1. Dator och IT
  2. IT-säkerhet

Vad är Uninstall265390.exe?

Svara
2006-11-26, 23:36
  #1
The Barr
Medlem
The Barrs avatar
Jag har fått någon mysko process som heter Uninstall265390.exe. Har lagt sig i all users/start-meny/autostart och segar ibland ner systemet som fan. Nyss drog den 100% av cpu'n.

Security task manager säger att det står så här i filen:

Citat:
This program cannot be run in DOS mode.
----------------
ILips
gxyyTOo
MessageBoxA
wsprintfA
WSOCK32.dllpRegSetValueExA
lstrlenA
WriteProcessMemory
WriteFile
ReadFile
OpenFile
LoadLibraryA
GetProcAddress
GetFileSize
GetEnvironmentVariableA
GetCommandLineA
ExitProcess
CreateRemoteThread
CreateProcessA
.data
.text
vsRichvs

Enligt norton försöker den koppla upp sig mot 74.52.122.130,3300 vid systemstart.

Jag hade tidigare och i anslutning till detta en fil som hette uninstall.exe på samma plats.

Varken norton eller avast ser något konstigt med processen. Jag känner på mig att det är något lurt dock.
Citera
2006-11-27, 03:39
  #2
buzifer
Medlem
WriteProcessMemory används för att injicera kod i andra processer som körs. En typisk trojan API allså.

WSOCK32.dllpRegSetValueExA - finns ej dokumenterat. Ändra registervärden remote?

Övriga är för att tex ta reda på storlek och adress till processer som körs, stänga ner och skapa en ny.

ILips
gxyyTOo
vsRichvs

Ser väldigt märkliga ut. Krypterade?

Adressen 74.52.122.13 (82.7a.344a.static.theplanet.com.) Har några portar öppna.

port 22 - SSH, körs en server/klient där.
port 631 - Datagram Protocol


Och porten som den försöker ansluta till från din dator är
UDP port 3300 - Datagram Protocol


Så kommunikation mellan port 631 <-> 3300 ?


Skicka ett mail till abuse@theplanet.com med lite screenshots etc.

Mvh

P.S ville du ha hjälp med något?
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in