07. februar 2002 - 22:27Der er
13 kommentarer og 4 løsninger
Virus / trojan? mystisk forbindelse til DNS-server
Det ser ud til, at jeg har fanget mig en virus eller noget andet guf på trods af alle forholdsregler:
Når min maskine starter op (W2K, SP2, IE5.5 med alle opdaterinter) vil service.exe connecte (UDP) til DNS-server (Tiscalis, angivet som primær DNS-server) på port 1028. På trods af, at jeg kun giver programmet adgang til at connecte, ikke lege server (jeg kører med nyeste ZoneAlarm Pro) opretholder programmet alligevel en forbindelse og fortsætter med at lytte på porten. Står min maskine tændt i længere tid (et par timer) kan jeg se på task manager, at service.exe og winlogon begynder at æde mere og mere RAM.
Nåja, hvis jeg helt nægter programmet/servicen adgang ud af huset kan jeg ikke resolve DNS'er.
Jeg fatter ikke det her, man skal da ikke være logget på en DNS'server konstant, og plejer det ikke også at være på port et-eller-andet-og-halvtreds? Jeg er lidt nervøs for, om jeg har samlet et eller andet beskidt op et sted. Eller har jeg bare misforstået et eller andet?
ZoneAlarm er pisse ustabilt, og er ikke kompatibelt med ret meget... Desuden kan man f.eks. se det er et dårligt program, ved at kigge på hvor mange services der faktisk får adgang FØR Zonealarm starter...
Har du f.eks. en virus der installere sig som super-service, og starter FØR ZoneAlarm.. BoooM... På en 800 Mhz PC kan den sq sende mange informatiner og lege server før ZoneAlarm har loadet...
Det er sikker fordi då har aktiveret "critical update servicen" den connecter til microsoft HVER gang du booter.. derfor laver den den dns forespørgsel
jeg har ikke installeret critial update service. Desuden er problemet ikke, at den laver DNS forespørgsel, men at den opretter en fast forbindelse til DNS'en på en mystisk (?) port. Iøvrigt er problemet med at winlogon.exe og services.exe åd ram ophørt. Jeg lukkede bl.a.
Ikke noget skræmmende. Udover filer, jeg direkte kan kæde sammen med programmer starter mobsync.exe og internat.exe op (to gange). Jeg prøver at slette mobsync.exe, men jeg tror ikke, at den har noget med problemet at gøre.
Når vi har med services.exe at gøre, drejer det sig så ikke om en service, og ikke et program?
Tak for forslagene. Jeg kørte en virusscan i går og fandt intet. Der er heller ikke noget, der tyder på, at min puter skulle være inficeret med en af de to, du foreslår.
Jeg har prøvet at starte op for tdimon, men er ikke blevet så meget klogere - endnu.
Begge filer er standard windows filer - spørgålet er, hvilken mappe de ligger i. Og begge filer ligger i de korrekte mapper. Virus-filerne lægger sig i andre mapper.
Jeg kan heller ikke fnide noget info på hvilken service/program der skulle bruge port 1028 fast, men Windows bruger alle porte over 1023 til dynamiske forbindelser...
Nå, det endte med at der alligevel dukkede en reinstallering op.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
