Marek Janaszewski (USUN_TO. z adresu!) <USUN_TO.j_marek@gazeta.pl>
napisał(a):
> Witam!
> Obserwowałem na swoim komputerze akcje z dziwnymi połączeniami. Pochodziły
> one z katalogu Temp. Albo coś chciało się aktualizować albo dzieje się coś
> podejrzanego. W każdym razie w tym katalogu była sobie .dll-ka, która za
> pomocą Rundll32.exe prosi o połączenie z dziwny adresem.
> Oto zawartość okienka ostrzeżenia Kerio:
> TCP Connection to customer-reverse-entry.69.59.165.232 [69.59.165.232:80]
> was blocked by rule 'rundll32.exe - Blokada'
> rundll32 C:\DOCUME~1\Marek\USTAWI~1\Temp\wmyisnt.dll,Start 1
> TCP 1033 - 1075 -- 15
> Teraz pytanie, co oznacza ten fikuśny adres DNS:
> customer-reverse-entry.69.59.165.232, zamiast coś ludzkiego.
> Sprawdziłem na przez WhoIs ten adres IP i uzyskałem taką odpowiedź:
> ServePath, LLC, US, San Francisco
> http://www.servepath.com/index.htm
> Dlaczego mój komputer chce się łączyć z San Francisko z firmą, która
> przedstawia się jako "the world's top Internet hub"
> Wygląda to mi na jakąś próbę aktualizacji, niestety wykonana przy użyciu
> RunDll32. Czyli takie procesu wytrychu, co nie sprzyja powstawianiu
> reguł w firewallu.
A to na pewno jest plik jakiegoś Twojego programu? Wygląda na wirusa albo
spyware.
-- Grzegorz Niemirowski, www.grzegorz.net OE PowerTool 3.1.5 http://www.oept.it-faq.pl/ http://www.redf.net/ - alternatywne: shell graficzny, shell tekstowy oraz terminal dla WindowsReceived on Fri Aug 13 01:35:23 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Aug 2004 - 01:42:03 MET DST