CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede king_frusty Nybegynder
08. maj 2006 - 08:17 Der er 22 kommentarer og
1 løsning

MS ASN1 Integer Overflow TCP

Den der besked dukker sometider op i Norton Antiviru programmet
Om at den har stoppet en intruder.
Så i en tidligere tråd  http://www.eksperten.dk/spm/699748?Esession=9715c34e70cf27408c6d4da516c8cb15 at KALP bad om en hijackthis log fil
den vedlægger jeg lige her

Logfile of HijackThis v1.99.1
Scan saved at 08:12:11, on 08-05-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\Analog Devices\SoundMAX\Smax4.exe
C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Absolut Kun For Os\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.intel.com/support/chipsets/inf/chipsetid.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\Tilbehør\Rip\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [updateMgr] C:\Programmer\Tilbehør\Adobe\Reader\AdobeUpdateManager.exe AcRdB7_0_0 -reboot 1
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\TILBEH~1\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\TILBEH~1\Chat\ICQ\ICQ.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143996572531
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmer\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe


Vil gerne høre om i kan fortælle hvad der er galt og hvad jeg skal gøre for at stoppe / Fjerne det der skaber problemerne på min pc
Endnu engang tak for hjælpen
Avatar billede bufferzone Praktikant
08. maj 2006 - 08:27 #1
Du behøver ikke værevoldsomt bekymret, norton stopper angrebet, men en hijackthis er altiden god ide. De bør man nok gøre jævnligt også selvom der ikke er angreb
Avatar billede forevernewbie Nybegynder
08. maj 2006 - 09:44 #2
Jeg er helt enig med bufferzone. Ingen grund til bekymring. Din log er da også ren.
Avatar billede king_frusty Nybegynder
08. maj 2006 - 11:14 #3
MEN
Hvad er det ? ?
Det dukker RET tit op når jeg er på nettet
RET TIT
Avatar billede bufferzone Praktikant
08. maj 2006 - 12:19 #4
Du kan læse om overflowet her.

http://www.symantec.com/avcenter/attack_sigs/s20409.html

Og da du har en firewall, der stopper det, så har du gjort noget
Avatar billede bufferzone Praktikant
08. maj 2006 - 12:21 #5
Her kan du læse svar til en der har samme problem

http://pcpitstop.invisionzone.com/index.php?showtopic=113133
Avatar billede king_frusty Nybegynder
09. maj 2006 - 17:15 #6
Hmmm
Vil være ked af at sætte hak i den rude hvor man så slipper for at se advarslen igen. Det kan da ikke være meningen, man ved jo så netop IKKE om det rent faktisk lykkes at komme ind på min computer
Avatar billede forevernewbie Nybegynder
09. maj 2006 - 17:26 #7
HVIS den skulle komme ind, så er det fordi den har snydt firewallen, og så ser du ikke nogen advarsel alligevel. Så kan du håbe på, at dit antivirus fanger den. Men den kommer heller ikke ind. Både firewallen og opdateringen fra M$ stopper den.
Avatar billede langbein Nybegynder
10. maj 2006 - 23:24 #8
Fra den forrige tråden:

Attacked IP: THOMAS(212.10.122.94)
Attacked Port: netbios-ssn(139).

Er ikke enig i at dette ser bra ut, hvis det er slik at det er en personal firewall som står som eneste beskyttelse mens det hamres løs mot port 139.

Hvordan kan dette ha seg, normalt så skal jo ikke port 139 være tigjengelig fra internett, ettersom dette jo er en "lan port".

Spørsmål:

1. Hvordan er din PC koplet opp mot internett ? Bruker du en NAT router eller noe slikt. (Trafikken mot port 139 skulle vel normalt ha stanset her.)

2. Kjører det flere PC på det samme lokalnett ? (En mulighet er at det er en annen PC på det samme lan som allerede er infisert og som derfor gjennomfører et automatisert angrep mot den PC som gir det aktuelle varsel.)
Avatar billede forevernewbie Nybegynder
11. maj 2006 - 00:21 #9
Enig, netbios bør være disabled. Du kan tjekke det, og lukke af for det, med dette lille program, som også lukker andre "ormehuller"  http://www.firewallleaktester.com/wwdc.htm

OBS, når du disabler DCOM, så lad være med at lukke port 135, for så virker Windows taskscheduler ikke mere. Programmet fortæller det selv, men læg lige mærke til indstillingen.
Avatar billede king_frusty Nybegynder
13. maj 2006 - 12:20 #10
MEN Taskscheduler, den bruger jeg da vidst ikke til noget somhelst. MEN det er vel nok bare at lukke DCOM som du siger. Prøver det lige når jeg kommer hjem. Send lige et svar i tilfælde af du skal ha point FOREVERNEWBIE
Avatar billede forevernewbie Nybegynder
13. maj 2006 - 13:51 #11
Taskscheduler bliver muligvis brugt af Norton antivirus opdatering, men jeg er ikke sikker.
Avatar billede king_frusty Nybegynder
13. maj 2006 - 20:01 #12
Jeg har en LYNKSYS WRT54G
Efter jeg ahr kørt den der wwdc.exe så blir jeg stadig bombarderet mod port 139 som en sindsyg
HAR dog ikke valgt at TOTAL DISABLE den der hedder NETBIOS da jeg så ikke kan logge på internettet
DEr er stadig port 139 åben , underligt ikke ....eller ???
Avatar billede forevernewbie Nybegynder
13. maj 2006 - 22:25 #13
Okay, hvis du har en router, Norton, og har lukket af med wwdc,så burde der slet ikke være problemer. Du kan lige prøve portscanning her https://www.grc.com/x/ne.dll?bh0bkyd2 klik proceed, og kør testen "all service ports".

Jeg kunne forestille mig, at Norton måske fejlagtigt reagerer på nogle kontrolpakker i din router. Routeren burde ihvertfald ikke tillade et "bombardement", som du taler om.
Avatar billede king_frusty Nybegynder
14. maj 2006 - 20:30 #14
HAr lige fået den her
Security Rule    Default Block HAck 'A' tack Trojan horse
Date              14-05-2006
Time              20:16
Path              N/A
File Name        N/A
Direction        Inbound
Local Adress      192.168.1.101
Local Port        31791
Remote address    220.236.176.157
Remote Port      6580
Protocol          UDP
Avatar billede king_frusty Nybegynder
14. maj 2006 - 20:36 #15
BLIR NU TOTAL Bombarderet med den jeg lige har beskrevet og det er fra forskellige ip's og porte
Avatar billede forevernewbie Nybegynder
14. maj 2006 - 20:50 #16
Den er herfra:

d220-236-176-157.dsl.nsw.optusnet.com.au (220.236.176.157)

220.236.0.0 - 220.239.255.255
OPTUS INTERNET - RETAIL
INTERNET SERVICES
Chatswood, Sydney


Optus Internet
Level 3, 11 Help Street
Chatswood, NSW 2067
+61-2-9027-1127
+61-2-9027-1035
oie-netops@optus.com.au


Din router burde altså fange det der. Kørte du den portscanning her ? https://www.grc.com/x/ne.dll?bh0bkyd2
Avatar billede bufferzone Praktikant
14. maj 2006 - 20:53 #17
Så længe det bkiver blokkeret skal du ikke være nervøs. Det kunne f.eks. være et ormeangreb der har ramt nogle af de maskiner du normalt kommunikerer med.
Avatar billede forevernewbie Nybegynder
14. maj 2006 - 21:02 #18
Jeg er helt enig med bufferzone. At Norton siger at det Hack´a´tack, betyder sikkert kun at den formoder det, pga portnummeret. Den trojaner er ældgammel, og iøvrigt shareware i dag, og findes sikkert ikke "vildt" på nettet mere. Norton firewallens meldinger skal man langtfra altid tage for pålydende. Tag det helt roligt. Den slags angreb sker en gang imellem, og det holder op igen, når de angrebne maskiner bliver renset.
Avatar billede king_frusty Nybegynder
15. maj 2006 - 01:12 #19
Kørte den der portscanning
den viste alle ports var grønne
Men har jo netop ikke noget der skal renses fra min maskine
den der HAck 'A' Tack kom med mindre end 1 sek mellemrum
Avatar billede forevernewbie Nybegynder
15. maj 2006 - 01:51 #20
Din router er perfekt stealth, du har Norton, og har formentligt også alle Windowsopdateringer, og du har lavet en ekstra gardering imod orme, med wwdc. Der er ikke mere du kan gøre. Slå de advarsler fra i Norton, og sov roligt.
Avatar billede langbein Nybegynder
19. maj 2006 - 00:47 #21
"Så længe det bliver blokkeret skal du ikke være nervøs."

Kan ikke si meg helt enig i denne konklusjonen.

Her er det slik som jeg ser det nokså klare indikasjoner på at det allerede har skjedd en infeksjon av en trojan, virus eller en orm (eller flere), og at dette er en situasjon som bør rettes. Vil forsøke å få tid til å komme tilbake med info i morgen. (Hvis det er ønsket.) (Infeksjonen ser ut til å være enten på den aktuelle PC eller en annen PC på LAN. Denne konklusjonen forutsetter at det finnes en gateway router som virkelig kjører i roting mode, og at det ikke dreier seg om en som kjører i bridge mode.)

Dette at det tilsynelatende finnes mange forskjellige avsender ip og porter er vel forholdsvis typisk. Mange slike "dyr" er programmert til å foreta ip spoofing, dvs at det sendes ut en serie ip pakker med falsk og mer eller mindre vilkårlig avsender ip.

Her behøves det nok en sikkerhetssjekk, og sansynligvis også litt påfølgende opprydding.

Du kan forresten gå inn på denne web adressen:  http://www.myip.dk/ Legg ut den ip du kan lese ut her (men du kan godt anonymsere de siste to sifrene.)

Gå der etter inn på dos prompt på PC. Tast "ipconfig" og se hvilken adresse du leser.

Legg også ut denne ip adressen her. Du kan vurdere selv om du synes det er nødvendig å anonymisere de siste to siffrene (Jeg syes ikke det, men det blir sånn sett det samme.)

Hvor mange PC'er kjører det på LAN ?
Avatar billede king_frusty Nybegynder
19. maj 2006 - 12:35 #22
Vil gerne vide mere
da det skete sidst var der kun een tændt pc på lan
MEN skal da lige sige at der ikke har været nogle attack de sidste 3 dage
Avatar billede langbein Nybegynder
19. maj 2006 - 14:10 #23
Hvis det var en infisert maskin så skulle den sånn sett ikke holde opp  ...

Det kan forresten også hende ..

Merker du noe til at PC har blitt mere langsom / at den har blitt tregere enn tidligere ?

(Har vært ute for at alle meldinger har opphørt fra infisert sikkerhetspakke. Det eneste som kunne merkes var at PC ble mere langsom en tidligere. Ved å slå av Firewall pluss virus program og utføre online sikkerhetsskan så viste PC seg å inneholde et hundretalls virus selv om ikke firewall/virusprogram ikke ga et eneste varsel.)

Du kan i alle tilfelle kjøre en online sikkerhetsscan fra Houscall. For at dette skal virke bra så må du stenge ned firewall + virusprogram. (Ettersom en infisert firewall/virusprogram kan forhindre en effektiv sikkerhetsscan og gjemme vekk virus.)

http://housecall.trendmicro.com/
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 18:09 Kan ikke fildele fra PC til PC Af gertLundberg i LAN/WAN
I går 17:33 Facebook kopier en tråd Af clausito i Sociale medier
I går 09:49 Indtogs sejlads : OL i Paris : Hvornår kom Danmark ? Af Ikke-ekspert i Fri debat
I går 03:28 Inkasso som privat? Af lekor adams i Fri debat
26/0723:51 Frossen cursor Af goglov i PC
White papers
Flere white papers »


Premium
Teaser billede
Nordjyske MapsPeople ruster op til opkøb af konkurrenter: "Vi vil vinde det her kapløb"
Læs mere »
Microsoft tager til genmæle: Vores licenspraksis skaber ikke unfair konkurrence
Færre unge studerende på landets it-uddannelser: "Vi afviser dem der, hvor de har lyst til at læse"
Overblik: Sådan forløb årets største databrud - mindst 165 organisationer ramt
Se alle »
Computerworld
Teaser billede
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Læs mere »
Apples spritnye app til kodeord kommer til iOS 18: Sådan virker den
Med SearchGPT har verden fået en spritny søgemaskine: Kan den true Googles dominans?
Apples folde-iPhone tager form: Her er planerne
Se alle »
CIO
Teaser billede
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Læs mere »
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Microsoft kaster milliardbeløb efter nye tiltag til partnerprogrammet: Partnerne kan nu tjene endnu flere penge
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
SASE: Træf det rette valg – første gang
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Opdag fordelene ved cloud-baseret backup og recovery
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »