Charon
06.08.15,13:47
Dobrý deň :-)
Pri zbežnom prezeraní logu z firewallu (Outpost firewall) som narazil na, pre mňa, dosť zvláštny záznam.
svchosť.exe sa pripojil na vzdialenú adresu (remote address) - celý log:
14:28:00 SVCHOST.EXE OUT TCP hefra-ap1.mobilatak.net 80 Generic Host Process HTTP connection 0 0 SVCHOST.EXE: 1308
Adresa: hefra-ap1.mobilatak.net je slovenská doména - a to mi bolo divné. Neviem totiž dôvod, prečo by sa mal svchost.exe pripájať na poskytovateľa webu (nemám u spoločnosti nič zaplatené, aktivované, nevyužívam žiadnu jej službu. resp. neviem o tom :-D :-D :-D
Keď píšem tento dotaz, všimol som si podobný log:
13:55:56 HELPPANE.EXE OUT TCP hefra-out.mobilatak.net 80 Microsoft Help and Support HTTP connection 810 1656 HELPPANE.EXE: 5400
iba s tým, že sa na doménu hefra-out.mobilatak.net nepripája svchost,exe ale helppane.exe
Mám stále zapnutý NOD ESET antivírus, a ním som prebehol celé PC, nenašiel nič. Skontroloval som PC BItDefenerom, nič, skúsil som produkt od spoločnosti malwarebytes.org Malwarebtes Anti-Malware - všetko bez jediného nálezu.
Netuším, čo núti tieto programy sa pripájať k tejto adrese. Myslel som, či to nemá súvis s nejakou reklamou (bannerom) v prehliadači. Tieto logy sú však spravené hneď po zapnutí PC a browser ešte nebol spustený.
Vie mi, prosím, niekto poradiť, ako zistiť, čo nadväzuje toto spojenie?
Ďakujem
Charon
Pri zbežnom prezeraní logu z firewallu (Outpost firewall) som narazil na, pre mňa, dosť zvláštny záznam.
svchosť.exe sa pripojil na vzdialenú adresu (remote address) - celý log:
14:28:00 SVCHOST.EXE OUT TCP hefra-ap1.mobilatak.net 80 Generic Host Process HTTP connection 0 0 SVCHOST.EXE: 1308
Adresa: hefra-ap1.mobilatak.net je slovenská doména - a to mi bolo divné. Neviem totiž dôvod, prečo by sa mal svchost.exe pripájať na poskytovateľa webu (nemám u spoločnosti nič zaplatené, aktivované, nevyužívam žiadnu jej službu. resp. neviem o tom :-D :-D :-D
Keď píšem tento dotaz, všimol som si podobný log:
13:55:56 HELPPANE.EXE OUT TCP hefra-out.mobilatak.net 80 Microsoft Help and Support HTTP connection 810 1656 HELPPANE.EXE: 5400
iba s tým, že sa na doménu hefra-out.mobilatak.net nepripája svchost,exe ale helppane.exe
Mám stále zapnutý NOD ESET antivírus, a ním som prebehol celé PC, nenašiel nič. Skontroloval som PC BItDefenerom, nič, skúsil som produkt od spoločnosti malwarebytes.org Malwarebtes Anti-Malware - všetko bez jediného nálezu.
Netuším, čo núti tieto programy sa pripájať k tejto adrese. Myslel som, či to nemá súvis s nejakou reklamou (bannerom) v prehliadači. Tieto logy sú však spravené hneď po zapnutí PC a browser ešte nebol spustený.
Vie mi, prosím, niekto poradiť, ako zistiť, čo nadväzuje toto spojenie?
Ďakujem
Charon
misoft
06.08.15,15:27
Nemáš niečo spoločné so Slovakia Energotel? Pretože to smeruje k nim....
https://db-ip.com/all/87.244.200
https://www.google.sk/#q=hefra-ap1.mobilatak.net
https://db-ip.com/all/87.244.200
https://www.google.sk/#q=hefra-ap1.mobilatak.net
Charon
06.08.15,16:10
Nie. Nemám. Viem, že to smeruje na nich. Síce robím v energetike, ale snáď to nebude nejaký Trojan z firmy. Neviem prísť na to,, čo to prepojenie vytvorí :(
mirko70
07.08.15,21:01
Zdravím,Nie som si celkom istý,zaujal ma príkaz helppane,čo som našiel na viacerých forach. Neviem anglicky ale ak som tomu rozumel,má to do činenia s firewallom,vzdialeným prístupom a nejakým bezpečnostnym ohrozením v prehliadači,takže je možné,že sa vám tam dostal nejaký červík z pochybnej vyskakovacej reklamy na stránkach. Na takéto veci používam RogueKiller,program,ktrorý nájde zabudnutý reťazec v registroch a inú háved.
misoft
08.08.15,10:48
Dobrá pripomienka.... asi to bude riadna stonožka....:D
mexico
09.08.15,20:02
Este skus staihnut program ProcessExplorer (priamo od microsoftu https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx ) ten je nieco ako nahrada task managera. Vie pekne vypisat strom spustenych programov , aj s umiestnenim - takto mozno skor zistis ktory program konkretne sa pripaja
Charon
10.08.15,15:29
@mirko70 - mám prebehnuté PC snáď so všetkým. Skúsim ešte Váš typ. Nič mi nevyskakuje, žiadne reklamy mi nenabiehajú. Nič. To je na tom to divné. Nič, iba hlásenie firewallu.
Charon
10.08.15,15:32
@mexico. Ďakujem - PE používam roky. Problém je v tom, že samotné pripojenie trvá 2- 3 sekundy, odošle cca do 1k dát a vypne sa. Musel by som mať (lovím ho) šťastie aby som ho zasekol. Raz sa mi podarilo ho zachytiť, ale medzi kopou procesov, nebol žiaden zvláštny.
mirko70
10.08.15,19:13
Tie potvory sa vedia pekne maskovať za nevinné procesy. Zachranou býva ešte Kaspersky rescue disk. Výhodou tohto je,že sa nemajú začo schovať lebo počítač nepracuje iba samotné DVD,kde to máš napálené.
mirko70
10.08.15,19:15
Našiel som jednu stránku,kde rozoberajú problém s helppane.exe.Používal som iba Google,takže nebol dokonalý preklad. vyzerá to problém,ktorý majú viacerí. https://social.technet.microsoft.com/Forums/windows/en-US/674f9a54-6bd2-4bcf-8ee1-beefc21d4c5c/helppaneexe-automatically-starts-with-windows-7-64bit
Charon
20.08.15,14:11
Ďakujem za typ. Riešil som to priamo cez ESET a Malwarebytes. Bezvýsledne.Mám ešte jeden typ na resetnutie TCP/IP z dieľne MS. Potom skúsim Tvoj typ, Mirko. A následne idem preformátovať HDD a upgrade na Win10. V každom prípade dám vedieť minimálne ako som dopadol :)