Jump to content
Sign in to follow this  
Followers 0
Muffinman

Filserveren min prøver å hente ned virus !

By Muffinman, in IKT-drift og sikkerhet

Recommended Posts

Muffinman    99

Muffinman
Posted (edited)

Har en maskin som fungerer som filserver i heimen. Den kjører W2K som oppdateres jevnlig, samt AVG antivirus. Videre har jeg Utorrent 1.6 kjørende samt VNC Enterprise for fjernstyring LAN/WAN. Bruker dynamisk DNS.

 

For et par-tre uker siden begynte den å åpne start-kjør av seg selv og prøve seg med diverse lugubre ip-adresser og domenenavn, og å kjøre diverse virus/trojanere på disse stedene. Eksempler er upd.exe og Msconfig2.exe. Begge er virus. Dette skjer utallige ganger i døgnet.

 

Jeg kjørte Firefox når problemet oppstod, men takket være brukerbekreftelsen fikk den aldri hentet ned eller installert noe virus. Jeg trodde først det kunne være et eller annet hull i FF som ble utnyttet, og avinstallerte denne nettleseren. Etter det stod det ingen standard nettleser, og det var like greit for når start-kjør-hent virus popper opp åpnes ingen nettleser. Problemet består altså selv om FF er avinstallert.

 

Maskinen har omtrent ikke vært brukt til surfing.

 

Jeg har kjørt det jeg har funnet av online virus, trojan, spy og malwarescans, og ingenting blir funnet. Videre har jeg selvfølgelig kjørt full scan med AVG, Ad-Aware og Spybot, også uten å finne noe.

 

Nå har jeg restartet routeren og fått ny IP av Telenor, og så vil de neste timene se om det hjelper.

 

Tips til hva dette kan være, og hva jeg eventuelt kan gjøre for å få slutt på det?

Edited by Muffinman

Share this post

Link to post

syar2003    3003

syar2003
Posted
Den kjører VNC Enterprise for fjernstyring LAN/WAN.

 

For et par-tre uker siden begynte den å åpne start-kjør av seg selv 

 

 

Høres ut som noen har tatt seg inn remote på den via VNC .

Share this post

Link to post

JoKr    0

JoKr
Posted (edited)

Scan boxen din grundig med online scanner hvis det er tvil om din AV installasjon.

 

Kaspersky Online scanner

Trend AV + Spyware søk

 

edit:

vnc enterprise logger jo alle pålogginger uansett, så den burde jo gi svar om det var det som var problemet. Hoster du andre tjenester ut mot verden?

evt kjør "netstat" kommandoen og se om pcen din lytter på en port du ikke har godkjent.

Edited by JoKr

Share this post

Link to post

syar2003    3003

syar2003
Posted

Slå av VNC server når du ikke trenger den .

Sammen med dyndns så er det jo åpent .

 

Start menyen åpnes ikke av seg selv av andre virus/trojanere .

Det tyder på at en eksternt fra har hacket seg inn på VNC'en din .

Share this post

Link to post

Muffinman    99

Muffinman
Posted (edited)

Om noen hacket seg inn på VNC kunne de jo veldig enkelt lagt inn viruset selv, men det eneste som skjer er at start-kjør åpnes og at det forsøkes å kjøre noe snusk som ligger på tvilsome steder på veven. Det mislykkes jo i og med at ingen programmer er tilknyttet handlingen (les: ingen standard nettleser). Om man hadde full tilgang via VNC kunne man jo lett fullføre handlingen? Bruker forresten VNC Enterprise med kryptering.

Scan boxen din grundig med online scanner hvis det er tvil om din AV installasjon.
Om du leser det første innlegget ser du at jeg har prøvd omtrent det som er å finne på internett. ;)
Det tyder på at en eksternt fra har hacket seg inn på VNC'en din .
Det er min tanke også, men på hvilken måte? Har man plassert noe i PC`en, eller sitter det en gjøk og gjør dette manuelt 5-7 ganger i døgnet? Det er i så fall veldig mye umake for å få infisert en maskin med virus. Ingen hater meg SÅ mye...
Hoster du andre tjenester ut mot verden?
Kjører Utorrent store deler av døgnet. FTP slås kun på ved behov, og det er svært skjelden.
kjør "netstat" kommandoen og se om pcen din lytter på en port du ikke har godkjent.
Ingenting unormalt der.
Bytt ut AVG mot Avast og velg scan ved neste(første) start, kan hende du har noe som gjemmer seg i boxen...
Har dette virkelig noe for seg når jeg har deepscannet med alle online tjenestene jeg har funnet?
Slå av VNC server når du ikke trenger den .

Sammen med dyndns så er det jo åpent .

Trenger VNC hele tiden. Burken er har kun to kabler tilkoblet; power og LAN. Dessuten Har jeg stort sett filserveren oppe på laptop`en hele dagen via VNC. Men jeg stenger DDNS, det bruker jeg sjeldnere.

 

:hmm:

Edited by Muffinman

Share this post

Link to post

Jarmo    10556

Jarmo
Posted
Bytt ut AVG mot Avast og velg scan ved neste(første) start, kan hende du har noe som gjemmer seg i boxen...
Har dette virkelig noe for seg når jeg har deepscannet med alle online tjenestene jeg har funnet?

6636944[/snapback]

 

Har hjulpet meg mange ganger så det så..

Blir ikke helt det samme som onlinescanning siden avast scanner som i sikkerhetsmodus ved oppstarten, før progs. starter opp.

Share this post

Link to post

JoKr    0

JoKr
Posted

Ok, men sier ikke loggen til vnc om hvem og når de logget på?

Ellers høres det ut som du har fått et simpelt vb script via en nettside, som kanskje blir kjørt i sammen med en process som ikke kan betegnes som virus/trojan/"farlig", det er jo bare simpel vb...

 

Det var de siste tanker jeg klarte å produsere før jeg går og restarter, ble litt seint, så boot tiden blir ikke så lang som jeg hadde håpet, og humor forsvinner etter klokken 12 (faktum).

Share this post

Link to post

backup    2

backup
Posted

Kan høres ut som du har fått en ubuden server, og ja, den kan godt være et vbs-script, men i så fall bør du sjekke om du har wscript.exe i oppgavebehandlingas prosessvindu, fordi da kjører et vbs-script i bakgrunnen. Skulle gjesten alternativt for eksempel være et bat-script, da har du cmd kjørende i prosessvinduet. Både vbs- og bat-filer kan lett konverteres til exe-filer, så derfor bør også sjekke i prosessvinduet om du ser ukjente exe-filer der i tillegg til wscript.exe og cmd.

Share this post

Link to post

Muffinman    99

Muffinman
Posted

Ingen wscript eller cmd å se i prosessvinduet. Har googlet prosessene, og det ser ikke ut som det er noe fremmed som kjører.

 

Problemet har vært fraværende siden i går når jeg fornyet IP samt slo av ddns.

Share this post

Link to post

Muffinman    99

Muffinman
Posted

Hmm...da har vi hatt et tilfelle igjen her...jeg er faktisk fristet til å ta en reinstall og bytte til XP på filserveren. Er bare bekymret for oppetiden...med W2K står burken på uke etter uke, måned etter måned uten problemer...noen som vet om XP greier dette?

Share this post

Link to post

backup    2

backup
Posted

Her er et tips du også kan prøve:

Neste gang det skjer mens det holder på vel at merke, i task managers prosessvindu, klikk cpu overskrifta, og du får øverst i listeboksa prosessene sortert etter cpu. Dobbelklikk så på en av kantene til prosessvinduet, hold så musa nede og trekk prosessvinduet rundt på skjerma. Nå ser du øverst, prosessene som bruker mest cpu og den ubudne gjesta som altså må være aktiv, burde være blant disse, direkte eller indirekte. Dobbelklikk prosesskanten igjen for å få prosessvinduet tilbake til vanlig form.

Share this post

Link to post

JoKr    0

JoKr
Posted
Hmm...da har vi hatt et tilfelle igjen her...jeg er faktisk fristet til å ta en reinstall og bytte til XP på filserveren. Er bare bekymret for oppetiden...med W2K står burken på uke etter uke, måned etter måned uten problemer...noen som vet om XP greier dette?

6645831[/snapback]

 

Jeg har satt opp 2 stk filservere som fungerer som rene lagringsdisker via windows nettverk. Den ene har og en service kjørende mot 2 stk klienter og (toll deklaringsprogramvare).

Oppetid er vel i snitt 200dager.

Share this post

Link to post

Muffinman    99

Muffinman
Posted

Disse kjører XP? Da kan man la seg friste. Bortsett fra at problemet som medførte at jeg startet tråden ser ut til å ha forsvunnet etter omkonfig av ekstern og intern ip samt stenging av dyndns når det ikke trengs.

:)

Share this post

Link to post

JoKr    0

JoKr
Posted
Disse kjører XP?

 

Jupp. Den ene har aldri hatt krasj, Intel entryboard som tikker og går. Har kun hatt vedlikeholds nedetid i forbindelse med installasjon av diverse windows oppgraderinger og litt sånt. Den står i england, så det er ikke det at jeg bare kan gå over hvis den låser seg, så jeg er litt avhengig av stablitet.

Den andre som ikke kjører services, låser seg engang i mellom, men det ser ut til å være dårlig sammensetning av hardware. Men sist jeg var der (1 år siden) så ble et par nye drivere lagt inn sammen med SP2 og den har vel hengt 1 gang siden det.

 

Windows XP er ganske stabilt syns jeg. Har kun opplevd krasj i forbindelse med dårligere 3.parts drivere eller 3.parts program i senere tid (2år). Kanskje jeg bare er heldig?

Share this post

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
Sign in to follow this  
Followers 0
Go To Topic Listing
×
×
  • Create New...