Σχετικά με επιθεση Denial of Service...

[vgiozo]

Δέχθηκα DDos attack σήμερα το βράδυ...

Το Κασπρεσκυ αντιχάκερ ανέφερε την επίθεση κι ότι απωθήθηκε, αλλά στη συνέχεια δεν μπορούσα να μπώ νετ καθολου, αν και δεν ξέρω μήπως έφταιγε το πρόγραμμα που μπλόκαρε κάθε κίνηση με το δίκτυο...

έπειτα στην επανεκκίνηση, μου έβγαλε ένα μήνυμα ότι το αρχείο svchost άλλαξε και με ρώτησε αν επιβεβαιώνω την αλλαγή...πάτησα όχι, και το μηχάνημα έβγαλε μπλε οθόνη κι επανεκκινησε...

Τίποτε περίεργο μεχρι στιγμής, πέραν της ακολουθης καταχώρησης sbss.exe στη registry...

HKEY_USERS\S-1-5-21-1004336348-1229272821-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603

Υπάρχει κι η ακόλουθη αναφορά λάθους..(εικόνα)

Υποτίθεται το sbss.exe είναι adware της sidebyside, αλλά εμένα δεν μου εμφανίζεται στον φάκελο προγραμμάτων υποκατάλογος με το όνομα sbss, ούτε κάποιο άλλο αρχείο μ' αυτο το όνομα, αλλά παρόλαυτά ανησυχώ μήπως πρόκεται για κατι σχετικό...είναι και στο Κλειδί search assistant...

Το lavasof adaware δεν βρήκε τίποτα στο σύστημα, ούτε το Κασπερσκυ βρήκε κάποιον ιό...τί λέτε να δοκιμάσω για ασφάλεια;;

[bleo8onhs]

Πόσταρε το log του Κασπρεσκυ.

[vgiozo]

Περίεργη υπόθεση το log του Κασπέρσκυ..

...το αντιικό πρόγραμμα δεν αναφέρει τίποτε και το firewall μόνο το εξής:

"Your computer has been attacked. DDos (denied servicing). The attack has been successfully repulsed"

[vgiozo]

Έχει κανείς άλλος την αναφορα στη registry του αρχείου sbss.exe;;

Αν δεν σας έκανε κόπο να κάνετε μια αναζήτηση στο reg, θα ήμουν υπόχρεος...

[astrolabos]

Το έψαξα και δε βρήκα τίποτα.

[vgiozo]

Ευχαριστώ...έσβησα κι εγώ την αναφορά στο εν λόγω αρχείο...

...Αναφορά στη reg για sidebyside εχετε;;

Εμένα έχει την εξής αναφορά

HKEY_USERS\S-1-5-21-1004336348-1229272821-839522115-1003_Classes\Software\Microsoft\Windows\CurrentVersion\Deployment\SideBySide

Εγκατέστησα χθες και το ΝΕτ framework 2.0...δεν ξέρω αν έχει κάποια σχέση...να δοκιμάσω να το βγάλω μήπως;;;

[astrolabos]

Εγώ έχω αρκετές:

HKEY_CLASSES_ROOT\CLSID\{2933BF90-7B36-11d2-B20E-00C04F983E60}\SideBySide

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2933BF90-7B36-11d2-B20E-00C04F983E60}\SideBySide

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\SideBySide

Όπως και αυτό

Υπηρεσία αφαιρούμενων μέσων αποθήκευσης

yukonwxp

WZCSVC

Workstation

Windows Update Agent

Windows Script Host

Windows Installer 3.1

Windows File Protection

Win32k

W32Time

VolSnap

viasraid

viaide

VgaSave

USER32

UPS

ultra

udfs

toside

TermServSessDir

TermService

TermServDevices

TermDD

tdi

TCPMon

Tcpip

System Error

sym_u3

sym_hi

symc8xx

symc810

StillImage

SSDPSRV

Srv

srservice

sr

sparrow

sndblst

Simbad

SideBySide

sfloppy

...κτλ

[vgiozo]

Μάλιστα, οπότε δεν πιστεύω πως σχετίζεται με την επίθεση...

...πάντως μου έβγαλε Bsod δυο φορές κατά την εκκίνηση σήμερα κι άλλη μια φορά όταν άνοιξα το bitcomet...

Δεν ξέρω πως να το εξηγήσω...τώρα είναι μια χαρά και κατεβάζω απο eMule...έχω σαρώσει με το Κασπέρσκυ άλλες δυο φορές τον σκληρό δίσκο δεν βρήκε τίποτε...

..το Kapsersky Antihacker δεν ξέρω πόσο καλά τα πάει ως προς την ασφάλεια, αλλά δεν επιβαρύνει καθόλου τους πόρους του συστήματος ούτε φαίνεται να καθυστερεί καθόλου τη δικτυακή κίνηση...

...αν και μετά απ' αυτό ψήνομαι να βάλω το Outpost Pro 3...είχα το Look'n'Stop για αρκετό καιρό, αλλά δεν μου είχε βγάλει την παραμικρή ειδοποίηση, όταν άλλα firewall όταν κατε΄βαζα συνέχεια, με ενημερώναν συχνά για μικροεπιθεσεις...το sygate αν και μ' αρέσει πολύ μου φαίνεται έχει μείνει λίγο πίσω, είναι και βαρύ..

[---Zapotek--]

Δεν ηταν DoS...

Απλα ενα malware που προσπαθουσε να ανταλαξει πληροφοριες με τον server του.

Τουλαχιστον ετσι πιστευω.

Βαλε sniffer και δες με ποιον server προσπαθησε να εποικοινωνησει.

Βαλε και ενα sysloger να δεις τι πληροφοριες συλεγει το malware, και καρφωσε τους στις αρχες...

[vgiozo]

Τί είναι το sniffer;;

Πώς θα κάνω όλα αυτά που λες;;

Ποιό είναι το malware όμως μιας και δεν βλέπω τίποτε περίεργο στη λιστα των υπηρεσιών που τρέχουν...

Υπάρχει τρόπος να γράψω πάνω στα αρχεία svchost.exe, σε περίπτωση που έχουν μολυνθεί, τα ίδια αλλά "καθαρά";;

Το λέω τώρα αυτό αναλογιζόμενος το μήνυμα που μου έβγαλε στην αρχή το Kaspersky...

[astrolabos]

κοίτα αν σου έχει αλλαχθεί το αρχείο hosts που είναι στο /windows/system32/drivers/etc

[vgiozo]

Πώς να έχει αλλαχθεί, με κάποια επιπλέον κατάληξη ή το όνομά του;;

όχι, απ' ό,τι βλέπω...last modified 23 August 2001...

Στον ίδιο φάκελο υπάρχουν και τα lmhosts.sam, networks, protocol, services...

[astrolabos]

Τα περιεχόμενά του. Κάνε δεξί κλίκ->άνοιγμα και επέλεξε να το δείς με το notepad. Κοίτα άν έχει κάτι διαφορετικό εκτός από αυτό:

127.0.0.1 localhost

[vgiozo]

# Copyright © 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Οπότε μάλλον δεν υπάρχει πρόβλημα...

[astrolabos]

Ναι, αγαπημένη ασχολία των spyware, malware και άλλων δημοκρατικών δυνάμεων είναι με το που πατήσουν "πόδι" στο pc ξενιστή, να πάνε να μπαχαλέψουν το hosts. Κάνε ενα τσεκάρισμα και στο Downloaded Program Files για "ύποπτα" αρχεία (δεξί κλίκ ->ιδιότητες και κοιτάς το url που έχει εκει) και είσαι μάλλον οκ.

[vgiozo]

όλα παστρικά, δεν βλέπω τίποτε ανησυχητικό προς το παρόν...ελπίζω να μην ξαναβγάλει μπλέ οθόνη γιατί μάλλον θα σημαίνει ότι δεν ξεμπλέξαμε...

[astrolabos]

Όταν και αν σου ξαναβγάλει μπλέ οθόνη, σημείωσε το αναγνωριστικό λάθους (π.χ. 0x0000007D) καθώς και το αρχείο που θα σου εμφανίσει στο κάτω μέρος της οθονης ως τον υπαίτιο του λάθους και πόσταρέ τα εδώ να δούμε τι παίζει.

[vgiozo]

Δυστυχώς αντιμετώπισα ξανά πρόβλημα...

..το παθαίνει όποτε θέλει, χωρίς κάποιο φανερό λόγο...το αναγνωριστικό λάθους που μου έβγαλε πάντως είναι το εξής:

STOP: 0x0000007E (0x0000005, 0xB82FB8D4, 0xF78E2BE8, 0xF78E28E4)

HTTP.sys - Adress B82FB8D4 base at B82EA000, Date Stamp 41672774

...Τί σημαίνει αυτό;; Γνωρίζει κανείς πώς μπορώ να το διορθώσω;;

[vgiozo]

Μου το ξανάβγαλε μετά απο μια επανεκκίνηση...

όταν ξεκινουσε έπειτα το υπολογιστής είχα μπλοκ στο PeerGuardian στην παραπάνω διεύθυνση ip, χωρίς να έχω τρέξει πριν κάποιο p2p πρόγραμμα, που συμβαίνει πολλές φορε΄ς να προσπαθούν να συνδεθούν στον υπολογιστή άλλοι χρήστες, ακόμη κι αφου κλείσει το πρόγραμμα...

Λέτε να σχετίζεται με τον "δράστη";;

Με το μπλε χρώμα σημαίνονται οι συνδέσεις Http...στη συγκεκριμένη περίπτωση source ήταν ο υπολογιστής μου...

[astrolabos]

Για δες αυτό:

12/3/2004 HTTP Bug in Windows XP Service Pack 2

Microsoft says that a bug in Http.sys may cause either Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 or Windows Server 2003 to crash. You may get this error message

Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)

This will happen if you have TDI filter drivers installed (these typically come with antivirus or firewall programs) and these drivers respond with STATUS_PENDING to particular TDI input/output requests. Microsoft has a hotfix available for download for Windows XP Service Pack 2. Get it at http://support.microsoft.com/?kbid=887742