer de filer... Grrr!!!

Er der nogen der er stødt på det samme fænomen, altså de samme filer ?

Eller er der nogen der har tips til hvor jeg skal kigge for at finde ud af hvad der laver de filer?
Avatar billede webasto Nybegynder
25. april 2004 - 20:34 #1
System restore har være slået fra de sidste 14 dage forresten så der kan det vel ikke gemme sig.
Avatar billede johnstigers Seniormester
25. april 2004 - 20:55 #2
Kan man lokke dig til at smide din log far hijackthis herind?
Hvis nu... :)
Avatar billede johnstigers Seniormester
25. april 2004 - 20:56 #3
far = fra
Avatar billede webasto Nybegynder
25. april 2004 - 21:25 #4
Joda!
Her er den:


Logfile of HijackThis v1.97.7
Scan saved at 21:27:48, on 25-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\FLLESF~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programmer\TRUST\Bluetooth-software\BTTray.exe
C:\Programmer\WinTV\Ir.exe
C:\PROGRA~1\TRUST\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\Integrator.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\BitTorrent\btdownloadgui.exe
C:\Programmer\FlashGet\flashget.exe
C:\Programmer\eMule\emule.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\ICQ\Icq.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\MailWasher\MailWasher.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programmer\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programmer\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmer\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WebCam Go Sti Service Application] wbcgosvc
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FLLESF~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmer\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RoboForm] "C:\Programmer\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: AutoStart IR.lnk = C:\Programmer\WinTV\Ir.exe
O4 - Startup: Hare.lnk = C:\Programmer\Dachshund Software\Hare\Hare.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PlexTools Professional.lnk = C:\Programmer\Plextor\PlexTool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Programmer\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programmer\FlashGet\jc_link.htm
O8 - Extra context menu item: Gem &formularer &[ - file://C:\Programmer\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Tilpas RF menu - file://C:\Programmer\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Udfyld formularer &] - file://C:\Programmer\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Udfyld (HKLM)
O9 - Extra 'Tools' menuitem: Udfyld formularer &] (HKLM)
O9 - Extra button: Gem (HKLM)
O9 - Extra 'Tools' menuitem: Gem &formularer &[ (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF værktøjslinie &2 (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {1C960AA3-FAEE-11D0-9262-00A0243D2412} (TegoSoft SmartLoader ActiveX Control) - http://www.zoopsie-media.com/ActiveX/TegoLoad.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4345/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A62981E-8368-4DE0-9956-3E6654EF248B}: NameServer = 212.54.64.171,212.54.64.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A62981E-8368-4DE0-9956-3E6654EF248B}: NameServer = 212.54.64.171,212.54.64.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A62981E-8368-4DE0-9956-3E6654EF248B}: NameServer = 212.54.64.171,212.54.64.170



Og nej der kommer ikke SP1 på den her XP maskine, jeg venter tålmodigt på SP2.
Avatar billede johnstigers Seniormester
25. april 2004 - 21:32 #5
Er emule ikke et fildelingsprogram?
Hvis ja, så har vi sandsynligvis synderen...

Desuden er der disse 2:
C:\WINDOWS\System32\oodag.exe + C:\WINDOWS\Integrator.exe der bekymrer mig lidt da jeg kun kan finde noget om disse 2 filer på div. spywareforums...
Avatar billede webasto Nybegynder
25. april 2004 - 21:40 #6
oodag.exe er ok, det er et defrag prg.
Integrator.exe er ok, det er et optimeringsprg. der hedder Hare.

Emule er kun startet op 2 min før loggen.
Avatar billede webasto Nybegynder
27. april 2004 - 01:42 #7
OK.
Ingen der har et bud... ?

Så lukker jeg og scorer pointsene selv.

Så kan jeg også selv bruge nætterne til at lede efter den satan der gemmer sig et eller andet sted.
Hehe!!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Hvorfor nævnes VPN beskyttelse aldrig af eksperter? Af jcr18 i Andet sikkerhed 11 01/03/202419:47 04/03/202411:25
Glemt skærmlås Af Betkri i Andet sikkerhed 18 13/02/202410:39 15/02/202409:48
I facebok kommer efterhånden konstant samme reklame/ annonce op Af Novice-1 i Andet sikkerhed 5 08/02/202417:15 10/02/202410:24
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:32 Formler der blev væk Af Klaus W i Excel
I går 15:22 Hent array key Af nemlig i PHP
16/0523:46 Er det journalisten Ole Ryborg? Af ErikHg i Fri debat
16/0521:25 find bestemt indehold i et felt Af gylling i Access
16/0518:08 Firefox adresse fra Firefox ned på proceslinjen Af valby i Windows
White papers
Flere white papers »


Premium
Teaser billede
Her er de nye medlemmer af Statens It-råd: Skal vurdere it-projekter på over 15 millioner kroner
Læs mere »
Antallet af anmeldelser af ulovligt indhold på beskedtjenester stiger: Regeringen skubber ansvaret videre til EU og Belgien
Efter masser af kritik af store prisstigninger: VMware åbner for gratis licenser - ændrer i licens-strukturen
Seks store selskaber med på årets image-liste for første gang: Kæmper alle med lav kendskabsgrad
Se alle »
Computerworld
Teaser billede
Nyopdaget sårbarhed rammer næsten alle VPN'er: Gør dem usikre og nærmest ubrugelige
Læs mere »
Om under en uge går det løs: Pc’en bliver aldrig den samme igen
Guide: Sådan surfer du under hackernes radarer – via en VPN-forbindelse
Opdater din browser med det samme: Stor sårbarhed rammer Chrome og en række andre browsere
Se alle »
CIO
Teaser billede
Nu begynder den største GDPR-retssag mod dansk myndighed nogensinde: Står over for million-bøde
Læs mere »
Lukker it-systemerne ned i to uger på grund af implementering: Den bedste måde at sikre, at ingen data går tabt
Sådan har Coop sagt farvel til mainframen - sparer et to-cifret millionbeløb årligt på licenser
Hundredevis af selskaber klager over Microsofts licens-policy: Vi er låst fast og bundet
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »