SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
atak- arp unwanted replay

Tryby wyświetlania wątku
atak- arp unwanted replay
ktostaki Offline
Nowicjusz
Liczba postów: 20
Liczba wątków: 3
Dołączył: 02.02.2009
Reputacja: 0
#1
06.02.2009, 16:48
Witam, mam pytanie czy orientuje sie ktoś może co może oznaczać atak wykryty przez mojego firewalla: arp unwanted replay? Dodam ze adres ip, z ktorego kilka razy dziennie pokazuja mi sie takie powiadomienia, to adres ip z mojej sieci osiedlowej... Jest to zawsze ten sam adres ... Jak moge sie przed tym zabezpieczyc? Czy to musi byc koniecznie atak na moje dane? Czy moze po prostu jakies procesy sieciowe... Czesto z bramy domyslnej (serweru dns ?) mojej sieci pokazuja mi sie powiadomienia o skanowaniu portow ...Prosze o odpowiedz
Szukaj
Odpowiedz
Plati Offline
Ekspert
Liczba postów: 2 658
Liczba wątków: 101
Dołączył: 22.04.2007
Reputacja: 2
#2
06.02.2009, 21:58
Witamy Smile
Widziałem twój temat tutaj -

[Aby zobaczyć linki, zarejestruj się tutaj]


Czy masz zainstalowaną Avirę? Jaka wersja? Przeskanuj nią komputer.
Niekoniecznie może być to atak na twoje dane, skanowanie portów jest normalnym zjawiskiem

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeżeli chcesz się bardziej zabezpieczyć, zainstaluj Peerguardiana i załaduj do niego listy..
Nie ważne jak mocno uderzasz, ale jak mocny cios potrafisz przyjąć od życia i iść dalej. Ile możesz znieść i ciągle iść na przód! Tak się wygrywa. Użalanie się nad sobą nie przynosi rozwiązań.... !
Szukaj
Odpowiedz
ktostaki Offline
Nowicjusz
Liczba postów: 20
Liczba wątków: 3
Dołączył: 02.02.2009
Reputacja: 0
#3
07.02.2009, 00:21
dziekuje za odpowiedz, mam avire ... iw lasnie niepokoi mnie to ze dzisiaj po zablokowaniu w outposcie (firewall) pewnych polaczen, avira pokazywala mi zagrozenie: psexec ... szukalam o tym w necie i niestety okazalo sie ze jest to program szpiegowski Sad

Nie wiem co juz o tym myslec, Peerguardiana dzisiaj zainstalowalam
Szukaj
Odpowiedz
Creer Offline
Specjalista
Liczba postów: 1 768
Liczba wątków: 94
Dołączył: 03.08.2008
Reputacja: 12
#4
07.02.2009, 00:27
Wrzuc logi z HJT dla pewnosci, czy nic nie ma w systemie.
Creer,
Member of the Alliance of Security Analysis Professionals
Strona WWW Szukaj
Odpowiedz
ktostaki Offline
Nowicjusz
Liczba postów: 20
Liczba wątków: 3
Dołączył: 02.02.2009
Reputacja: 0
#5
07.02.2009, 11:22
ok, prosze o sprawdzenie:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:57, on 2009-02-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
CTonguerogram FilesAviraAntiVir PersonalEdition Classicsched.exe
C:WINDOWSExplorer.EXE
C:WINDOWSRTHDCPL.EXE
CTonguerogram FilesOMDigitOM- Counter 2.3OMCounterApp.exe
CTonguerogram FilesHPHP Software UpdateHPWuSchd2.exe
CTonguerogram FilesJavajre1.6.0_05binjusched.exe
CTonguerogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
CTonguerogram FilesWinampwinampa.exe
CTonguerogram FilesEsetnod32kui.exe
CTonguerogram FilesAviraAntiVir PersonalEdition Classicavguard.exe
CTonguerogram FilesBonjourmDNSResponder.exe
CTonguerogram FilesAviraAntiVir PersonalEdition Classicavgnt.exe
CTonguerogram FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32ctfmon.exe
CTonguerogram FilesSpybot - Search & DestroyTeaTimer.exe
CTonguerogram FilesKonnektkonnekt.exe
CTonguerogram FilesEsetnod32krn.exe
CTonguerogram FilesPeerGuardian2pg2.exe
C:WINDOWSsystem32nvsvc32.exe
CTonguerogram FilesHPDigital Imagingbinhpqtra08.exe
CTonguerogram FilesLast.fmLastFMHelper.exe
CTonguerogram FilesCyberLinkShared FilesRichVideo.exe
C:WINDOWSsystem32svchost.exe
CTonguerogram FilesCommon FilesUlead SystemsDVDULCDRSvr.exe
CTonguerogram FilesHPDigital ImagingbinhpqSTE08.exe
CTonguerogram FilesCanonCALCALMAIN.exe
CTonguerogram FilesHPDigital ImagingProduct Assistantbinhprblog.exe
C:WINDOWSsystem32wscntfy.exe
CTonguerogram FilesggGadu-Gadugg.exe
CTonguerogram FilesWinampwinamp.exe
CTonguerogram FilesOperaopera.exe
CTonguerogram FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

[Aby zobaczyć linki, zarejestruj się tutaj]

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - CTonguerogram FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - CTongueROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - CTonguerogram FilesJavajre1.6.0_05binssv.dll
O4 - HKLM..Run: [SkyTel]SkyTel.EXE
O4 - HKLM..Run: [RTHDCPL]RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr]ALCMTR.EXE
O4 - HKLM..Run: [NvCplDaemon]RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz]nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter]RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [OM- Counter 2.3]"CTonguerogram FilesOMDigitOM- Counter 2.3OMCounterApp.exe"
O4 - HKLM..Run: [HP Software Update]CTonguerogram FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [dtmcfg]C:WINDOWSsystem32dtmcfgdtmcfg.exe
O4 - HKLM..Run: [SunJavaUpdateSched]CTonguerogram FilesJavajre1.6.0_05binjusched.exe
O4 - HKLM..Run: [NBKeyScan]"CTonguerogram FilesNeroNero8Nero BackItUpNBKeyScan.exe"
O4 - HKLM..Run: [BearShare]"CTonguerogram FilesBearShareBearShare.exe" /pause
O4 - HKLM..Run: [NeroFilterCheck]CTonguerogram FilesCommon FilesNeroLibNeroCheck.exe
O4 - HKLM..Run: [RemoteControl]"CTonguerogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [LanguageShortcut]"CTonguerogram FilesCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [WinampAgent]CTonguerogram FilesWinampwinampa.exe
O4 - HKLM..Run: [nod32kui]"CTonguerogram FilesEsetnod32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [OutpostMonitor]CTongueROGRA~1AgnitumOUTPOS~2op_mon.exe /tray /noservice
O4 - HKLM..Run: [OutpostFeedBack]"CTonguerogram FilesAgnitumOutpost Firewall Profeedback.exe" /dump:os_startup
O4 - HKLM..Run: [avgnt]"CTonguerogram FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKCU..Run: [CTFMON.EXE]C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]"CTonguerogram FilesCommon FilesAheadLibNMBgMonitor.exe"
O4 - HKCU..Run: [MSMSGS]"CTonguerogram FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [SpybotSD TeaTimer]CTonguerogram FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [Konnekt]"CTonguerogram FilesKonnektkonnekt.exe" /autostart
O4 - HKCU..Run: [PeerGuardian]CTonguerogram FilesPeerGuardian2pg2.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE]C:WINDOWSsystem32CTFMON.EXE (User ''USŁUGA LOKALNA'')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE]C:WINDOWSsystem32CTFMON.EXE (User ''USŁUGA SIECIOWA'')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE]C:WINDOWSsystem32CTFMON.EXE (User ''SYSTEM'')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE]C:WINDOWSsystem32CTFMON.EXE (User ''Default user'')
O4 - S-1-5-18 Startup: Last.fm Helper.lnk = CTonguerogram FilesLast.fmLastFMHelper.exe (User ''SYSTEM'')
O4 - .DEFAULT Startup: Last.fm Helper.lnk = CTonguerogram FilesLast.fmLastFMHelper.exe (User ''Default user'')
O4 - Startup: Last.fm Helper.lnk = CTonguerogram FilesLast.fmLastFMHelper.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = CTonguerogram FilesHPDigital Imagingbinhpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = CTonguerogram FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -

[Aby zobaczyć linki, zarejestruj się tutaj]

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CTonguerogram FilesJavajre1.6.0_05binssv.dll
O9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CTonguerogram FilesJavajre1.6.0_05binssv.dll
O9 - Extra button: Ustawienia Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - CTonguerogram FilesAgnitumOutpost Firewall Proie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CTongueROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra ''Tools'' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - CTongueROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CTonguerogram FilesMessengermsmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CTonguerogram FilesMessengermsmsgs.exe
O12 - Plugin for .spop: CTonguerogram FilesInternet ExplorerPluginsNPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CTongueROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs: c:progra~1agnitumoutpos~2wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - CTongueROGRA~1AgnitumOUTPOS~2acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - CTonguerogram FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - CTonguerogram FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - CTonguerogram FilesBonjourmDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - CTonguerogram FilesCanonCALCALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - CTonguerogram FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - CTonguerogram FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - CTonguerogram FilesNeroNero8Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - CTonguerogram FilesCommon FilesNeroLibNMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset- CTonguerogram FilesEsetnod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - CTonguerogram FilesCyberLinkShared FilesRichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - CTonguerogram FilesCommon FilesUlead SystemsDVDULCDRSvr.exe

--
End of file - 8666 bytes
Szukaj
Odpowiedz
Pablosss Offline
Ekspert
Liczba postów: 2 562
Liczba wątków: 25
Dołączył: 18.09.2008
Reputacja: 16
#6
07.02.2009, 11:24
Przeskanuj plik który pogrubiłem na Virustotal:

C:WINDOWSsystem32dtmcfg dtmcfg.exe

Ewentualnie możesz przeskanować cały folder dtmcfg
Szukaj
Odpowiedz
ktostaki Offline
Nowicjusz
Liczba postów: 20
Liczba wątków: 3
Dołączył: 02.02.2009
Reputacja: 0
#7
07.02.2009, 12:05
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File With Covert Attributes

o co chodzi...?
Szukaj
Odpowiedz
zbyszek Offline
Specjalista
Liczba postów: 1 564
Liczba wątków: 21
Dołączył: 05.01.2009
Reputacja: 10
#8
07.02.2009, 12:09
Widzę po logu że używasz 2 AV na raz - Avirai NOD32 . Wydaje mi się że nie powinno tak być. Powinien być tylko jeden w systemie.
ESET NOD32 Antivirus 
Zemana AntiMalware (Premium)
Szukaj
Odpowiedz
Pablosss Offline
Ekspert
Liczba postów: 2 562
Liczba wątków: 25
Dołączył: 18.09.2008
Reputacja: 16
#9
07.02.2009, 13:06
zbyszek napisał(a):Widzę po logu że używasz 2 AV na raz - Avirai NOD32 . Wydaje mi się że nie powinno tak być. Powinien być tylko jeden w systemie.


Jak najbardziej.
ktostaki wybierz ten program który bardziej Tobie odpowiada, a drugi usuń całkowicie z dysku.
Szukaj
Odpowiedz
polak900 Offline
SG PRO
Liczba postów: 4 621
Liczba wątków: 59
Dołączył: 12.10.2008
Reputacja: 11
#10
07.02.2009, 13:08
tylko jeden av bo będą konflikty
WIN11
Ventura
Szukaj
Odpowiedz
Serafin Offline
Użytkownik
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja: 0
#11
07.02.2009, 13:49
Gdzie tagi?

Cytat: O4 - HKLM..Run: [dtmcfg]C:WINDOWSsystem32dtmcfgdtmcfg.exe


Skasuj ten wpis w hijacku.
Daj log z

[Aby zobaczyć linki, zarejestruj się tutaj]

"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Strona WWW Szukaj
Odpowiedz
ktostaki Offline
Nowicjusz
Liczba postów: 20
Liczba wątków: 3
Dołączył: 02.02.2009
Reputacja: 0
#12
07.02.2009, 16:50
uruchamiam combofixa... rozpoczyna sie jakis proces w okienku i na zielono pokazuje mi jego postep, dobiega konca i okienko znika...
Szukaj
Odpowiedz
Pablosss Offline
Ekspert
Liczba postów: 2 562
Liczba wątków: 25
Dołączył: 18.09.2008
Reputacja: 16
#13
13.11.2011, 11:30
Rozumiem że ComboFix nie zachowuje się tak jak zaprezentowano w

[Aby zobaczyć linki, zarejestruj się tutaj]

? Czy postępujesz zgodnie ze wskazówkami jakie należy wykonać przed ściągnięciem i uruchomieniem CF?
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości