mstask.exe er det en bagdør.

Det er ihvertfald en fil som hører til windows http://support.microsoft.com/default.aspx?kbid=329346

Men den kan åbenbart bruges til at prøve at få adgang til dit system http://cert.uni-stuttgart.de/archive/bugtraq/2000/12/msg00235.html

Akja, vi travle virusfindere, først en STOR ros fordi du ikke har pillet i din logfil selv, de få stykker der har gjort det, er ikke alle sluppet lige heldigt fra det.*S*
Men for at berolige dig, vil jeg da gerne lige tjekke din logfil, du får lige standardvejledningen.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Men jeg har hentet alle kritiske service pakker, så er det den der hører til windows eller en dør? Kommer det an på det der står foran måske?

fromsej >>  OK det gør jeg så lige.  TAK

Her kommer så min log fil, som jeg troede var ren som en barnenumse.


Logfile of HijackThis v1.97.2
Scan saved at 10:33:40 PM, on 9/24/2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\MICROSOFT HARDWARE\KEYBOARD\SPEEDKEY.EXE
C:\PROGRAM FILES\LEXMARKX73\ACMONITOR_X73.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\LEXMARKX73\ACBTNMGR_X73.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37878.4664467593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Mstask er din scheduler, som iøvrigt lytter på port 1025. Alle åbne porte er en sikkerhedsrisiko, så hvis ikke du bruger din scheduler, så slå den ihjel.

"kør" "msconfig" faneblad "start" og fjern den, så den ikke bliver startet ved opstart.

Nu har du en port mindre åben, og din maskine skal ikke bruge ressourcer på det program.

Øhhh hvad kan/gør den scheduler?  det siger mig ikke noget og ja I må gerne grine.

Her er et lille program, der kan fortælle dig hvilke porte der bliver brugt af hvilke programmer, (ganske brugbart)
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm

Hvis du har et eller andet program der skal startes kl 01:30 en gang i døgnet, så kan scheduler klare det for dig. (der er ikke så forfærdeligt mange der bruger det)

OK nej ingen ting skal startes uden at jeg er her,  hmmm kan man mon få den til at byde på auktioner midt om natten så? SÅ behøver jeg ikke selv stå op, hihi.

Slå systemgendannelse fra: http://www.spywarefri.dk/virus.htm#alle
Kør hijackthis igen, scan og sæt flueben i linien nedenunder, luk alle vinduer undtaget Hijackthis og klik fix checked, genstart.
Ellers er din log meget, endda rigtig meget, fin og ren.*S*
Fixes:
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Åhh det lyder sørme godt. Jeg vil straks gå igang med følge din beskrivelse. Tak. Vender tilbage om lidt.

Kan hijack ikke fortælle hvilke porte der står åbne.
lsass plejer jo at lade et par porte stå åbne, og så vidt jeg kan se er den ikke på listen her.

Så er den fixet og jeg er ren og en hel del klogere. Så skal den bare holdes ren. :)  Tusind tak for hjælpen.
Fromsej>> Smid lige et svar.

Så gerne, men jeg er jo ikke den eneste der har hjulpet dig.*S*

Jeg har valgt at dele points imellem fromsej (ren log) og shitping (1 port mindre der står åben), så håber jeg at I er tilfredse med det. Jeg er ihvertfald glad nu. Jubiiiiii.

Nå ja jeg lærer det nok, men nu skulle de være der.  :)

Tak for point.*S*

Velbekommen og tak for hjælpen.

Takker ;-)