Log

Dla specjalistów Bezpieczeństwo
#1 
Logfile of HijackThis v1.97.7

Scan saved at 16:27:44, on 05-04-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\MOUSE\SYSTEM\EM_EXEC.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGWB.DAT

C:\PROGRAM FILES\AVANT BROWSER\IEXPLORE.EXE

C:\MY DOWNLOAD FILES\DOWNLOADED PROGRAMS\ANTITROJAN\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\PROGRAM FILES\AVANT BROWSER\AddToADBlackList.htm

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\PROGRAM FILES\AVANT BROWSER\AddAllToADBlackList.htm

O8 - Extra context menu item: Szukaj - C:\PROGRAM FILES\AVANT BROWSER\Search.htm

O8 - Extra context menu item: Podświetl - C:\PROGRAM FILES\AVANT BROWSER\Highlight.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\PROGRAM FILES\AVANT BROWSER\OpenAllLinks.htm

O9 - Extra button: CooolFtp (HKLM)

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.68.227.10/activex/AxisCamControl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38414.5446296296

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,192.168.0.1

Oraz:

AVG Free Edition 7

pokazuje IEXPLORE.EXE

tu: C:\PROGRA~1\INTERN~1\IEXPLORE.EXE

i tu: C:\Program Files\Internet Explorer\IEXPLORE.EXE

Czy to tak ma być?

Przy przedostatnim skanie było tylko

C:\PROGRA~1\INTERN~1\IEXPLORE.EXE

Proszę o sprawdzenie loga i pomoc. Dziękuję.

#2

wklej loga z najnowszej wersji Hijacka

HijackThis 1.99.1

#3

usun za pomoca hijacka

po usunieciu daj log z nowej wersji hijacka

http://www.klitetools.com/MM/HijackThis.zip

#4 
Logfile of HijackThis v1.99.1

Scan saved at 17:52:20, on 05-04-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\MOUSE\SYSTEM\EM_EXEC.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\PROGRAM FILES\AVANT BROWSER\IEXPLORE.EXE

C:\MY DOWNLOAD FILES\DOWNLOADED PROGRAMS\ANTITROJAN\HIJACKTHIS\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\PROGRAM FILES\AVANT BROWSER\AddToADBlackList.htm

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\PROGRAM FILES\AVANT BROWSER\AddAllToADBlackList.htm

O8 - Extra context menu item: Szukaj - C:\PROGRAM FILES\AVANT BROWSER\Search.htm

O8 - Extra context menu item: Podświetl - C:\PROGRAM FILES\AVANT BROWSER\Highlight.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\PROGRAM FILES\AVANT BROWSER\OpenAllLinks.htm

O9 - Extra button: CooolFtp - {A3DB9FFC-FD35-4bcd-9524-F02500C3E445} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.68.227.10/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,192.168.0.1

Co to jest CooolFtp?

#5

Do wywalenia:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

Co do tego mam wątpliwości, ale raczej do wywalenia. niech koledzy się wypowiedzą:

O9 - Extra button: CooolFtp - {A3DB9FFC-FD35-4bcd-9524-F02500C3E445} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

#6

Wykasuj:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

   	O9 - Extra button: CooolFtp - {A3DB9FFC-FD35-4bcd-9524-F02500C3E445} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL

Jakiś klient FTP. Nie słyszałem o nim. Może być podejrzany. Polecam alternatywnie Total Commandera. A ty instalowałaś CoolFTP?

Wyczyść folder TEMP w katalogu WINDOWS.

#7

tryb awaryjny i usun jeszcze

nastepnie zainstaluj ten program

http://www.dobreprogramy.com/index.php?dz=2&id=657&t=55

nastepnie w/g mnie powinnas usunac to jesli nie znasz:

wyglada to na jakis podrobiony i niepewny program-sprawdz tu

http://tucows.mundofree.com/win2k/preview/143522.html

jesli go nie instalowalas to wywal

#8

Nie.

Znajomy podejrzewa, że “złożył mi wizytę” jakiś cracker. Najbardziej pomógłby reinstall, ale zaginęła mi płyta z Windą, więc sprawdzam i czyszczę system, jak i czym się da.

Bardzo dziękuję za okazaną pomoc :slight_smile:

#9

wiec usun ten program recznie z dysku i bedzie po klopocie

to ostatecznosc

po usunieciu tego co podalismy powyzej masz tu link i sprawdz sobie spokojnie system

http://forum.dobreprogramy.pl/viewtopic.php?t=23036

#10

Jeszcze raz dziękuję za poprzednią pomoc.

BTW, musiało coś być na rzeczy, bo pewnego dnia zalecone do sprawdzania i czyszczenia systemu programy zaczęły wykazywać brak dostępnych w sieci aktualizacji. Po kilkunastu dniach z rzędu zaczęło mnie to niepokoić. Potem padł firewall, kolejny chodził poprawnie bardzo krótko, to samo było z trzecim, dopiero czyszczenie w trybie awaryjnym dało temu radę (mam taką cichą nadzieję).

Założony niedawno firewall ZoneAlarm. Na razie nie padł.

Jednak test na Hackerwatch.org wykazał, że następujące porty są:

Open and Unsecure!

21 (FTP)

This port is not being blocked and there is a program accepting

connections on this port.

Open and Unsecure!

23 (Telnet)

This port is not being blocked and there is a program accepting

connections on this port.

Closed but Unsecure

25 (SMTP Mail Server Port)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Closed but Unsecure

79 (Finger)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Open and Unsecure!

80 (HTTP)

If this computer is not supposed to be acting as a web server you should not have this port open.

Closed but Unsecure

110 (POP3 Mail Server Port)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Closed but Unsecure

139 (Net BIOS)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Closed but Unsecure

143 (IMAP)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Closed but Unsecure

443 (HTTPS)

This port is not being blocked, but there is no program currently

accepting connections on this port.

Test complete.

Reachable ports were found. If these ports were not deliberately left

open, there may be a problem with your firewall operation or

configuration.

Windows Worms Door Closer nie działa pod Windą98 - zamierzam zamknąć porty przy pomocy AnalogX Portbloker.

Czy wszystkie z tych portów mogę zamknąć?

Jak znaleźć w moim systemie programy, które nasłuchują i/lub akceptują połączenia na otwartych obecnie portach?

Podobno portu 80 nie powinnam zamykać/blokować, bo nie będę miała dostępu do netu?