Avatar billede nikolajb Nybegynder
07. februar 2002 - 22:27 Der er 13 kommentarer og
4 løsninger

Virus / trojan? mystisk forbindelse til DNS-server

Det ser ud til, at jeg har fanget mig en virus eller noget andet guf på trods af alle forholdsregler:

Når min maskine starter op (W2K, SP2, IE5.5 med alle opdaterinter) vil service.exe connecte (UDP) til DNS-server (Tiscalis, angivet som primær DNS-server) på port 1028. På trods af, at jeg kun giver programmet adgang til at connecte, ikke lege server (jeg kører med nyeste ZoneAlarm Pro) opretholder programmet alligevel en forbindelse og fortsætter med at lytte på porten. Står min maskine tændt i længere tid (et par timer) kan jeg se på task manager, at service.exe og winlogon begynder at æde mere og mere RAM.

Nåja, hvis jeg helt nægter programmet/servicen adgang ud af huset kan jeg ikke resolve DNS'er.

Jeg fatter ikke det her, man skal da ikke være logget på en DNS'server konstant, og plejer det ikke også at være på port et-eller-andet-og-halvtreds? Jeg er lidt nervøs for, om jeg har samlet et eller andet beskidt op et sted. Eller har jeg bare misforstået et eller andet?

På forhånd tak.
Avatar billede foodprocessor Nybegynder
07. februar 2002 - 22:33 #1
ZoneAlarm er pisse ustabilt, og er ikke kompatibelt med ret meget...
Desuden kan man f.eks. se det er et dårligt program, ved at kigge på hvor mange services der faktisk får adgang FØR Zonealarm starter...

Har du f.eks. en virus der installere sig som super-service, og starter FØR ZoneAlarm.. BoooM... På en 800 Mhz PC kan den sq sende mange informatiner og lege server før ZoneAlarm har loadet...
Avatar billede vistodk Nybegynder
07. februar 2002 - 23:38 #2
Det er sikker fordi då har aktiveret "critical update servicen" den connecter til microsoft HVER gang du booter.. derfor laver den den dns forespørgsel

.: Visto.dk IT-service
Avatar billede nikolajb Nybegynder
08. februar 2002 - 13:14 #3
jeg har ikke installeret critial update service. Desuden er problemet ikke, at den laver DNS forespørgsel, men at den opretter en fast forbindelse til DNS'en på en mystisk (?) port. Iøvrigt er problemet med at winlogon.exe og services.exe åd ram ophørt. Jeg lukkede bl.a.
Avatar billede nikolajb Nybegynder
08. februar 2002 - 13:14 #4
....

for Trillian's IRC-del
Avatar billede vistodk Nybegynder
08. februar 2002 - 13:36 #5
prøv at højerklik på "my computer" -> manage -> system information -> software envioment -> startup programs... er der noget mystisk derinde?
Avatar billede nikolajb Nybegynder
08. februar 2002 - 14:14 #6
Ikke noget skræmmende. Udover filer, jeg direkte kan kæde sammen med programmer starter mobsync.exe og internat.exe op (to gange). Jeg prøver at slette mobsync.exe, men jeg tror ikke, at den har noget med problemet at gøre.

Når vi har med services.exe at gøre, drejer det sig så ikke om en service, og ikke et program?
Avatar billede karlslund Nybegynder
08. februar 2002 - 14:24 #7
Er det service.exe eller services.exe?
Avatar billede nikolajb Nybegynder
08. februar 2002 - 14:26 #8
Jeg er ret sikker på, at det er services.exe

Jeg kan ikke lige se filnavnet i zonealarm, men den kalder programmet "services and controller app"
Avatar billede cdc Novice
08. februar 2002 - 14:33 #9
Avatar billede cdc Novice
08. februar 2002 - 14:36 #10
Avatar billede karlslund Nybegynder
08. februar 2002 - 14:40 #11
Hvad med at benytte denne til diagnosticering:

http://www.sysinternals.com/ntw2k/freeware/tdimon.shtml
Avatar billede nikolajb Nybegynder
08. februar 2002 - 16:24 #12
Tak for forslagene. Jeg kørte en virusscan i går og fandt intet. Der er heller ikke noget, der tyder på, at min puter skulle være inficeret med en af de to, du foreslår.

Jeg har prøvet at starte op for tdimon, men er ikke blevet så meget klogere - endnu.
Avatar billede cdc Novice
08. februar 2002 - 17:16 #13
nikolajb-> hvis du har disse servises og imternat.exe er det jo et eller andet galt.....

/cdc
Avatar billede nikolajb Nybegynder
08. februar 2002 - 17:19 #14
Begge filer er standard windows filer - spørgålet er, hvilken mappe de ligger i. Og begge filer ligger i de korrekte mapper. Virus-filerne lægger sig i andre mapper.
Avatar billede karlslund Nybegynder
08. februar 2002 - 18:33 #15
Jeg kan overhovedet ikke finde noget om hvad port 1028 er....
Avatar billede net_nerd Nybegynder
09. februar 2002 - 16:48 #16
Ifølge IANA bruges port 1026 - 1029 ikke til noget

http://www.iana.org/assignments/port-numbers

Jeg kan heller ikke fnide noget info på hvilken service/program der skulle bruge port 1028 fast, men Windows bruger alle porte over 1023 til dynamiske forbindelser...
Avatar billede nikolajb Nybegynder
20. marts 2002 - 15:47 #17
Nå, det endte med at der alligevel dukkede en reinstallering op.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester