heh.pl
Kanał informacyjny Heh.pl


Piątek 29 marca 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Temat

Intruz W Systemie


85.237.188.* napisał:
Mam przypuszczenie, że jakiś haker włamał mi sie do systemu, oto poszlaki:
-Kaspersky w pewnym momencie wykrył próbę połączenia do ftp.republika.pl, podczas surfowania po internecie (bez jakichkolwiek stron związanych z republiką)
-dzisiaj potrzebowałem przełączyć się na drugie konto w systemie, gdy chciałem powrócić na moje wyświetlił mi się komunikat "Twoje konto zostało zablokowane, skontaktuj się z administratorem". Ja zresetowałem kompa a tu w ogóle mojego konta nie było na ekranie logowania (pliki na szczęście zostały)
Mam Windowsa XP nastawionego na automatyczne aktualizacje, chronionego przez Kasperskiego Internet Security 6.0.300 PL aktualizowanego codziennie. Wykonałem pełne skanowanie kasperskim, nic nie wykryło. Potem odpaliłem skaner BitDefendera online też nic nie znalazło. Na koniec poszedł Ad-aware Personal, wywaliło trochę śmieci ale to nic nie dało. Jak się pozbyć nieproszonego gościa?? Załączam loga z Hijacka

KOD

Logfile of HijackThis v1.99.1
Scan saved at 19:39:23, on 2006-07-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\TimeMonitor\TimeMonitor.exe
E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\Program Files\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\PROGRA~1\Speed-X\SpeedX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\BitComet\BitComet.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Marek1\USTAWI~1\Temp\Rar$EX00.234\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Seekmo Search Assistant Helper /fleok=1D8A83A5C5EC177A90B129671DAE25AEF89B78759AEFDC765D7845283B - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - c:\program files\seekmo\seekmohook.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TMLicznik] E:\Program Files\TimeMonitor\TimeMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "E:\Program Files\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SpeedX] E:\PROGRA~1\Speed-X\SpeedX.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - E:\Program Files\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144927552671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153501411953
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


80.55.178.* napisał:
Wrzuć logi na tę stronę: http://www.hijackthis.de/

Pomyślę co musiałbyś zrobić aby tego nieproszonego "gościa" usunąć.
Na każde konto w Windowsie załóż najlepiej hasło (ok. 10 literowe). Windows to taki syf, że domyślnie zawsze pracujesz na koncie, które ma prawa administratora. Naszczęście korzystam z linuksa icon_razz2.gif

Zobacz także czy nie masz rootkita:
1) http://pl.wikipedia.org/wiki/Rootkit
2) http://security.computerworld.pl/news/85231.html

BTW:
CYTAT
jakiś haker włamał mi sie do systemu

raczej nie haker tylko cracker...

85.237.188.* napisał:
Skanowałem już system jakimś antyrootkitem (bodajże HiddenFinder czy coś w tym stylu), ale nic nie znalazł. Wypróbuję jeszcze RootkitRevealera. Do podanych informacji dodam jeszcze, że kaspersky wykrywa co chwilę ataki Intrusion.Win.MSSQL.worm.Helkern! z różnych adresów IP, ale skoro wykrywa to chyba je blokuje, a skoro je blokuje to chyba nie w tym problem. I jeszcze jedno-moje poprzednie konto ni z gruszki ni z pietruszki znowu się pojawiło mur.gif
Co do haseł nie jestem w stanie nic zrobić.Sam co prawda używam bezpiecznego 9-cio literowego hasła z cyframi, ale moja siostra gdzieś ma bezpieczeństwo i mimo moich wielokrotnych próśb odmawia założenia hasła icon_sad2.gif Rejestr jest zabezpieczony, wszystkie usługi zdalnego dostępu itp. wyłączone

Log z RootkitReavelera
KOD

HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx    2006-07-22 11:42    100 bytes    Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\MRUListEx    2006-07-22 11:41    48 bytes    Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40    2006-07-22 11:07    0 bytes    Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41    2006-07-22 11:07    0 bytes    Hidden from Windows API.
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP6\PdmHist\a7c.33D43EA401C6AD72.history\00000000.bak    2006-07-22 11:37    2.85 MB    Hidden from Windows API.
C:\Documents and Settings\Marek\Recent\59432840144571bce441fe.jpg.lnk    2006-07-22 11:37    601 bytes    Hidden from Windows API.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\banPL[1].swf    2006-07-22 11:38    37 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\CIO_czerwiec2006_kampania336x280[1].swf    2006-07-22 11:38    37 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\sarg=[6]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\ad[6].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\sarg=[3]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\sarg=[4]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\ad[3].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\redot[1].gif    2006-07-22 11:38    43 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\sarg=[5]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\sarg=[6]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\96112[1].htm    2006-07-22 11:38    33.90 KB    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\ad[6].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\ppdot[7].js    2006-07-22 11:38    0 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\sarg=[5]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\ad[4].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\ad[5].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\sarg=[4]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\ad[1].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\ad[2].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\banPL[1].swf    2006-07-22 11:19    37 bytes    Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\sarg=[4]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\sarg=[5]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\search[1].htm    2006-07-22 11:37    5.73 KB    Visible in Windows API, directory index, but not in MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[7].js    2006-07-22 11:38    1.49 KB    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[8].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[9].js    2006-07-22 11:38    1.72 KB    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\sarg=[5]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\ad[4].js    2006-07-22 11:38    497 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\sarg=[3]    2006-07-22 11:38    2 bytes    Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\search[1].htm    2006-07-22 11:37    5.72 KB    Visible in Windows API, directory index, but not in MFT.
C:\WINDOWS\Temp\cch~1652c35de.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1652c3abf.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16540a254.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16540a73e.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16557237d.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165572898.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165575963.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165575ec3.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165579203.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16557973e.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558935a.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558986b.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558fe13.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165590320.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655939a1.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165593f0c.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655a33b5.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655add56.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655ae271.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655b0dfc.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1665b4d78.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1665b5976.htp    2006-07-22 11:35    8.00 KB    Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~180314659.htp    2006-07-22 11:37    8.00 KB    Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~180314b14.htp    2006-07-22 11:37    8.00 KB    Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~18f6bce59.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18f6bd45d.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fcdf207.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fcdf69a.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8b035.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8b52c.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8dbc6.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8e0bb.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe975f4.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe97acd.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~1904a2e2d.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~1904a3319.htp    2006-07-22 11:38    8.00 KB    Visible in directory index, but not Windows API or MFT.
D:\z g\dokumenty\CA9KQP13.:Zone.Identifier    2006-07-21 20:04    26 bytes    Hidden from Windows API.
D:\z g\dokumenty\CAR2KRNX.:Zone.Identifier    2006-07-21 20:04    26 bytes    Hidden from Windows API.
D:\z g\dokumenty\CAT8ETPZ.:Zone.Identifier    2006-07-21 20:04    26 bytes    Hidden from Windows API.
D:\z g\dokumenty\CAUR2RQ1.:Zone.Identifier    2006-07-21 20:04    26 bytes    Hidden from Windows API.

Tempa już wyczyściłem, cztery ostatnie pliki też wywalone (musiałem użyć unlockera), co zrobić z resztą?

PS Ja też używam linuxa, ale jestem w tym systemie jeszcze początkujący, więc niektóre czynności muszę wykonywać na Winshicie

80.55.178.* napisał:
Hellkern'ami bym się nie przejmował. Cytat z jednego forum:

CYTAT
Do wszystkich z Helkernem: w tej sprawie nic zrobić nie możecie poza posiadaniem uaktualnionego Windows z firewallem + AV. Ataki są normą w sieci = firewall je blokuje = OK = ataki nie znikną z sieci bo to zjawisko niezależne od WAS = aby się nie denerwować można tylko wyłączyć komunikat o zawiadamianiu o ataku

Oczywiście mając router ze sprzętowym firewallem te ataki zostaną "odbite" tak iż nie dojdzie to do wiedzy firewalla typu software (Kasper, Zone etc.) ale atak nadal będzie miał miejsce choć pozornie niby nic nikt nie zobaczy.

Powtarzam: zostawiacie to w spokoju i tyle. Jest blokowane.


Linki:
1) http://www.cdrlab.pl/forum/showthread.php?t=2726
2) http://www.searchengines.pl/phpbb203/index.php?showtopic=35155

Ja nie mam takich komunikatów gdyż mam swój serwer, który blokuje tego typu robale.
Jeżeli siostra nie chce mieć hasła na swoim koncie to moża trochę zmniejszyć prawa dostępu do niektórych katalogów. Lub można jej powiedzieć, że wszystkie prywatne rzeczy typu hasła do poczty, na GG itp będą trafiały do komputera crackera, chyba że zabezpieczy konto hasłem icon_biggrin3.gif .
(Znając system Winsyf to i tak hasła nie pomogą ale to się wytnie icon_biggrin3.gif )

Mam takie małe pytanko: Masz neostradę czy może jesteś w sieci lokalnej za serwerem?

***DODANE***
jeszcze jedno: czy umiesz zobaczyć na jakim porcie łączy się z Tobą cracker (chodzi o Hellkern. Chyba powinno tam pisać. W logach Kaspra itp.) ?

85.237.188.* napisał:
Ad 1
Mam neta z kablówki z publicznym IP
http://www.tkchopin.pl
Ad 2
Port 1434
Wyczytałem na stronie tepsy ostrzeżenie przed W32.SQLExp.Worm wykorzystującym ten port, ale ściągnąłem removal tool symanteca i nic nie znalazł.

Mam pytanko, co zrobić z tymi wpisami w rejestrze? Można je bezpiecznie usunąć?

80.55.178.* napisał:
Co do portu (ale chyba to już czytałeś) :

CYTAT
W ostatnim okresie zauważono wzmożoną aktywność robaka internetowego W32.SQLExp.Worm (znany również jako SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee] ). Atakuje systemy, na których uruchomione są Microsoft SQL Server 2000 oraz Microsoft Desktop Engine (MSDE) 2000. Robak generuje przypadkowe adresy IP (używa Funkcji API "GetTickCount") do których rozsyła (UDP port 1434) 376 bajtowe pakiety zawierające poniższy ciąg:
"h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" and "toQhsend".
W32.SQLExp.Worm nie posiada funkcji destrukcyjnych.

Zalecane działania:
Ściągnięcie narzędzia usuwającego robaka "W32.SQLExp.Worm Removal Tool" ze strony Symantec'a:
http://securityresponse.symantec.com/avcenter/
venc/data/w32.sqlexp.worm.removal.tool.html

Blokada UDP port 1434 na wszystkich możliwych firewall'ach.


Tak jak wyżej. Proponuje zamknąć całkowicie port UDP 1434.
********
Co do wpisów w rejestrze - chodzi Ci o wpisy, które są zapisane w logu (pierwszy Twój post)? Na te pytanie trudno mi jest odpowiedzieć gdyż nie wiem jak na ich brak zareaguje Windows. Nie wiem także jaki program dokonał takich wpisów. Czy to ten cracker czy po prostu zwykły program.
********
Czy oprócz informacji o Hellkernach pojawiają się także inne ? jeżeli nie to bardzo możliwe, że w ogóle nie było włamania do Twojego komputera. Była jedynie próba włamania lecz nie udana.

***DODANE***
Aha. Może to już zrobiłeś ale przypomnę: najlepiej zmienić nazwę głównego konta w Windowsie "Administrator" i założyć na niego także hasło icon_smile3.gif

85.237.188.* napisał:
Hmm skoro kasper wykrywa te ataki to chyba je blokuje, a skoro blokuje, to nie tędy wszedł włamywacz. Poza tym te próby idą z dziesiątków różnych IP, wątpię, aby chciało mu się tak często zmieniać proxy. Poza tym
CYTAT
W32.SQLExp.Worm nie posiada funkcji destrukcyjnych
Na wszelki wypadek port 1434 jednak zamknąłem. Że ktoś się do mnie włamał jestem pewien-jak inaczej wyjaśnić objawy w pierwszym poście? Co do tych wpisów rejestru to chodziło mi o te z drugiego loga-te wykryte przez Rootkitreavelera. Co do konta administratora to już jest od dawna zablokowane.

80.55.178.* napisał:
a nie ma takiego programu (możliwe że taką funkcję posiada firewall), który pokazuje z jakimi numerami IP ustanowione jest połączenie ?
W linuksie mam firewall "Firestarter". Bez problemu idzie wykryć z jakim numerem IP aktualnie się łączę (chodzi o udane połączenie), przez jaki port i przez jaką usługę (czy to SSH, czy HTTP). Taki program ułatwił by sprawę gdyż nie wiadomo czy nieznajomemu gościowi udało się nawiązać połączenie z Twoim komputerem. Niestety nie "siedzę" w tematach o Windowsie więc nie posiadam takiego programu.

Jeszcze raz zadam pytanie:
CYTAT
Czy oprócz informacji o Hellkernach pojawiają się także inne alerty?


Jeżeli chodzi o łączenie się z różnych adresów IP (Hellkern) - mój wujek także miał te alery od Kaspra. Także z różnych adresów IP. Jeżeli Kasper te połączenia blokuje to nie ma się czym przejmować. Idzie chyba nawet wyłączyć pokazywanie alertów o Hellkernach.

Co do logów: nigdy nie używałem tego programu więc nie wiem "do czego on jest zdolny" ale:
1) Temporary Internet Files możesz prawdopodobnie wyczyścić
2) Co do wpisów np. "HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx"
nie jestem w stanie pomóc gdyż nie wiem za co ten rejestr jest odpowiedzialny. Jeżeli program wykrył, że ten rejestr jest zmodyfikowany to na moim miejscu postąpiłbym zgodnie z zaleceniami programu. Dobrze jakby przed naprawą/usunięciem danego rejestru, program wykonał np. kopię zapasową lub coś co pomoże w krytycznej sytuacji przewrócić poprzednie ustawienia. Takie jest moje zdanie - nie biorę odpowiedzialności gdy program uszkodzi rejestr itp (nie ja ten program napisałem icon_smile3.gif ).

85.237.188.* napisał:
Nie, prócz helkerna nie ma innych alertów.
Rootkit reaveler niestety tylko wykrywa podejrzane obiekty, trzeba je ręcznie kasować.
Co do programu do wykrywania połączeń to kasper pokazuje aktywne aplikacje sieciowe, otwarte porty i ile danych z danym IP zostało wymienione w czasie sesji. Zaraz pogoogluje po coś do wykrywania IP z którym jestem aktualnie połączony.

80.55.178.* napisał:
Możesz jeszcze spróbować programów takich jak(nigdy ich nie testowałem):
1) http://security.computerworld.pl/ftp/3518/Securepoint%20Intrusion%20Detection%20System%202.0.9.html
2) http://security.computerworld.pl/ftp/3511/Anti-Trojan%20Shield%201.4.0.7.html
3) http://www.idg.pl/ftp/pc_8548/Free.Registry.Fix.3.0.html

Nie wiem co jeszcze mam poradzić. Żaden program nie wykrywa ani trojana ani wirusa. Na moje ślepe oko to tak jakby nikogo w systemie nie było. Chyba, że ten ktoś zrobił sobie własnego trojana, który jest nie wykrywalny. Tylko nie umie wyjaśnić, dlaczego Windows tak dziwnie się zachowywał (problem z postu 1). Co do nawiązania połączenia z ftp.republika.pl: biorę najbardziej durną teorię - na stronę którą wszedłeś był np. obrazek, który umieszczony był właśnie na serwerze FTP ftp.republika.pl
Lecz na "zjawisko" zniknięcia konta i pojawienia się go ponownie nie mam teorii lub mam taką: Windows jest tylko WIndowsem zawsze to ten sam złom, który robi takie niespodzianki icon_biggrin3.gif
Pamiętam taki przypadek. Mój ojciec zrobił sobie format dysku i zainstalował potrzebne programy. Nagle dyskiem zaczęło strasznie "szarpać". Myślałem, że za chwile dysk się albo przepali albo "strzeli". Nie wiadomo co było przyczyną takiej sytuacji. Okazało się że zainstalowany program "InCD" powodował takie "atrakcje". Także nie wiem dlaczego się tak działo ale Windows jest Windowsem.

Jednak także stwierdziłbym że w Twoim systemie jest intruz (lub był). Jest taka fajna dystybucja linuksa "Knoppix STD" która służy głównie do sprawdzania bezpieczeństwa systemu, detekcji włamań itp. Jest to dystrybucja bootowalna. Narazie jednak dopiero uczę się jej wykorzystywać.

85.237.188.* napisał:
To uzasadnienie pierwszego zjawiska wykluczam-było to w trakcie codziennego "oblotu" kilku stron typu wp.pl, onet.pl securitywortal.pl securityresponse.symantec.com i paru innych-przeglądam te strony bardzo często, a jakoś nigdy kasper nie wykrywa połączeń z republiką...

Dzisiaj kasper pokazał atak:
KOD
2006-07-24 11:48:30    Intrusion.Win.DHCP.client.buffer-overflow.exploit    172.17.0.1    UDP    68



84.10.180.* napisał:

Windows jest tylko WIndowsem zawsze to ten sam złom,


sory za offtopic, pokaz jakikolwiek lepsiejszy system, zeby jeszcze mial oofica jakotako dzialajacego, coby mozna go do jakiejs domeny podpiac, nibylo problemow z oprogramowaniem, niespedzal bys calego dnia na lataniu po firmie i tlumaczeniu co i dlaczego oraz jak to zrobic?? a jeszcze jaby dalo sie w cos jeszcze na nim zagrac to juz nobla powinienes dostac

a gadka "ja mam swoj serwer.." kojazy mi sie z wypowiedzia takiego typa : "Ja bylem elektrykiem...................wysokich napiec..";

a co do tematu, format i posprawie(nizepomnij o windows update), zalatw sobie jeszcze jakis routerek i z glowy, wlam to w 99% niebyl bo jeszcze dales rade wlaczyc kompa i go uzywac. odwiedz stronke www.wss.pl i tam napewno sie dowiesz jak zabezpieczyc winde





80.55.178.* napisał:

a gadka "ja mam swoj serwer.."


Cieszę się że mam serwer gdyż do takiego włamania nigdy by nie doszło (przynajmniej nie na takim porcie. Jeszcze do tego UDP)

Rówież cieszę się że tak mało ludzi używa linuksa. Przynajmniej mam zapewniony komport korzystania z internetu (gdyby dużo ludzi korzystało z linuksa to wszyscy autorzy wirusów przerzuciliby się na ten system. Mam nadzieje, że Windows nadal będzie prowadził na rynku systemów operacyjnych)

*********

Co do ataku. Ktoś próbował włamać się do systemu techniką przepełnienia bufora. Adres IP "172.17.0.1" (domyślam się że to ten który Cię atakował) jest to adres sieci wewnętrzej.

CYTAT

Norma RFC 1918 ustala (między innymi) listę adresów wewnętrznych, czyli takich które nie podlegają trasowaniu i nie są widoczne w Internecie:
10.0.0.0 do 10.255.255.255
172.16.0.0 do 172.31.255.255
192.168.0.0 do 192.168.255.255


Nie wiem czy taki numer IP ma w Twojej sieci router/serwer czy któryś z użytkowników. Zalecam zainstalowanie jeszcze firewalla "Sygate Personal Firewall 5.5" z tej strony:
- http://download.chip.pl/download_90463.html
Przepuszczanie przez niego tylko niezbędnych usług np. GG, FireFox.

Zobacz także czy w Windowsie nie masz udostępnego jakiegoś folderu. Są często powodem przemieszczania się wirusa/trojana po sieci lokalnej

PS: Mam nadzieje, że nie korzystasz z przeglądarki IE ?

85.237.188.* napisał:
Najlepsze jest to... że ja nie mam żadnej sieci lokalnej dry.gif
Konfig połączenia internetowego
Moje IP: stałe, publiczne, mogę wybrać z określonej puli
Brama internetowa: 85.237.188.1
DNS: 85.237.160.2
Ktoś najprawdapodobniej korzystał ze spoofingu.
Komp jest podłączony bezpośrednio do modemu przez USB, zintegrowana karta sieciowa jest wyłączona w BIOSie. Co do przeglądarki to korzystam z Opery. Z Sygate to mi nie za bardzo po drodze-kasper ma już wbudowanego firewalla, a jak ostatnio próbowałem zainstalować naraz McAfee i Nortona to skończyło się formatem dry.gif Ewentualnie mogę wywalić kaspra i zainstalować coś nowego, ale zaleć jakiś pakiet Internet Security (żeby antywir i firewall był jednego producenta), bo osobne instalowanie dość mocno zamula kompa. Formata niestety nie mogę w tej chwili zrobić, a poza tym jeżeli ktoś raz się przebił przez moje zabezpieczenia, to czemu nie mógłby tego zrobić po raz drugi?

80.55.178.* napisał:
Ahh. Gdyby to był linux:
CYTAT
# To najlepsza metoda: włączyć Weryfikację Adresu Źródłowego przeciwko
# atakom IP Spoofing dla obecnych i przyszłych interfejsów sieciowych
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Ustawianie ochrony przed IP Spoofingiem..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "gotowe."
else
echo PROBLEMY Z USTAWIENIEM OCHRONY PRZED SPOOFINGIEM IP. ZWRÓĆ NA TO
echo UWAGĘ. "CONTROL-D pozwoli na wyjście z tego shell'a i na
echo kontynuowanie startu systemu."
# Wystartuj konsolę dla jednego użytkownika
/sbin/sulogin $CONSOLE
fi


ale nie jest. Masz ten pech, że jesteś dostępny z internetu (masz publiczny adres IP przypisany Twojemu komputerowi). A jakbyś usunął kaspra i zainstalował go ponownie aby wyczyścić wszystkie reguły (lub usunął wszystkie reguły z firewalla jeżeli ma taką możliwość). Jeżeli masz możliwość zamknij wszystkie porty z których nie korzystasz (wiem, że nie możesz np. zamknąc portów TCP powyżej 1024 gdyż większość aplikacji na nich pracuje) ale możesz zablokować porty UDP + zamknąć porty TCP 0:1024 (a port 80 otworzyć tylko w jedną stronę - wyjście, wejście zablokować). Nie wiem czy to jest możliwe gdyż nigdy tak nie robiłem na Windowsie.
Wczoraj zainstalowałem na Windowsie właśnie firewall "Sygate Personal Firewall 5.5". Jestem z niego zadowolony dlatego, że pokazuje dokładnie który numer IP korzysta z jakiego programu np. nr IP xxx.xxx.xxx.xxx korzysta z programu C:/DC++/dc.exe

Tak na chłopskie myślenie: jeżeli gośc stosuje technikę przepełnienia bufora to znaczy że jeszcze się do systemu niedostał gdyż po co stosować taką technikę jak ma się już prawa roota. Chyba, że ten ktoś dopiero się uczy się i stosuje wszystkie znane mu techniki. Może za niedługo zacznie atak Ping of Death, Ping Flooding, SYN Flooding lub może będzie się starał przejąć TCP/IP. Nie wiadomo do czego jest zdolny icon_razz2.gif

Ja bym zablokował wszystkie porty z których nie korzystam a te z których korzystam otworzył tylko w jedną stronę. Oczywiście (chyba icon_razz2.gif ) programy typu GG muszą mieć otwarte porty w dwie strony...

85.237.188.* napisał:
Wszystkie niepotrzebne porty poblokowałem. A co do tego ataku to wydaje mi się, że to drugi intruz próbował mi wleźć do systemu.

217.153.14.* napisał:
na portach miedzy 0 a 1024 oprucz 80 jeszcze znajdzie sie pare przydatnych
21 - ftp
22 - ftp
25 - smtp
53 - dns
110 - pop3
443 - https

co do portow powyzej 1024 to akurat mozna zamknac wszystkie a zostawic tylko kilka potrzebnych (gg i jakies p2p jesli uzywasz+ewentualne giery)

a co do odblokowania portu w jedna strone, pakiety tez ktoredys musza wrucic wiec wypadaloby przyjmowac pakiety z tego portu

Podobne tematy


Działy









Copyright © 2002-2024 | Prywatność | Load: 4.33 | SQL: 1 | Uptime: 328 days, 1:20 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl