Just nu i M3-nätverket
Jump to content

Är detta känt?


Hakinger

Recommended Posts

Helt plötsligt varnar min Sygate PF att Nortons antivirus Liveupdateengine (Lucomserver.exe) att den vill kontakta www.casinoonnet.com på port 80. Jag har beökt den sidan igår när jag kollade upp pyramidspelet WGI.

 

Om jag med mina begränsade kunskaper skulle göra en gissning, så har den hemsidan lägt in nån kod nånstans så att Liveupdateengine kontaktar den sidan av nån anledning.

Är min gissning rätt? För Liveupdateengine ska, vad jag förstår, endast kontakta symantec för att kolla om nya deffar kommit. Var ska jag leta för att få bort såna dumheter?

 

File Version : 1.63.12.0

File Description : LiveUpdate Engine COM Module

File Path : C:\Program Files\Symantec\LiveUpdate\LuComServer.EXE

Process ID : B74 (Heximal) 2932 (Decimal)

 

Connection origin : local initiated

Protocol : TCP

Local Address : 212.181.171.105

Local Port : 3640

Remote Name : www.casinoonnet.com

Remote Address : 130.242.56.238

Remote Port : 80 (HTTP - World Wide Web)

 

Ethernet packet details:

Ethernet II (Packet Length: 62)

Destination: 00-02-a5-60-60-2e

Source: 00-00-21-e3-98-b5

Type: IP (0x0800)

Internet Protocol

Version: 4

Header Length: 20 bytes

Flags:

.1.. = Don't fragment: Set

..0. = More fragments: Not set

Fragment offset:0

Time to live: 64

Protocol: 0x6 (TCP - Transmission Control Protocol)

Header checksum: 0x8d8f (Correct)

Source: 212.181.171.105

Destination: 130.242.56.238

Transmission Control Protocol (TCP)

Source port: 3640

Destination port: 80

Sequence number: 1811790762

Acknowledgment number: 0

Header length: 28

Flags:

0... .... = Congestion Window Reduce (CWR): Not set

.0.. .... = ECN-Echo: Not set

..0. .... = Urgent: Not set

...0 .... = Acknowledgment: Not set

.... 0... = Push: Not set

.... .0.. = Reset: Not set

.... ..1. = Syn: Set

.... ...0 = Fin: Not set

Checksum: 0xefd0 (Correct)

Data (0 Bytes)

 

Binary dump of the packet:

0000: 00 02 A5 60 60 2E 00 00 : 21 E3 98 B5 08 00 45 00 | ...``...!.....E.

0010: 00 30 6F 3B 40 00 40 06 : 8F 8D D4 B5 AB 69 82 F2 | .0o;@.@......i..

0020: 38 EE 0E 38 00 50 6B FD : BB AA 00 00 00 00 70 02 | 8..8.Pk.......p.

0030: 40 00 D0 EF 00 00 02 04 : 05 B4 01 01 04 02 | @.............

[inlägget ändrat 2002-11-22 20:13:13 av Pentti H]

Link to comment
Share on other sites

Stefan Eklinder

Om din gissning är rätt vet jag inte, men den ser ju rätt ut. I alla fall när man ser det du kopierat in i ditt inlägg.

 

Jag skulle nog installera om NAV om jag vore dig. Plocka bort rubbet och installera om det igen. Finns kanske enklare sätt...

 

 

---

/Stefan Eklinder

 

If you can’t make it, fake it.

 

 

 

Link to comment
Share on other sites

Vad händer om du kör LiveUpdate manuellt?

Det har jag gjort i dag och fått nya virusdefinitioner (021121). I går kom som varje onsdag/torsdag natt också nya (021120).

Ganska ovanligt att uppdatering kommer dagen efter de rutinmässiga.

 

/Max

 

Link to comment
Share on other sites

Vad händer om du kör LiveUpdate manuellt?

Då kontaktar den Symantec, precis som den ska. Men när jag kör Liveupdate en gång till, då varnar Sygate att Liveupdate vill kontakta Casinoonnet. Tur att Sygate gör sitt jobb iaf.

 

Det som gör mig orolig är att det är nån kod som använder Liveupdate-programmet för att kontakta ställen den inte ska. Det borde ju vara ett säkerhetshål vetja. Har kollat lite hos symantec, men inte sett nåt, men det behöver kanske inte vara deras fel?

 

Jag har aldrig haft nåt liknande problem med den förut, och jag är tillräckligt paranoid för att hålla stenhård koll på vad som sker :)

Iaf det jag har kunskap om.

Adaware har inte hittat nåt heller.

Och NAV är inställd på Heuristisk avsökning (normal).

 

Får nog göra som Stefan Eklinder föreslår och avinstallera och installera om NAV.

 

[inlägget ändrat 2002-11-22 21:25:42 av Pentti H]

Link to comment
Share on other sites

(Nu är paranojan i full gång)

 

Jag körde en virusscan med Norton antivirus på alla diskar, på slutet låste den sig. Körde en PC-cillin onlinescan som inte hittade nånting.

 

Kollade i taskmanagern och såg att en fil som heter knlwrap.exe låg i minnet, den brukar inte ligga där och själva filen låg i:

c:\program files\commonfiles\installshield\engine\6\intel32

 

Själva intel32-katalogen har skapats idag 14:22 (6-katalogen skapats den 16/11)

 

Kan den ha nåt att göra med att jag igår installerade ett program som heter Startupmonitor, och den installerades med Microsoft Windows Installer engine?

 

 

Link to comment
Share on other sites

HAr samma fil på 2 ställen

c;\program\delade filer\installshield\engine\6\intel 32samt

c:\program\logitech\lmgstudmedia\appinst\kernalUpdate (hör till min digitalkamera)

Verkar vara en installationsfil. Panda Platinum Antivirus klagar inte i alla fall.

 

Charon

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...