---

Når jeg starter min computer (og i øvrigt af og til), kommer mit
firewall-program med en meddelelse om, at programmet winregs32d.exe
forsøger at
benytte internetforbindelsen. Her er detaljerne fra firewall'en:

File Version :      
File Description :   C:\WINDOWS\system32\Winregs32d.exe
File Path :      C:\WINDOWS\system32\Winregs32d.exe
Process ID :      0x830 (Heximal) 2096 (Decimal)

Connection origin :   remote initiated
Protocol :      TCP
Local Address :    xxx.xxx.xxx.xxx
Local Port :      4602
Remote Name :      trivil.myvnc.com
Remote Address :   64.78.87.110
Remote Port :       3267

Ethernet packet details:
Ethernet II (Packet Length: 77)
   Destination:    00-30-1b-ac-d4-a0
   Source:    00-02-3b-02-70-2e
Type: IP (0x0800)
Internet Protocol
   Version: 4
   Header Length: 20 bytes
   Flags:
      .1.. = Don't fragment: Set
      ..0. = More fragments: Not set
   Fragment offset:0
   Time to live: 110
   Protocol: 0x6 (TCP - Transmission Control Protocol)
   Header checksum: 0x7b8d (Correct)
   Source: 64.78.87.110
   Destination: 83.73.126.116
Transmission Control Protocol (TCP)
   Source port: 3267
   Destination port: 4602
   Sequence number: 2352481999
   Acknowledgment number: 2947422212
   Header length: 20
   Flags:
      0... .... = Congestion Window Reduce (CWR): Not set
      .0.. .... = ECN-Echo: Not set
      ..0. .... = Urgent: Not set
      ...1 .... = Acknowledgment: Set
      .... 1... = Push: Set
      .... .0.. = Reset: Not set
      .... ..0. = Syn: Not set
      .... ...0 = Fin: Not set
   Checksum: 0x1b24 (Correct)
   Data (23 Bytes)

Binary dump of the packet:
0000: 00 30 1B AC D4 A0 00 02 : 3B 02 70 2E 08 00 45 00 | .0......;.p...E.
0010: 00 3F 15 C4 40 00 6E 06 : 8D 7B 40 4E 57 6E 53 49 | .?..@.n..{@NWnSI
0020: 7E 74 0C C3 11 FA 8C 38 : 06 CF AF AE 18 04 50 18 | ~t.....8......P.
0030: F9 47 24 1B 00 00 50 49 : 4E 47 20 3A 69 72 63 2E | .G$...PING :irc.
0040: 73 65 72 76 65 72 2E 33 : 2E 67 72 0D 0A | server.3.gr..


Kender nogle her til programmet og ved, hvad det evt. kan være?

Mvh. Thomas Arildsen

--
Sendt med Operas banebrydende nyhedsgruppe-
og e-postklient: http://www.opera.com/m2/

---

Thomas Arildsen <thomas@fjerndette.arildsen.org> wrote:
> N?r jeg starter min computer (og i ?vrigt af og til), kommer mit
> firewall-program med en meddelelse om, at programmet winregs32d.exe
> fors?ger at
> benytte internetforbindelsen. Her er detaljerne fra firewall'en:
>
> File Version :
> File Description : C:\WINDOWS\system32\Winregs32d.exe
> File Path : C:\WINDOWS\system32\Winregs32d.exe
> Process ID : 0x830 (Heximal) 2096 (Decimal)
>
> Connection origin : remote initiated
> Protocol : TCP
> Local Address : xxx.xxx.xxx.xxx
> Local Port : 4602
> Remote Name : trivil.myvnc.com
> Remote Address : 64.78.87.110
> Remote Port : 3267

I det ene tilfaelde en IRC-server, i det andet noget der kunne ligne
en VNC proxy. Det ser ud som om at du skal tage din maskine af
internettet og reinstallere den.

--
< Keltus> .. now back to reading my /. and compiling my \
l33t gentoo linux which makes it 5000% faster than \
your lame not-even-a-real-OS computer. Uptime: 20000 days, 4 hours

---

Wed, 3 Nov 2004 10:35:59 +0100, Jesper Louis Andersen
<jlouis@miracle.mongers.org> skrev:
>
> I det ene tilfaelde en IRC-server, i det andet noget der kunne ligne
> en VNC proxy. Det ser ud som om at du skal tage din maskine af
> internettet og reinstallere den.
>

Puha, det er jo et ordentligt stykke arbejde. Jeg tror nu lige, jeg vil
se, om jeg ikke kan slippe af med skidtet.
En venlig sjæl har fortalt mig, at subj. er en virus. Der står lidt om den
her, samt et link til et tool, der kan fjerne den:
http://dk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=65668&VName=WORM_RBOT.KV

Mvh. Thomas Arildsen

--
Sendt med Operas banebrydende nyhedsgruppe-
og e-postklient: http://www.opera.com/m2/

---

Thomas Arildsen <thomas@fjerndette.arildsen.org> wrote:
> Wed, 3 Nov 2004 10:35:59 +0100, Jesper Louis Andersen
> <jlouis@miracle.mongers.org> skrev:
>>
>> I det ene tilfaelde en IRC-server, i det andet noget der kunne ligne
>> en VNC proxy. Det ser ud som om at du skal tage din maskine af
>> internettet og reinstallere den.
>>
>
> Puha, det er jo et ordentligt stykke arbejde. Jeg tror nu lige, jeg vil
> se, om jeg ikke kan slippe af med skidtet.
> En venlig sj?l har fortalt mig, at subj. er en virus. Der st?r lidt om den
> her, samt et link til et tool, der kan fjerne den:
> http://dk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=65668&VName=WORM_RBOT.KV

Hvordan er du sikker paa, der ikke er installeret noget andet paa maskinen i
mellemtiden, som programmet ikke fanger? Du har principielt ikke kontrol
over den maskine mere. Du har tabt. Naeste gang maa du vaere mere aarvaagen.

--
< Keltus> .. now back to reading my /. and compiling my \
l33t gentoo linux which makes it 5000% faster than \
your lame not-even-a-real-OS computer. Uptime: 20000 days, 4 hours

---

Tue, 9 Nov 2004 18:55:26 +0100, Jesper Louis Andersen
<jlouis@miracle.mongers.org> skrev:
>
> Hvordan er du sikker paa, der ikke er installeret noget andet paa
> maskinen i
> mellemtiden, som programmet ikke fanger? Du har principielt ikke kontrol
> over den maskine mere. Du har tabt. Naeste gang maa du vaere mere
> aarvaagen.
>

Du har ret, det er simpelthen ikke til at have med at gøre. Nu, hvor jeg
har fået startet maskinen igen idag, er det skrammel der fandme igen! Der
er vist ikke andet at gøre end at ominstallere alt, som du siger.

Mvh. Thomas Arildsen

--
Sendt med Operas banebrydende nyhedsgruppe-
og e-postklient: http://www.opera.com/m2/