Någon försöker kapa min dator med NetBus!

[beachhouse]

Hej, kanske finns nån kunnig själ som kan hjälpa mig. Någon försöker kapa min dator med NetBus! Mitt Norton antivirusprogram ger följande info (jag har bytt ut några siffror mot "x":

 

<<<Regel "Default Block Bla Trojan horse" blockerade (DATOR-1(81.225.xx.xxx),1042).

Inkommande UDP-paket

Lokal adress, tjänst är (localhost,1042)

Fjärransluten adress, tjänst är (DATOR-1(81.225.xx.xxx),1042)

Processens namn är "N/A">>>

 

Intrångsförsöken har pågått ca en 10 dagar, finns det något jag kan göra för att spåra det som försöker ta sig in? Kan jag kanske installera något program som gör detta? ...misstänker att det kan vara någon i "bekantskapskretsen" och vill GÄRNA veta vem. Kan jag ha NetBus installerat på datorn eller skulle mitt virusprogram (norton) upptäckt detta? Många frågor och mkt tacksam för hjälp!

[ades_va]

Just NetBus är så gammalt så ditt virusskydd måste nästan ha märkt av det. Antagligen är det nått helt annat

[gein]

Varför tror du att det är NetBus? NetBus standardport är 12345 och inte 1042. Däremot så försöker trojanen BLA att ansluta mot just denna port men om din dator inte är infekterad så är det inget att oroa sig för.

[kydyl]

Tror inte heller det är netbus. Netbus opererar iaf inte som standard på port 1024.

 

välj start -> kör

skriv "cmd" [ENTER]

skriv netstat -ab [ENTER]

 

Kolla om du har någon skum anslutning (antingen som lyssnar eller i värsta fall redan är connected). Eller posta resultatet här om du inte förstår det.

 

EDIT:

Om ovanstående fungerar beror ju på viket OS du kör. Jag bara tog för givet att det var winXP

[beachhouse]

Ops, här är en av de rätta loggarna , står NetBus där... är ju såklart som pokerspelare rädd för att någon ska kunna se min skärm. Vet ej om man kan det med NetBus?

 

Regel "Default Block NetBus Trojan horse" blockerade (201.17.xxx.xx,NetBus(12345)).

Inkommande TCP-anslutning

Lokal adress, tjänst är (81.225.xx.xx,NetBus(12345))

Fjärransluten adress, tjänst är (201.17.xxx.xx,3977)

Processens namn är "N/A"

[ades_va]

skriv netstat -ab [ENTER]

 

Menar du inte -an ?

Hehe, gillar dina "[ENTER]".

Help for Dummies!

[gein]

Men din brandvägg blockerade uppenbarligen anslutningsförsöket så det är iaf inget att oroa sig för. Och att se exakt vem som försöker ansluta till dig blir svårt. Du kan möjligtvis se vilken Internetleverantör det handlar om iaf (http://www.samspade.org/), men att knyta till en specifik person blir svårt.

[kydyl]

skriv netstat -ab [ENTER]

 

Menar du inte -an ?

Hehe, gillar dina "[ENTER]".

Help for Dummies!

 

Nej faktiskt inte -b ger namnet på processen som lyssnar på porten vilket är trevligt att få reda på.

 

hehe, kanske blev lite övertydligt

[beachhouse]

Här är loggen. Förstår inte mycket av detta själv. Tack för snabb hjälp! Återigen pillat dit några "x"

 

 

Microsoft Windows XP [Version 5.1.2600]

© Copyright 1985-2001 Microsoft Corporation

 

C:\Documents and Settings\xxxxxx>netstat -ab

 

Aktiva anslutningar

 

Proto Lokal adress Fjärradress Tillstånd PID

TCP dator-1:epmap dator-1:0 LISTENING 836

c:\windows\system32\WS2_32.dll

C:\WINDOWS\system32\RPCRT4.dll

c:\windows\system32\rpcss.dll

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ADVAPI32.dll

[svchost.exe]

 

TCP dator-1:microsoft-ds dator-1:0 LISTENING 4

[system]

 

TCP dator-1:47492 dator-1:0 LISTENING 1544

[javaw.exe]

 

TCP dator-1:1029 dator-1:0 LISTENING 3144

[alg.exe]

 

TCP dator-1:1030 dator-1:0 LISTENING 1980

[ccApp.exe]

 

TCP dator-1:netbios-ssn dator-1:0 LISTENING 4

[system]

 

TCP dator-1:1176 32.107.xx.xx:http ESTABLISHED 3300

[msnmsgr.exe]

 

TCP dator-1:1218 217.212.xxx.xxx:8002 ESTABLISHED 1544

[javaw.exe]

 

UDP dator-1:4500 *:* 624

[lsass.exe]

 

UDP dator-1:1168 *:* 976

C:\WINDOWS\system32\mswsock.dll

c:\windows\system32\WS2_32.dll

c:\windows\system32\DNSAPI.dll

c:\windows\system32\dnsrslvr.dll

C:\WINDOWS\system32\RPCRT4.dll

-- okända komponenter --

[svchost.exe]

 

UDP dator-1:isakmp *:* 624

[lsass.exe]

 

UDP dator-1:1047 *:* 976

C:\WINDOWS\system32\mswsock.dll

c:\windows\system32\WS2_32.dll

c:\windows\system32\DNSAPI.dll

c:\windows\system32\dnsrslvr.dll

C:\WINDOWS\system32\RPCRT4.dll

[svchost.exe]

 

UDP dator-1:microsoft-ds *:* 4

[system]

 

UDP dator-1:1900 *:* 1032

c:\windows\system32\WS2_32.dll

c:\windows\system32\ssdpsrv.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

UDP dator-1:ntp *:* 904

c:\windows\system32\WS2_32.dll

c:\windows\system32\w32time.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

UDP dator-1:1900 *:* 1032

c:\windows\system32\WS2_32.dll

c:\windows\system32\ssdpsrv.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

UDP dator-1:1207 *:* 3744

[iEXPLORE.EXE]

 

UDP dator-1:1155 *:* 3300

[msnmsgr.exe]

 

UDP dator-1:ntp *:* 904

c:\windows\system32\WS2_32.dll

c:\windows\system32\w32time.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

UDP dator-1:netbios-ns *:* 4

[system]

 

UDP dator-1:netbios-dgm *:* 4

[system]

 

UDP dator-1:1900 *:* 1032

c:\windows\system32\WS2_32.dll

c:\windows\system32\ssdpsrv.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

UDP dator-1:ntp *:* 904

c:\windows\system32\WS2_32.dll

c:\windows\system32\w32time.dll

ntdll.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

 

 

C:\Documents and Settings\xxxxxx>

[gein]

Inga konstigheter alls, du kan slappna av.

[kydyl]

Inga konstigheter alls, du kan slappna av.

 

Precis.

[beachhouse]

Tackar för hypersnabb proffsig hjälp!!!

 

/beachhouse

[Micke_E]

BLA-grejen kan väll mycket väl vara blaster-masken? Vet iofs inte vilken port den går på, men den finns väll fortfarande kvar ute på nätet och försöker hitta nya burkar.