Problem z atakami sieciowymi-Skanowanie portów


(Mario C) #1

Witam mam problem mianowicie od pół godz. pracy komputera KIS wykryło może już do tej pory z 8 ataków.np 2007-07-04 15:12 Proces (PID 1676) próbował uzyskać dostęp do procesu (PID 1692) aplikacji Kaspersky Internet Security, ale działanie zostało zablokowane przez autoochronę aplikacji. Nie jest konieczne podejmowanie żadnych dodatkowych działań.

Screen

0178fa692aafa652m.jpg

dołączam loga HJT

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:21, on 2007-09-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Thoosje Sidebar V2.0\Thoosje Sidebar .exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Miranda IM\miranda32.exe

C:\Program Files\JetAudio\JetAudio.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Thoosje Sidebar .lnk = C:\Program Files\Thoosje Sidebar V2.0\Thoosje Sidebar .exe

O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 3326 bytes

. Dodam jeszcze że użyłem Windows Worms Doors Cleaner i wszystko jest niby OK. Za pomoc dziękuję z góry


(adam9870) #2

Log czysty.

Co do Kasperskiego - produkty Kasperskiego mają to do siebie, że informują o zablokowaniu jakiś ataków bądź/i skanowaniu portów. Nikt nie wie czy jest to tylko "papka marketingowa" mająca na celu pokazanie skuteczności programu czy rzeczywiście tak się dzieje. Proponuję zatem albo nie przejmować się pojawiającymi się tego typu alertami bądź poszukać w opcjach programu funkcji pozwalającej na wyłączenie w informowaniu o zablokowaniu ataków.

Ponadto proponuję pozamykać porty robakom. Dzięki temu zmniejszysz ryzyko infekcji. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.


(Mario C) #3

Już go wcześniej użyłem i pozamykałem porty. Czyli mam się nie przejmować powiadomieniem. Dzięki adam9870 i pozdrawiam