Skocz do zawartości
WAŻNE - Zasady obowiązujące w dziale Sieci
Nadchodzące zmiany w logowaniu

Dziwne adresy (netstat)

matikolud

Przez matikolud
w Sieci

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Pokaż o które adresy w netstat Ci chodzi. Do sprawdzania połączeń TCP, jaki proces tworzy połączenia, możesz wykorzystać darmowy program TcpLogView.

 

W raportach nie ma żadnych oznak infekcji. Kosmetycznie usuń tylko wpisy odpadkowe. W spoilerze instrukcje:

 

 

 

1. W Google Chrome w Rozszerzeniach odmontuj adware uTorrentControl_v6.

 

2. Otwórz Notatnik i wklej w nim:

 

S2 aaksrv; C:\Windows\system32\aaksrv.exe [x]
CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\mati\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-05-22]
C:\Users\mati\AppData\Local\CRE
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

 

PS. C:\Users\mati\Downloads\OTL_[www.programosy.pl] (1).exe = dlaczego program został pobrany z portalu trzeciego a nie oficjalnego linka? Tu tylko z powodu zaprzestania rozwoju OTL (ostatnia dostępna wersja jest już dość stara) wersja na portalu zgadza się z wersją na serwerze oficjalnym. W przypadku wszystkich innych stale aktualizowanych programów specjalnych portale to ostatnie miejsce do pobierania, gdyż nie są w stanie nadążyć.

 

 

 

 

.

Odnośnik do komentarza
matikolud

matikolud

Opublikowano
  • Autor
Opublikowano

Pokaż o które adresy w netstat Ci chodzi. Do sprawdzania połączeń TCP, jaki proces tworzy połączenia, możesz wykorzystać darmowy program TcpLogView

Witam , nie jednak to ja źle zerknąłem bo nie w te same linijki patrzyłem bo było nasłuchiwanie i przy tym ip , a to nie ta linijka wszędzie mam 0 :P  , a np jeśli wpisuję netstat -a i na samym końcu jest np pc 6489 , 9012 ,9013 i przy tym czas oczekiwania to o co chodzi ? 

 

 

Dziękuję za pomoc .

Pozdrawiam .

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt do FRST w ogóle nie wykonany, całkowicie pusty plik (usuwam). Powtarzaj zadanie: masz wkleić do Notatnika podaną treść, zapisać jako plik fixlist.txt, plik położyć obok FRST, w FRST klik w Fix i przedstawiasz rezultaty.

 

 

Witam , nie jednak to ja źle zerknąłem bo nie w te same linijki patrzyłem bo było nasłuchiwanie i przy tym ip , a to nie ta linijka wszędzie mam 0 :P , a np jeśli wpisuję netstat -a i na samym końcu jest np pc 6489 , 9012 ,9013 i przy tym czas oczekiwania to o co chodzi ?

Opisowo to niedokładne dane. A status CZAS_OCZEKIWANIA / TIME_WAIT - stan oczekiwania po rozłączeniu połączenia. Połączenia nie są zamykane natychmiastowo i wiszą w stanie oczekiwania na ewentualne spóźnione pakiety, a po predefiniowanym czasie braku odpowiedzi są usuwane. Popatrz też do Wiki ("Protocol operation"): KLIK.

 

Przy okazji: netstat -a to krótka forma, netstat -ano podaje także procesy wykonujące połączenia, tylko procesy są pod identyfikatorami PID (trzeba porównać z menedżerem zadań z włączoną kolumną PID), toteż podałam łatwiejsze obsługowo narzędzie TcpLogView (automatycznie identyfikuje proces).

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W logach nie widzę niczego podejrzanego. I nie jestem w stanie nic tu powiedzieć, skoro "raptem po 5 min zaczął znów normalnie śmigać".

 

Przenoszę do działu Sieci. Połączyłam zresztą oba tematy, bo poprzedni również nie był związany ze szkodnikami, tylko krążył wokół interpretacji netstat. Drobne uwagi co do poprzednich akcji:

 

1. Źle zaimportowałam jeden z wpisów via FRST, ucięło końcówkę. Skoryguj to. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Przez SHIFT+DEL skasuj FRST oraz foldery:

 

C:\FRST

C:\Users\mati\Desktop\FRST-OlderVersion

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...