CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede dont Nybegynder
17. september 2005 - 15:53 Der er 13 kommentarer

netstat -a

Kan jeg benytte oplysningerne fra "netstat -a" til at se om der er nogle, der hacker mig?
Hvad fortæller det mig fx når jeg har følgende linie i min netstat -a:
TCP    [computernavn]:1050    c-chhdk23kj.939-83-938f3.cust.bredbandsbolaget.se:3801    ESTABLISHED

Er det en svensk hacker der fx benytter en trojan på min computer eller er det mon noget helt reelt til et program eller noget. Er der nogle der kan hjælpe med et svar (både generelt om mulighederne for at se om der er nogle der har adgang til ens computer og også til dette specifikke spg med ovenstående "svensker") vil jeg være meget taknemlig.
Avatar billede halvamatoer Nybegynder
17. september 2005 - 16:03 #1
start lige med en hijackthis herind: Følg denne vejledning, punkt 1-4.
http://www.spywarefri.dk/forum/links/hjtanv.htm

Har du noget fildeling kørende. port 1050 er brugt af enkelte trojaner.
Det vil højst sandsynligt være en anden der svarer på den, da jeg ikke er ekspert i dette.
Avatar billede halvamatoer Nybegynder
17. september 2005 - 16:04 #2
punkt 2 klip loggen fra GTJ herind.
Avatar billede halvamatoer Nybegynder
17. september 2005 - 16:04 #3
gtj=hjt
Avatar billede dont Nybegynder
17. september 2005 - 16:12 #4
Logfile of HijackThis v1.98.0
Scan saved at 16:08:22, on 17-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\KLEPTO~1\k-mania.exe
C:\Program Files\Plaxo\2.3.4.5\InstallStub.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\@stake\LC5\lc5.exe
c:\HijackThis\hijackthis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ordbogen.com] C:\Program Files\CoolSystems\ordbogen.com\ordbogen.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Thomas\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Kleptomania] C:\PROGRA~1\KLEPTO~1\k-mania.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.3.4.5\InstallStub.exe -a
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {E7D2588A-7FB5-47DC-8830-832605661009} (Live Collaboration) - https://livesc02.custhelp.com/6030-b463h-iomega/rnl/java/RntX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{245F6187-853E-48FB-8DD9-3AE6C11989DD}: NameServer = 192.168.1.1
Avatar billede halifax Nybegynder
17. september 2005 - 17:06 #5
Du kan bruge netstat -ano
til at få vist flere oplysninger, fx. PID nr. (proces/program) der er tale om.
I jobliste kan du identificere PID - sørg for at kolonnen med PID nr. vises i joblisten.
Avatar billede halifax Nybegynder
17. september 2005 - 17:10 #6
Min erfaring er at når Skype kører kan der være mange forbindelser "ESTABLISHED" (se med netstat -ano) hvilket jeg godt nok har luret en del på. Hvem og hvorfor.
Avatar billede halvamatoer Nybegynder
17. september 2005 - 17:13 #7
Har tænkt på det samme.


Mit eneste forslag skulle være wscntfy.exe, som nogle gange bliver skiftet ud, med en trojaner. Men VIGTIGT jeg er ikke HJT-mand, så mand skal ikke gøre ting i HJT på mine udtalelser
Avatar billede ejvindh Ekspert
17. september 2005 - 21:33 #8
Jeg har kigget din log igennem, og umiddelbart kan jeg kun se én entry, som plejer at blive fixet:
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Thomas\LOCALS~1\Temp\MsgPlusUninst.bat"

Jeg har dog ikke kunnet finde info på, hvad skade filen gør.
Avatar billede ahave Nybegynder
18. september 2005 - 01:04 #9
Halifax - Skype benytter sig af supernodes til at skabe en forbindelse mellem 2 computere der begge ikke har en offentlig ipadresse. Derfor er der en del der efterhånden finder at der kommer flere og flere problemer med skype, da der efterhånden er en større procent ikke supernørder der efterhånden ikke bruger programmet.

Meget computer interesserede mennesker har jo ofte en offentlig ip, dette er noget af en påstand jeg ikke kan underbygge, men jeg vil mene det er rigtigt.

Derfor er skype nødt til at have forbindelse til en supernode for at virke i begge situationer, hvis du ikke har en offentlig ipadresse.

Det ville jo kræve noget af en server at holde styr på alle skypebrugerne, ligesom msn gør det.

Jeg kan desværre ikke lige finde linket, det er et stykke tid siden jeg læste det, men det giver jo faktisk mening.

/ahave
Avatar billede ahave Nybegynder
18. september 2005 - 01:06 #10
- da der efterhånden er en større procent ikke supernørder der efterhånden ikke bruger programmet.

Skal være -
da der efterhånden er en større procent ikke supernørder der efterhånden bruger programmet.

/ahave
Avatar billede halifax Nybegynder
18. september 2005 - 15:23 #11
ahave - Tak for info. Har søgt videre med Google og fundet at enhver PC med Skype installeret er en node i Skype netværket mens andre er supernoder, som leverer cpu kraft og båndbredde til andre noder. Sikke noget rod!!
"A super node is an ordinary host’s end-point on the
Skype network. Any node with a public IP address having
sufficient CPU, memory, and network bandwidth is a candidate to
become a super node."

En supernode (almindelig pc bruger) oplever altså "Connection Established" til andre i Skype netværket. Tak for kaffe!!
Til forskel fra KaZaa, der bygger på samme per to peer teknologi kan en Skype client ikke forhindre sig selv i at blive en supernode. Oplysninger gemmes i reg.databasen. Nogen der ved hvor?

Info om Skype netværket fundet her
http://www1.cs.columbia.edu/~salman/publications/cucs-039-04.pdf
Avatar billede halvamatoer Nybegynder
18. september 2005 - 17:47 #12
Det er jo egentligt interessant. Gad vide hvor meget det forbruger.
Sæt nu man havde afregnings bredbånd
Avatar billede ahave Nybegynder
20. september 2005 - 00:16 #13
Jeg har nu ikke lagt mærke til nogen særlig trafik i de perioder hvor jeg har haft offentlig ipadresse. Jeg har et down/upload meter til at køre hele tiden: http://www.dumeter.com/. Hvis jeg havde mere forstand på det, kunne jeg nok komme med en forklaring, der havde noget med henvisninger at gøre, men det har jeg ikke.

Jeg kan bestemt ikke forestille mig at båndbredden vil blive særligt påvirket af det. Lad mig trække msn frem igen eller aol, yahoo, icq osv. Det ville jo kræve en båndbredde af gigantiske proportioner når så mange bruger msn med samtaler, video og filoverførsler skulle interagere, med så mange brugere...

Så løsningen er sikkert meget mere simpel.
/ahave
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Hvorfor nævnes VPN beskyttelse aldrig af eksperter? Af jcr18 i Andet sikkerhed 11 01/03/202419:47 04/03/202411:25
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
I går 14:28 Telenor og Iphone skal genstarte ofte Af Carpathia i Mobilnetværk
I går 13:47 Kan man sælge et ApS Af LHans i Fri debat
White papers
Flere white papers »


Premium
Teaser billede
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Læs mere »
Halter mange år bagefter: Sløve software-udviklere står i vejen for kæmpe digitalt løft af Billund Lufthavn
Disse 10 it-virksomheder klarer sig bedst i Computerworlds store image-undersøgelse
Rejsekort skal aflevere fuld redegørelse om brug af GPS-data i Rejsekort-appen inden for få uger: Datatilsynet åbner sag
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Dansk-stiftet ingeniørfirma blev franarret 178 millioner kroner i deepfake-svindel
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
Kontorer er ofte øde og tomme - især efter frokost og op til ferier: Nu vil Dell give de ansatte farve-stempler efter deres fremmøde
Se alle »
White paper
Teaser billede
Sådan gør du: Elektronisk dokumentudveksling i praksis
Læs mere »
Guide: Sådan udvikler du en moderne netværksstrategi
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »