Søg
Avatar billede nikolajdu Nybegynder
22. marts 2005 - 23:59 Der er 10 kommentarer og
1 løsning

virus spyware eller hvad er report.gg888.net

Halløjsa. Jeg har lige installeret en ny logitech mus med den tilhørende mouseware og en ny harddisk har jeg smidt i harddisk skuffen men endnu ikke gjort noget ved den.

Så kommer det underlige. Min firewall (sygate) spørger nu igen om alle programmer. Fint nok men så opdager jeg IE vil connecte til noget totalt ukendt. Så kørte jeg Adware, Pestpatrol, Norton Antivirus og hijackthis igennem men fandt intet mistænkeligt.

Firewallen skriver således :

File Version :        6.0.2900.2180
File Description :    Internet Explorer (iexplore.exe)
File Path :        D:\Programmer\Internet Explorer\iexplore.exe
Process ID :        0xC78 (Heximal) 3192 (Decimal)

Connection origin :    local initiated
Protocol :        TCP
Local Address :     192.168.1.213
Local Port :        1206
Remote Name :        report.gg888.net
Remote Address :    218.108.245.109
Remote Port :         80 (HTTP - World Wide Web)

Ethernet packet details:
Ethernet II (Packet Length: 76)
    Destination:     00-0c-41-9d-95-80
    Source:     00-0c-41-17-4a-96
Type: IP (0x0800)
Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 64
    Protocol: 0x6 (TCP - Transmission Control Protocol)
    Header checksum: 0xc7bf (Correct)
    Source: 192.168.1.213
    Destination: 218.108.245.109
Transmission Control Protocol (TCP)
    Source port: 1206
    Destination port: 80
    Sequence number: 3664775078
    Acknowledgment number: 0
    Header length: 28
    Flags:
        0... .... = Congestion Window Reduce (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...0 .... = Acknowledgment: Not set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..1. = Syn: Set
        .... ...0 = Fin: Not set
    Checksum: 0xaac9 (Correct)
    Data (0 Bytes)

Binary dump of the packet:
0000:  00 0C 41 9D 95 80 00 0C : 41 17 4A 96 08 00 45 00 | ..A.....A.J...E.
0010:  00 30 E8 A8 40 00 40 06 : BF C7 C0 A8 01 D5 DA 6C | .0..@.@........l
0020:  F5 6D 04 B6 00 50 DA 70 : 07 A6 00 00 00 00 70 02 | .m...P.p......p.
0030:  40 00 C9 AA 00 00 02 04 : 05 B4 01 01 04 02 69 67 | @.............ig
0040:  6E 2F 6E 65 77 73 2E 67 : 69 66 20 48            | n/news.gif H

Det underlige er altså : report.gg888.net. Hvis jeg skriver gg888.net får jeg 3 asiatiske hits på google - det er alt hvad jeg kan finde og jeg forstår det ikke. Hvad pokker er det for noget. Da jeg så genstartede var remote name korrekt, men så startede jeg Outlook op og så gik det galt igen. Hvad er vi ude i her?

/Nikolaj
Avatar billede nikolajdu Nybegynder
23. marts 2005 - 00:05 #1
Jeg mente søger på 'report.gg888'
Avatar billede tonnybrandt Nybegynder
23. marts 2005 - 00:10 #2
Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://danborg.org/spy/HJT/hijackthis.exe
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Der findes både vira og spyware der ændrer i hostfilen, så du rammer et andet site end det du normalt vil på, og det er muligvis sådan noget du har inde. Jeg kan dog ikke umiddelbart genkende den ipaddresse som en af dem vi normalt ser i logs.
Avatar billede nikolajdu Nybegynder
23. marts 2005 - 00:23 #3
Logfile of HijackThis v1.99.1
Scan saved at 00:23:07, on 23-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\XP\System32\smss.exe
D:\XP\system32\winlogon.exe
D:\XP\system32\services.exe
D:\XP\system32\lsass.exe
D:\XP\system32\svchost.exe
D:\XP\System32\svchost.exe
F:\Sygate\SPF\smc.exe
D:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\XP\system32\spoolsv.exe
J:\Apache2\Apache2\bin\Apache.exe
D:\XP\system32\drivers\CDAC11BA.EXE
D:\XP\system32\CTsvcCDA.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\mysql\bin\mysqld-nt.exe
F:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
F:\NORTON~1\NORTON~2\NPROTECT.EXE
J:\Apache2\Apache2\bin\Apache.exe
D:\XP\system32\nvsvc32.exe
F:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\SFMGR\sfmgr.exe
D:\XP\System32\svchost.exe
D:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\XP\Explorer.EXE
D:\XP\system32\UAService7.exe
D:\XP\system32\MsPMSPSv.exe
D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
D:\XP\htpatch.exe
F:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
F:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
D:\XP\system32\CTHELPER.EXE
F:\D-Tools\daemon.exe
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
F:\AD-AWA~1\Ad-Watch.exe
D:\Programmer\PestPatrol\PPControl.exe
D:\Programmer\PestPatrol\PPMemCheck.exe
D:\Programmer\PestPatrol\CookiePatrol.exe
F:\HP\HP Software Update\HPWuSchd2.exe
F:\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
F:\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
D:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\Programmer\Logitech\MouseWare\system\em_exec.exe
D:\XP\system32\ctfmon.exe
D:\XP\system32\rundll32.exe
J:\Apache2\Apache2\bin\ApacheMonitor.exe
F:\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Internet Explorer\iexplore.exe
G:\Project Entropia\ClientLoader.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\XP\system32\notepad.exe
F:\Norton SystemWorks\Norton Antivirus\OPScan.exe
D:\Documents and Settings\nikolaj\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liverpoolfans.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CFilter Object - {2A7B720A-7A28-4e99-80A0-2DF985EC93D0} - D:\XP\system32\font.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] D:\XP\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\XP\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTSysVol] f:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] f:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\XP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWMON] "F:\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [SmcService] F:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [HP Software Update] "F:\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] F:\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdobeVersionCue] f:\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\XP\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Monitor Apache Servers.lnk = J:\Apache2\Apache2\bin\ApacheMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {89A312AE-8D21-42B1-848B-FD8E27F9A2A9} (PrimeInk for Web Applications Signing Component) - https://webreg.dk/web.dll
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15009/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AFDB601-D6EA-4345-93B1-1172A8E2A51A}: NameServer = 212.242.40.3,212.242.40.51
O23 - Service: Apache2 - Unknown owner - J:\Apache2\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\XP\system32\CTsvcCDA.exe
O23 - Service: Flash Communication Server (FlashCom) - Macromedia, Inc. - j:\Flash Communication Server MX\FlashCom.exe
O23 - Service: Flash Communication Admin Service (FlashComAdmin) - Macromedia, Inc. - j:\Flash Communication Server MX\FlashComAdmin.exe
O23 - Service: Macromedia Licensing Service - Macromedia - D:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - J:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - F:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - F:\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\XP\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\XP\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\SFMGR\sfmgr.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\XP\system32\UAService7.exe
Avatar billede tonnybrandt Nybegynder
23. marts 2005 - 00:48 #4
Det var dog en forfærdeligt masse ting du har kørende, men loggen er ren bortset fra en enkelt linie:

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\XP\system32\UAService7.exe

Når jeg søger den på Google, får jeg en 6-7 hits på den hvilket allerede indikerer at det ikke er en normal service.

På en af siderne bliver den identificeret som en trojaner, og på en anden bliver det sandsynligjort (men ikke bevist) at den er snavset.

Så fix den pgl linie i HiJackThis, genstart og check så om du stadig får disse underlige connections til den pgl host.
Avatar billede nikolajdu Nybegynder
23. marts 2005 - 01:38 #5
Jeg finder den som værende securerom altså kopibeskyttelse for visse spil. http://www.tombraiderforums.com/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=11;t=001549
Avatar billede nikolajdu Nybegynder
23. marts 2005 - 01:48 #6
Ellers står der også flere steder noget om Alcohol 120% som jeg også har installeret. Anyway så hjalp det ikke.
Avatar billede tonnybrandt Nybegynder
23. marts 2005 - 02:37 #7
Du har ret, det ER kopi beskyttelses software. Der var et link fra Lego software på den side du linkede til.

Jeg gennemgik loggen endnu en gang og fik øje på en anden linie som jeg missede i første omgang:

O2 - BHO: CFilter Object - {2A7B720A-7A28-4e99-80A0-2DF985EC93D0} - D:\XP\system32\font.dll
Det er med sikkerhed snavs: http://castlecops.com/clsid-1290.html

Fix den med HiJackThis, genstart og test igen
Avatar billede nikolajdu Nybegynder
12. april 2005 - 16:43 #8
Smid et svar du fik så ganske ret.
Avatar billede tonnybrandt Nybegynder
12. april 2005 - 17:02 #9
Her er svaret :)
Avatar billede nikolajdu Nybegynder
12. april 2005 - 17:14 #10
tak tak
Avatar billede tonnybrandt Nybegynder
12. april 2005 - 17:55 #11
Velbekomme og takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
28/0311:18 DENVER DVB-tMPEG-4 HD TUNER Af ole falsted i Fjernsyn & projektorer
White papers
Flere white papers »