netstat -a

start lige med en hijackthis herind: Følg denne vejledning, punkt 1-4.
http://www.spywarefri.dk/forum/links/hjtanv.htm

Har du noget fildeling kørende. port 1050 er brugt af enkelte trojaner.
Det vil højst sandsynligt være en anden der svarer på den, da jeg ikke er ekspert i dette.

punkt 2 klip loggen fra GTJ herind.

gtj=hjt

Logfile of HijackThis v1.98.0
Scan saved at 16:08:22, on 17-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\KLEPTO~1\k-mania.exe
C:\Program Files\Plaxo\2.3.4.5\InstallStub.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\@stake\LC5\lc5.exe
c:\HijackThis\hijackthis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ordbogen.com] C:\Program Files\CoolSystems\ordbogen.com\ordbogen.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Thomas\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Kleptomania] C:\PROGRA~1\KLEPTO~1\k-mania.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.3.4.5\InstallStub.exe -a
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {E7D2588A-7FB5-47DC-8830-832605661009} (Live Collaboration) - https://livesc02.custhelp.com/6030-b463h-iomega/rnl/java/RntX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{245F6187-853E-48FB-8DD9-3AE6C11989DD}: NameServer = 192.168.1.1

Du kan bruge netstat -ano
til at få vist flere oplysninger, fx. PID nr. (proces/program) der er tale om.
I jobliste kan du identificere PID - sørg for at kolonnen med PID nr. vises i joblisten.

Min erfaring er at når Skype kører kan der være mange forbindelser "ESTABLISHED" (se med netstat -ano) hvilket jeg godt nok har luret en del på. Hvem og hvorfor.

Har tænkt på det samme.


Mit eneste forslag skulle være wscntfy.exe, som nogle gange bliver skiftet ud, med en trojaner. Men VIGTIGT jeg er ikke HJT-mand, så mand skal ikke gøre ting i HJT på mine udtalelser

Jeg har kigget din log igennem, og umiddelbart kan jeg kun se én entry, som plejer at blive fixet:
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Thomas\LOCALS~1\Temp\MsgPlusUninst.bat"

Jeg har dog ikke kunnet finde info på, hvad skade filen gør.

Halifax - Skype benytter sig af supernodes til at skabe en forbindelse mellem 2 computere der begge ikke har en offentlig ipadresse. Derfor er der en del der efterhånden finder at der kommer flere og flere problemer med skype, da der efterhånden er en større procent ikke supernørder der efterhånden ikke bruger programmet.

Meget computer interesserede mennesker har jo ofte en offentlig ip, dette er noget af en påstand jeg ikke kan underbygge, men jeg vil mene det er rigtigt.

Derfor er skype nødt til at have forbindelse til en supernode for at virke i begge situationer, hvis du ikke har en offentlig ipadresse.

Det ville jo kræve noget af en server at holde styr på alle skypebrugerne, ligesom msn gør det.

Jeg kan desværre ikke lige finde linket, det er et stykke tid siden jeg læste det, men det giver jo faktisk mening.

/ahave

- da der efterhånden er en større procent ikke supernørder der efterhånden ikke bruger programmet.

Skal være -
da der efterhånden er en større procent ikke supernørder der efterhånden bruger programmet.

/ahave

ahave - Tak for info. Har søgt videre med Google og fundet at enhver PC med Skype installeret er en node i Skype netværket mens andre er supernoder, som leverer cpu kraft og båndbredde til andre noder. Sikke noget rod!!
"A super node is an ordinary host’s end-point on the
Skype network. Any node with a public IP address having
sufficient CPU, memory, and network bandwidth is a candidate to
become a super node."

En supernode (almindelig pc bruger) oplever altså "Connection Established" til andre i Skype netværket. Tak for kaffe!!
Til forskel fra KaZaa, der bygger på samme per to peer teknologi kan en Skype client ikke forhindre sig selv i at blive en supernode. Oplysninger gemmes i reg.databasen. Nogen der ved hvor?

Info om Skype netværket fundet her
http://www1.cs.columbia.edu/~salman/publications/cucs-039-04.pdf

Det er jo egentligt interessant. Gad vide hvor meget det forbruger.
Sæt nu man havde afregnings bredbånd

Jeg har nu ikke lagt mærke til nogen særlig trafik i de perioder hvor jeg har haft offentlig ipadresse. Jeg har et down/upload meter til at køre hele tiden: http://www.dumeter.com/. Hvis jeg havde mere forstand på det, kunne jeg nok komme med en forklaring, der havde noget med henvisninger at gøre, men det har jeg ikke.

Jeg kan bestemt ikke forestille mig at båndbredden vil blive særligt påvirket af det. Lad mig trække msn frem igen eller aol, yahoo, icq osv. Det ville jo kræve en båndbredde af gigantiske proportioner når så mange bruger msn med samtaler, video og filoverførsler skulle interagere, med så mange brugere...

Så løsningen er sikkert meget mere simpel.
/ahave