ip(1).htm

[Mellanslag1]

Tja!

Jag skulle handla en dyr kamera på www.plusfoto.se

Sidan skall vara seriös. När jag höll på att skriva in mina personuppgifter typ namn och adress osv. Inte mitt personnummer dock.

Så dök detta upp Nätverksattack "ip(1).htm" från mitt virus/brandväggsprogram.

Kan detta vara något farligt eller är det ett sk True false.?

Skickar härmed denna HiJack This-logg till någon som kan tyda denna.

Tack på förhand.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:51, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\Acronis\Schedule2\schedul2.exe
C:\Program\Billionton\Bluetooth-programvara\bin\btwdins.exe
C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program\TRENDM~1\INTERN~2\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\Program\TRENDM~1\INTERN~2\TmPfw.exe
C:\Program\TRENDM~1\INTERN~2\tmproxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program\Trend Micro\Internet Security 2007\pccguide.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\ABIT\uGuru\uGuru.exe
C:\Program\Canon\CAL\CALMAIN.exe
C:\Program\TRENDM~1\INTERN~2\PcScnSrv.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [skyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Program\ABIT\uGuru\uGuru.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Billionton\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program\Delade filer\Acronis\Schedule2\schedul2.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\Billionton\Bluetooth-programvara\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\Program\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware  (PcScnSrv) - Trend Micro Inc. - C:\Program\TRENDM~1\INTERN~2\PcScnSrv.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program\SiSoftware\SiSoftware Sandra Professional Home XII\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program\SiSoftware\SiSoftware Sandra Professional Home XII\RpcSandraSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\Program\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Program\TRENDM~1\INTERN~2\tmproxy.exe

--
End of file - 6494 bytes

[927]

kanske är det webbsidan som vill kolla din ip..

vad står det (för ip) i brandväggloggen?

[Mellanslag1]

Tja!

Jag kan inte hitta någon annan information om denna "trojan" i PC Cillin Internet Security 2007 (mitt virus/brandväggprogram).

Tack för ditt svar förresten.

[927]

oavsett om brandvägg eller antivirusprogram varnar så finns det loggat. brandväggen loggar ju vilket ip som hotet kom ifrån, i vilket fall så stoppades ju filen. kanske finns filen i karnatän, isf va det ju antivirusprogrammet som varna och det håller jag som troligast.

gå in på sidan igen och gör om det du gjorde. det kan ju va så att varningen inte gällde fotosidan

[Mellanslag1]

Tja!

Tack för ditt svar. Jag skall testa sidan igen. Jag återkommer....

Har nu testat sidan flera gånger utan det har har hänt något.

Jag har nu tittat i loggen och sökt på det ip-nummret som finns i loggen, men utan att något vettig dök upp..

Behöver mer hjälp tack.

[927]

har du hittat ett ip nr så va det alltså en varning från brandväggen. varning är egentligen fel ord, snarare ett meddelande att den stoppat ett intrång och sånt här är väldigt vanligt. på de brandväggarna jag haft så har jag stängt av denna notifikation för vissa dagar kan det "varna" flera gånger per dag. det finns ingen poäng i att veta att ip från tex sverige, tyskland eller usa har scannat vissa portar

vilken ip stog i loggen?

[Mellanslag1]

Tja!

Ip-nummret är 61.188.38.13

Det stod också detta i loggen

MS02-039_SQL_SERVER_RESOLUTION_EXPLOIT

Vad jag senare hittade var att detta ip-nummer var på nåt sett svartlistat.

Tack för ditt svar.

Offtopic f-n vad detta SMART är buggit. Det blir inte riktigt som man skriver när man har skickat ett svar. Det blir ett mellanslag mitt i en del ord?

[Cecilia]

61.188.38.13 är en IP-adress i Kina. Det är många i hela världen som tycker det är väldigt kul att försöka hitta en dator som de kan komma över, och då försöker de hitta datorer som inte är ordentligt uppdaterade och därför har säkerhetshål. I just ditt fall så var det någon som försökte använda ett hål in i en databasserver (SQL Server) som täpptes till av Microsoft-uppdateringen MS02-039.

[Mellanslag1]

Tja!

Tack för ditt svar.

Hoppas att jag kan surfa lugnt nu.