Prosím o kontrolu logu. Je to bezpečné?
Aktivnˇ pýipojenˇ
Proto Mˇstnˇ adresa Cizˇ adresa Stav PID
TCP 0.0.0.0:135 0.0.0.0:0 NASLOUCHµNÖ 1268
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- nezn m‚ souź sti --
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
TCP 10.0.0.1:139 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
TCP 127.0.0.1:1026 0.0.0.0:0 NASLOUCHµNÖ 740
[alg.exe]
TCP 127.0.0.1:5152 0.0.0.0:0 NASLOUCHµNÖ 412
[jqs.exe]
TCP 127.0.0.1:30606 0.0.0.0:0 NASLOUCHµNÖ 240
[ekrn.exe]
TCP 10.0.0.1:3730 77.75.73.12:80 NAVµZµNO 240
[ekrn.exe]
TCP 127.0.0.1:3328 127.0.0.1:3329 NAVµZµNO 3816
[firefox.exe]
TCP 127.0.0.1:3329 127.0.0.1:3328 NAVµZµNO 3816
[firefox.exe]
TCP 127.0.0.1:3331 127.0.0.1:3332 NAVµZµNO 3816
[firefox.exe]
TCP 127.0.0.1:3332 127.0.0.1:3331 NAVµZµNO 3816
[firefox.exe]
TCP 127.0.0.1:3729 127.0.0.1:30606 NAVµZµNO 3816
[firefox.exe]
TCP 127.0.0.1:30606 127.0.0.1:3729 NAVµZµNO 240
[ekrn.exe]
TCP 10.0.0.1:1880 193.19.179.26:80 CLOSE_WAIT 240
[ekrn.exe]
TCP 10.0.0.1:2288 95.168.205.43:80 CLOSE_WAIT 240
[ekrn.exe]
TCP 10.0.0.1:3187 95.168.205.43:80 CLOSE_WAIT 240
[ekrn.exe]
TCP 127.0.0.1:5152 127.0.0.1:3630 CLOSE_WAIT 412
[jqs.exe]
TCP 127.0.0.1:44501 127.0.0.1:1148 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2268 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2908 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2138 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1978 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2142 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:3038 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1183 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1832 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:3181 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1648 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2832 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1073 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:3313 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2986 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1756 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2386 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2930 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2530 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:3042 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2882 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2372 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1992 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2710 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2982 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2934 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2263 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:1752 CLOSE_WAIT 812
[Syst‚m]
TCP 127.0.0.1:44501 127.0.0.1:2470 CLOSE_WAIT 812
[Syst‚m]
TCP 10.0.0.1:3698 74.125.87.101:80 TIME_WAIT 0
TCP 127.0.0.1:3697 127.0.0.1:30606 TIME_WAIT 0
TCP 127.0.0.1:30606 127.0.0.1:3725 TIME_WAIT 0
TCP 127.0.0.1:30606 127.0.0.1:3727 TIME_WAIT 0
UDP 0.0.0.0:500 *:* 1024
[lsass.exe]
UDP 0.0.0.0:4500 *:* 1024
[lsass.exe]
UDP 0.0.0.0:445 *:* 4
[Syst‚m]
UDP 10.0.0.1:137 *:* 4
[Syst‚m]
UDP 10.0.0.1:138 *:* 4
[Syst‚m]
UDP 10.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
-- nezn m‚ souź sti --
[svchost.exe]
UDP 10.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
kontrola firewall logu
Moderátor: Moderátoři
Pravidla fóra
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
Re: kontrola firewall logu
Dobrý večer
Přiznám se, že na tento log nejsem zrovna odborník, ale nic vyloženě nebezpečného tam nevidím.
Máte s počítačem nějaký problém?
Přiznám se, že na tento log nejsem zrovna odborník, ale nic vyloženě nebezpečného tam nevidím.
Máte s počítačem nějaký problém?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Vždy před odvirováním počítače zazálohujte důležitá data
Chcete podpořit naše forum? Informace zde
K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Re: kontrola firewall logu
Podle toho vypisu bych odhadl, ze mate nejaky antivirus se sitovym stitem, protoze Vam jdou vsechna spojeni pres localhost. aaa uz to vidim, asi eset???
Jinak tam nic zvlastniho nevidim ... predpokladam, ze 10.0.0.1 je vas druhy pocitac nebo router?
Je tam:
Java pravdepodobne dusledek netovani.
Ty firefoxy jsou take v pohode zadny prioritni port
ekrn.exe - jestli se nepletu, tak to je sitovy stit, pres ktery se teprve leze ven. Btw. nemam rad konfiguraci takto se sitovym stitem, protoze pak na firewallu tezko nastavim nejaka pravidla.
lsass.exe - OK to je nejaky microsofti udelatko, co ma kontrolovat zabezpeceni/nastaveni pocitace ... cert vi co to vlastne znamena, proces je ok, co to sleduje na UDP na 4500 nevim, ale to uz budou nejake systemove veci.
Obecne lze rici (hodne zjednodusene) ... pokud je neco pripojeno na porty vetsi nez 1023 tak by to nemelo vyuzivat zadne sluzby, ktere jsou na privilegovanych portech ... pokud jsou nekde porty mensi nez 1024 tak se podivat co to je ... na pocitacich je vetsinou aktivni (poslouchane) microsofti sdileni portu 135-139 a 445 (tcp a udp).
Nejaky odbornik zde urcite kdyztak upresni.
Jinak tam nic zvlastniho nevidim ... predpokladam, ze 10.0.0.1 je vas druhy pocitac nebo router?
Je tam:
OK - 135 je port pro DCOM, nevim presne co to je (nejake interface, pro RPC, jak je videt i na tech napojenych procesech) ... na netu jsou sahodlouhe diskuse, jestli je to potreba nebo ne .TCP 0.0.0.0:135 0.0.0.0:0 NASLOUCHµNÖ 1268
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
Microsofti sdileni adresaru (to se mi doma povedlo vypnout tak, ze uz to bez reinstalu asi nezapnu )TCP 0.0.0.0:445 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
TCP 10.0.0.1:139 0.0.0.0:0 NASLOUCHµNÖ 4
[Syst‚m]
Proc toto posloucha nevim, asi si to vyzadala nejaka aplikace 1026 neni privilegovany port, takze ok. Alg.exe obstarava komunikaci, hlavne pokud mate zapnute ICS.TCP 127.0.0.1:1026 0.0.0.0:0 NASLOUCHµNÖ 740
[alg.exe]
TCP 127.0.0.1:5152 0.0.0.0:0 NASLOUCHµNÖ 412
[jqs.exe]
Java pravdepodobne dusledek netovani.
Ty firefoxy jsou take v pohode zadny prioritni port
ekrn.exe - jestli se nepletu, tak to je sitovy stit, pres ktery se teprve leze ven. Btw. nemam rad konfiguraci takto se sitovym stitem, protoze pak na firewallu tezko nastavim nejaka pravidla.
lsass.exe - OK to je nejaky microsofti udelatko, co ma kontrolovat zabezpeceni/nastaveni pocitace ... cert vi co to vlastne znamena, proces je ok, co to sleduje na UDP na 4500 nevim, ale to uz budou nejake systemove veci.
Synchronizace casu (jak je vide i na nazvech dllek), ntdll.dll je soubor jadra .UDP 10.0.0.1:123 *:* 1392
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
Systemove veci ... co delaji nevim, pravdepodobne maji co do cineni s nejaky sdilenim pripojeni nebo s routovanim.UDP 10.0.0.1:1900 *:* 1640
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Obecne lze rici (hodne zjednodusene) ... pokud je neco pripojeno na porty vetsi nez 1023 tak by to nemelo vyuzivat zadne sluzby, ktere jsou na privilegovanych portech ... pokud jsou nekde porty mensi nez 1024 tak se podivat co to je ... na pocitacich je vetsinou aktivni (poslouchane) microsofti sdileni portu 135-139 a 445 (tcp a udp).
Nejaky odbornik zde urcite kdyztak upresni.