שאלה דחופה :

[pumiforever]

שאלה דחופה :

לפעמים בזמן שאני עובד על המחשב, הסמן של הכבר משתגע. הוא מתחיל לזוז במהירות ללא שליטה, ולפעמים גם מבצע לחיצות ("קליקים") בלי שאני ארצה. זה ממש משגע אותי, בגלל שהעכבר פתאום עף לקצה של המסך ופות איזה קובץ, או שסוגר איזה שהוא חלון. עכשיו הבעייה התחילה עוד מלפני הרבה זמן, ומאז פירמטתי את המחשב, ועכשיו יש לי גם נורטון 2002. האם זה העכבר עצמו או משהו במחשב?

 

[Bender Unit 22]

וזה קורה גם כשאתה לא מחובר?

אם זה קורה רק כשאתה מחובר, זה יכול להיות "עכברוש" (RAT, תוכנית שמאפשרת לאחרים לשלוט מרחוק במחשב שלך). אם זה קורה גם כשאתה לא מחובר, קרוב לודאי שזהו ctfmon.exe, רכיב זיהוי הדיבור של OfficeXP. הדרעק הזה מזהה לפעמים רעשים אקראיים בכניסת המיקרופון שבכרטיס הקול כפקודות להזזת הסמן.

 

[pumiforever]

אוקי :

א) אין לי windows XP ב) אני תמיד מחובר, יש לי כבלים, ככה שזה כנראה זה, מה אני יכול לעשות נגד זה? (להזכירכם, זה התחיל עוד לפני שפירמטתי את המחשב...) בתודה מראש פומי

 

[Bender Unit 22]

אני מדבר על OfficeXP לא על WinXP.

אני עדיין חושב ש- ctfmon.exe הוא החשוד העיקרי. בדוק ב- Task Manager שלך - תוכנית בשם הזה רצה? אם הסתבכת, חפש קובץ בשם הזה בדיסק שלך. אם הוא שם, זה כנראה זה. במקביל, כדאי שתתקין תוכנת Firewall אישית במחשב. רוב התוכנות האלו יזהו כל תוכנית שתנסה להתקשר החוצה לאינטרנט וידווחו לך עליהן. מרשימת התוכנות שמנסה להתקשר אוטומאטית ללא שהפעלת אותן בדקות הראשונות אחרי החיבור (אחרי שאתה מדליק את המחשב, אם אתה מחובר תמיד) אפשר יהיה לנסות ולזהות את העכברוש, אם ישנו.

 

[pumiforever]

אמממ

אין לי קובץ כזה על המחשב... ----------------------------------- איך אני מסיג Firewall? על איזה אתה ממליץ?

 

[Bender Unit 22]

במקום להמליץ, אתן לך

קישור להמלצה של uzi2. אני משתמש ב- Kerio, אבל הבנתי של Sygate קלה יותר לשימוש. אבל הקדמתי את המאוחר - יש בדיקה נוספת שכדאי שתבצע. אנא עקוב אחרי ההוראות במדוייק, ללא קיצורי דרך. אתחל את המחשב. סגור את כל התוכניות שמשתמשות בחיבור לאינטרנט (למשל ICQ). התחבר לאינטרנט (אוטומאטית אצלך, אם הבנתי נכון). פתח חלון Command - לחץ על Start, בחר ב- Run, רשום "command" ולחץ על OK. בחלון שיפתח, רשום את הפקודה "netstat -an" (ללא המרכאות) ולחץ על Enter. העתק את הפלט של הפקודה ושלח אותו לפורום. הפקודה הזו מציגה את כל הפורטים הפתוחים במחשב שלך. מאחר שכל העכברושים פותחים לפחות פורט אחד ורוב התוכנות הלגיטימיות שפותחות פורטים שכאלו סגורות, זיהוי הפורט של העכברוש (אם קיים) לא יהיה מסובך.

 

[pumiforever]

אוקי, זה מה שיצא :

Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 10.64.62.58:11813 192.116.62.135:1025 TIME_WAIT TCP 10.64.62.58:137 0.0.0.0:0 LISTENING TCP 10.64.62.58:138 0.0.0.0:0 LISTENING TCP 10.64.62.58:139 0.0.0.0:0 LISTENING TCP 10.64.62.58:1188 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1197 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1198 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1204 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1205 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1208 205.188.165.121:80 TIME_WAIT TCP 10.64.62.58:1210 205.188.165.121:80 TIME_WAIT TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING TCP 127.0.0.1:1127 0.0.0.0:0 LISTENING *:* UDP 10.64.62.58:137 *:* UDP 10.64.62.58:138 *:* UDP 127.0.0.1:1127 UDP 127.0.0.1:1127 *:*​

מה עכשיו?

 

[Bender Unit 22]

מלמעלה למטה:

פורט 35 הוא ה- DCE Locator service, קרוב לודאי לצורך DHCP. פורט 1025 מרוחק - פורט דינאמי במחשב מרוחק, יכול להיות הכל. אבל אתה מתחבר איתו לספק האינטרנט שלך (נטויז´ן), כך שזה נשמע לגיטימי. 137-139 משמשים ל- NBT (NetBIOS over TCP/IP), את זה אתה רואה בגלל ה- Client for Microsoft Networks. כל הקישורים שמסתיימים ב- 205.188.165.121:80 - לפי השם, זה שרת פרסומות של AOL. השארת במקרה את ה- AIM פתוח? פורט 1025 מקומי - ת´אמת, לא זוכר. ICQ? אננדמה לי ש- IE עושה איתו משהו... בד"כ רואה אותו פתוח. 1027 - לא מכיר. 1127 - גם לא מכיר. השניים האחרונים עשויים להיות חשודים, אבל לצערי (ולצערך

) האשם לא מתוודה מיד. השלב הבא הוא התקנת הפיירוול. פעולה נוספת שתוכל לבצע היא הרצת "netstat -an" כשהתופעה חוזרת על עצמה, נראה אלו קישורים פעילים אפשר לזהות באותו רגע.