Backdoor a prepinanie sietovky 100/10

**AjsTi** · 23.06.2004, 08:28

Ahoj , viem ze nazov threadu neni nejak oslnivy , ale netusim aky sem dat nazov. A mozno to sem ani nepatri , ale dost bolo tliachanim prejdime k problemu. Vcera rano som ako zvycajne nabehol system , otvoril IE a mam tam panel google, ten mi firemny antivirus vyblokoval , snazil som sa ho este parkrat instalovat , no bezuspesne. Tak som sa aj tak pripojil na web , myslim asi 3x IE okna a na jednom talkeri , mi to padalo. Tak si vravim , blbne asi talker , skusil som ping na ine pc a to blbo tiez , hovorim si siet na blbne. Tak som siel na ine pc a tam secko ok. Vratim sa spet a NOD my vyskocil s tou to hlaskou "podozrenie na virus C:\Winnt\system32\tksrv98.exe Win32/TrojanDownloader.Esepor.G". Dal som premenovat subor. Po chvili dalsia hlaska "C:\Winnt\system32\tmksrvu.exe Win32/TrojanDownloader.Esepor.G". Tak som dal premenovat aj ten. Dal som oskenovat pc a nasiel mi nejakey subor na pc "blablabla_adutl.exe Win32/TrojanDownloader.Esepor.G". Samozrejme NOD zmazal tento subor. Problemy zo sietov , ale jaksi nepresli , dokonca mam pocit ze sa zhorsili , pritom tie dva subory Win2000 nemaju v sebe. Takze aby mi ako tak isla siet , musel som sietovku prepnut z automatickeho rozpoznavania na 10mbit ful duplex. Po dalsie ak mam dve okna na IE otvorene , iba to "silnejsie" ide , ine nie. Napriklad chodim sem na forum a na talker.sk tam nemam sancu , lognem sa a koniec. Cera som mal pustene nieco ako tcpview a masina sa snazila otvarat vsetky porty ake su a snad aj take co niesu. Zda sa mi ze mam v registroch niekde zasity backdoor a netusim kde. Doplnujuce info:
Pc je win2000+sp3 a kolegyna tu ma take iste ibaze ma sp4 a iba 64mb ram ostatne parametre niesu podstatne. Mame proxy a firewoll.
Bude mi niekto vediet pomoct , kde to mam hladat v registroch ? Dakujem

**Tyrex** · 23.06.2004, 08:40

A zkousel si Adware 6 jestli tam nemas nejaky "bordel"? A co zaplaty na W2000? Pak bych zkusil novy ovladac pro sitovku.

**AjsTi** · 23.06.2004, 09:14

Původně odeslal Tyrex

A zkousel si Adware 6 jestli tam nemas nejaky "bordel"? A co zaplaty na W2000? Pak bych zkusil novy ovladac pro sitovku.

Samozrejme adware aj spy bot. Dokonca som menil aj nastavenie siete na pevne a stale nic. Zaplaty mam snad vsecky okrem sp4.
Ten ovladac ak dam novy , nebudem musiet davat pc do domeny ?

**Marty** · 23.06.2004, 09:33

Původně odeslal AjsTi

Samozrejme adware aj spy bot. Dokonca som menil aj nastavenie siete na pevne a stale nic. Zaplaty mam snad vsecky okrem sp4.
Ten ovladac ak dam novy , nebudem musiet davat pc do domeny ?

Nee.
BTW. jestli se trosku vyznas v registrech tak doporucim podivat se do HKCU/Software/Microsoft/CurrentVersion/Run
HKLM/ ----- "" -----------
to same ale nakonci runonce atd.

kdyz najdes neco podezreleho smazat..
kdyztak nahod seznam bezicich procesu, z toho se da taky neco poznat.

**AjsTi** · 23.06.2004, 10:32

Původně odeslal Marty

Původně odeslal AjsTi

Samozrejme adware aj spy bot. Dokonca som menil aj nastavenie siete na pevne a stale nic. Zaplaty mam snad vsecky okrem sp4.
Ten ovladac ak dam novy , nebudem musiet davat pc do domeny ?

Nee.
BTW. jestli se trosku vyznas v registrech tak doporucim podivat se do HKCU/Software/Microsoft/CurrentVersion/Run
HKLM/ ----- "" -----------
to same ale nakonci runonce atd.

kdyz najdes neco podezreleho smazat..
kdyztak nahod seznam bezicich procesu, z toho se da taky neco poznat.

To bolo prve na co som sa pozrel a precistil , ale nic som tam nenasiel.
Tu je ten zoznam:
Process PID CPU Description Company Name
System Idle Process 0 97
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 8
SMSS.EXE 132 Windows NT Session Manager Microsoft Corporation
CSRSS.EXE 160 2 Client Server Runtime Process Microsoft Corporation
WINLOGON.EXE 156 Windows NT Logon Application Microsoft Corporation
SERVICES.EXE 208 Services and Controller app Microsoft Corporation
svchost.exe 404 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 448 Spooler SubSystem App Microsoft Corporation
svchost.exe 516 Generic Host Process for Win32 Services Microsoft Corporation
nod32krn.exe 536
regsvc.exe 572 Remote Registry Service Microsoft Corporation
LSASS.EXE 220 LSA Executable and Server DLL (Export Version) Microsoft Corporation
explorer.exe 796 Windows Explorer Microsoft Corporation
dtmonx.exe 840 Desktop Client Port Monitor DeviceGuys. Inc.
HPMMKBD.EXE 876 HP Extended Keyboard Hewlett-Packard Corp.
nod32kui.exe 888
internat.exe 896 Keyboard Language Indicator Applet Microsoft Corporation
StatBar.exe 908 StatBar Globe Software
Rainlendar.exe 928
taskmgr.exe 944 Windows TaskManager Microsoft Corporation
TOTALCMD.EXE 984 Total Commander 32 bit international version, file manager replacement for Windows C. Ghisler & Co.
procexp.exe 672 2 Sysinternals Process Explorer Sysinternals

Process: Procexp Pid: -2

Type Name

A ak nieco pomoze , malo by to byt toto:
http://securityresponse.symantec.com...t.xplugin.html
http://securityresponse.symantec.com...jan.norio.html

**FBI** · 23.06.2004, 14:18

Ak si na firemnej sieti, tak nemusis byt na vine ty. Pocul si o ARP poisoningu ? moze ta sledovat aj admin, alebo niekto na sieti.

**AjsTi** · 25.06.2004, 10:30

Původně odeslal FBI

Ak si na firemnej sieti, tak nemusis byt na vine ty. Pocul si o ARP poisoningu ? moze ta sledovat aj admin, alebo niekto na sieti.

No nepocul , praveze co sa tyka siete , nevyznam sa. Takze problem je vyrieseny tak na 50% idem 10mb half duplex , ale neni to ono. Backdoor stale ostal a neviem kde v registroch ho mozem najst

**FBI** · 25.06.2004, 11:40

Skus nejake linux live CD, napriklad Slax, s tym mam celkom dobre
skusenosti. Ak ti to pojde stale pomaly, problem je v sieti a nie u teba.( ak vam funguje DNS tak si siet nastavi sam, ak nie tak ti stacia
3 prikazy:
ked nenajde sietovku:

1. modprobe modul_sietovky -> to nejako zistis

ked najde sietovku taci pokracovat od 2.
2. ifconfig eth0 111.222.333.444 netmask 255.255.255.0
3. route add default gw xxx.xxx.xxx.xxx metric 1
xxx.xxx.xxx.xxx je brana (to si pozries v nastaveni TCP/IP vo windoze)

Este predtym si skus nainstalovat vo windowsoch ZoneAlarm, teraz je nova verzia 5.0 volaco, je to velmy user friendly firewal, zistis, ake programy sa snazia pripojit z tvojho compu von a ktore dnu. Tam si velmi jednoducho vsetko nastavis a mas pocitac pod kontrolou.... Tie bacdoory musia nejako komunikovat, na to sa zameraj.

Este nieco, pisal si, ze mate firewal, ten firewal moze tiez sposobovat, ze ti to ide pomlaly, ak tam maju mejaky unix system a maju blbo nastavene iptables, ale v tomoto sa uz velmi nevyznam....

**AjsTi** · 25.06.2004, 14:28

Původně odeslal FBI

Skus nejake linux live CD, napriklad Slax, s tym mam celkom dobre
skusenosti. Ak ti to pojde stale pomaly, problem je v sieti a nie u teba.( ak vam funguje DNS tak si siet nastavi sam, ak nie tak ti stacia
3 prikazy:
ked nenajde sietovku:

1. modprobe modul_sietovky -> to nejako zistis

ked najde sietovku taci pokracovat od 2.
2. ifconfig eth0 111.222.333.444 netmask 255.255.255.0
3. route add default gw xxx.xxx.xxx.xxx metric 1
xxx.xxx.xxx.xxx je brana (to si pozries v nastaveni TCP/IP vo windoze)

Este predtym si skus nainstalovat vo windowsoch ZoneAlarm, teraz je nova verzia 5.0 volaco, je to velmy user friendly firewal, zistis, ake programy sa snazia pripojit z tvojho compu von a ktore dnu. Tam si velmi jednoducho vsetko nastavis a mas pocitac pod kontrolou.... Tie bacdoory musia nejako komunikovat, na to sa zameraj.

Este nieco, pisal si, ze mate firewal, ten firewal moze tiez sposobovat, ze ti to ide pomlaly, ak tam maju mejaky unix system a maju blbo nastavene iptables, ale v tomoto sa uz velmi nevyznam....

Takto ono to blbne odkedy som chytil ten virus , to jes od utorka , pondelok to lietalo. Mame tak rychlu siet , ze DSL je pomale oproti nasej , ale to ako sa mi spomalilo pc je katastrofa. I ked na HALF duplex to ide. Ono mame firewal aj proxy a co ja viem co este , jedine co mi ide je email , siet a http nic viac. Proste niekde v systeme mam backdor. Ok skusim ten ZoneAlarm , ale neni to spyware ?

**FBI** · 25.06.2004, 15:21

MOzem ta ubezpecit, ze ZoneAlarm nie je spyware

Nevytvara ti ten virus nejake *.dll subory wo /windows/system32/ ??
alebo nejake pochybne exace? jeden kolega tu nieco take mal a ani jeden antivir tento virus neodhalil, musel som ho vymazavat rucne

**AjsTi** · 29.06.2004, 08:10

Původně odeslal FBI

MOzem ta ubezpecit, ze ZoneAlarm nie je spyware

Nevytvara ti ten virus nejake *.dll subory wo /windows/system32/ ??
alebo nejake pochybne exace? jeden kolega tu nieco take mal a ani jeden antivir tento virus neodhalil, musel som ho vymazavat rucne

Nie nic take. Virus uz nemam , ale problemy zo sietou pretrvali

Zkusim ten ZoneAlarm , i ked mu nedavam velku sancu , ze by ten nieco zistil.

**Vinc Black** · 02.07.2004, 22:16

zkus jednoduše přeinstalovat síť odebrat síťovou kartu, a znova přidat, někdo mi řikal že mu to taky dělalo, ale během 3dnů to bylo ok

jinak já jsem měl taky vir a net nešel tak tak jsem udělal reinstal OS a už to šlo

**CompCrasher** · 03.07.2004, 23:55

Rozhodne bych se s tim nes*al a reinstaloval bych win, pokud to neni problem. O vic bych se nesnazil

.

Téma: Backdoor a prepinanie sietovky 100/10

Nástroje témat

Zobrazení

Backdoor a prepinanie sietovky 100/10

Informace o tématu

Users Browsing this Thread

Pravidla přispívání