Aktualizacje na programosy.pl:
Chromium • Kaspersky Rescue Disk • Vim • StrongRecovery • AIDA64 Extreme Edition • Far Manager • YT Downloader • DAEMON Tools Lite • Slimjet
-
- Ogłoszenie:
Włamanie na gg?
25 posty(ów) • Strona 1 z 2 • 1, 2
Włamanie na gg?
przez Fever 16 Lut 2009, 00:20
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
Włamanie na gg?
przez Dementor 16 Lut 2009, 00:30
Podaj logi Hjackthis
Dwadzieścia lat minęło jak jeden dzień
Nie masz co wspominać?
Lepiej swe życie zmień!
-
Dementor - ~user
- Posty: 3475
- Dołączenie: 23 Paź 2006, 22:39
- Miejscowość: SŁUPSK *Pomorskie
- Pochwały: 192
Włamanie na gg?
przez Fever 16 Lut 2009, 00:33
- Kod: Zaznacz wszystko
Logfile of HijackThis v1.99.1
Scan saved at 23:33:13, on 2009-02-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Programy\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
d:\Programy\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Programy\Winamp\winampa.exe
D:\Programy\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system\svhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
d:\Programy\Alwil Software\Avast4\ashMaiSv.exe
d:\Programy\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programy\Gadu-Gadu\gg.exe
D:\Programy\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
D:\Zabezpieczenia\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - d:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] d:\Programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programy\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [1337] C:\WINDOWS\system\svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Odkurzacz-MCD] d:\Programy\Odkurzacz\odk_mcd.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Pobierz za pomocą BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://d:\Programy\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://F:\CDVIEWER\CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23F252FE-E98F-4056-8FD3-E379E631F0B7}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{23F252FE-E98F-4056-8FD3-E379E631F0B7}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{23F252FE-E98F-4056-8FD3-E379E631F0B7}: NameServer = 217.30.129.149,217.30.137.200
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez Fever 16 Lut 2009, 00:37
jarski185 napisał(a):a dodatkowo reset hasla na stronie gg
mógłbyś coś bliżej? nie bawiłem się nigdy w stronę gg, wizytówki, ani nic podobnego.
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez jarski185 16 Lut 2009, 00:56
no wejdz sobie na https://login.gadu-gadu.pl/account/remindpass
-
jarski185 - ~user
- Posty: 4459
- Dołączenie: 10 Lut 2008, 18:49
- Pochwały: 285
-
Włamanie na gg?
przez Fever 16 Lut 2009, 00:57
jarski185 napisał(a):no wejdz sobie na https://login.gadu-gadu.pl/account/remindpass
nie no jasne, ale to później, najpierw trzeba się tego pozbyć
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez Fever 16 Lut 2009, 01:10
jarski185 napisał(a):ja bym zmienil od razu:P
zmieni to tylko tyle, że nowe hasło też będzie miał. trza raz, a dobrze, póki go nie ma, co sam raczył mi oświadczyć w czasie rozmowy na gg, kiedy to chwalił się swym wyczynem ;]
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez sgsman 16 Lut 2009, 15:55
A log z combofixa?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Włamanie na gg?
przez Fever 16 Lut 2009, 16:05
- Kod: Zaznacz wszystko
ComboFix 09-02-15.01 - Piondis 2009-02-16 15:03:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.495.207 [GMT 1:00]
Uruchomiony z: d:\zabezpieczenia\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090216-0] *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system\svhost.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-16 do 2009-02-16 )))))))))))))))))))))))))))))))
.
2009-02-13 19:35 . 2009-02-13 21:09 109,428 --a------ c:\windows\[u]0[/u]240176336.jpg
2009-02-13 19:23 . 2009-02-13 19:23 120,794 --a------ c:\windows\lol2.jpg
2009-02-13 13:48 . 2009-02-13 13:52 78,085 --a------ c:\windows\[u]0[/u]259117267.jpg
2009-02-12 19:08 . 2009-02-13 13:53 71,461 --a------ c:\windows\[u]0[/u]235528967.jpg
2009-02-12 18:27 . 2009-02-16 15:02 <DIR> d-------- c:\windows\system32\1337logs
2009-02-12 18:27 . 2009-02-12 23:57 91,002 --a------ c:\windows\nice.jpg
2009-02-12 18:27 . 2009-02-13 21:09 39,324 --a------ c:\windows\system\svhost.sd
2009-02-12 18:27 . 2009-02-13 21:09 32,770 --a------ c:\windows\system\svhost.sd7
2009-02-12 18:27 . 2009-02-13 21:09 29,496 --a------ c:\windows\system\wuaclt.sd
2009-02-12 18:27 . 2009-02-13 21:09 24,580 --a------ c:\windows\system\wuaclt.sd7
2009-02-12 18:27 . 2009-02-12 18:27 24,580 --a------ c:\windows\system\wuaclt.exe
2009-02-12 18:27 . 2009-02-16 15:02 119 --a------ c:\windows\1337.ini
2009-02-07 17:56 . 2009-02-14 20:31 <DIR> d-------- c:\documents and settings\Piondis\Gadu-Gadu
2009-01-17 06:02 . 2009-01-17 06:03 <DIR> d-------- c:\documents and settings\Piondis\Dane aplikacji\K-Meleon
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-04 09:35 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-04 09:35 --------- d-----w c:\program files\Java
2008-12-26 10:22 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-26 09:44 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2008-12-26 09:39 11,973 ----a-w c:\windows\system32\drivers\secdrv.sys
2008-12-26 09:25 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-21 00:28 --------- d-----w c:\documents and settings\Piondis\Dane aplikacji\gtk-2.0
2008-12-20 12:25 --------- d-----w c:\program files\directx
2008-12-19 21:49 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-19 21:49 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-19 21:49 12,067 ----atw c:\windows\system32\SIntf16.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Odkurzacz-MCD"="d:\programy\Odkurzacz\odk_mcd.exe" [2008-08-16 264704]
"Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2008-03-20 2127296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"WinampAgent"="d:\programy\Winamp\winampa.exe" [2008-08-04 36352]
"avast!"="d:\programy\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-04 136600]
"Adobe Reader Speed Launcher"="d:\programy\Adobe\Reader\Reader_sl.exe" [2008-06-12 34672]
"nwiz"="nwiz.exe" [2006-01-24 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 d:\programy\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programy\\Gadu-Gadu\\gg.exe"=
"d:\\Programy\\LimeWire\\LimeWire.exe"=
"d:\\Gry\\3do\\HEROES3.EXE"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
"14453:TCP"= 14453:TCP:BitComet 14453 TCP
"14453:UDP"= 14453:UDP:BitComet 14453 UDP
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-20 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-10-20 20560]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - dump_wmimmc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3761397a-dc11-11dd-bc22-001617872415}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e34783cf-9e19-11dd-bf2f-806d6172696f}]
\Shell\AutoRun\command - F:\Setup.exe
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-1337 - c:\windows\system\svhost.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: E&ksport do programu Microsoft Excel - d:\programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Pobierz wszystkie VIdeo za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddVideo.htm
IE: Pobierz wszystko za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddAllLink.htm
IE: Pobierz za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddLink.htm
TCP: {23F252FE-E98F-4056-8FD3-E379E631F0B7} = 217.30.129.149,217.30.137.200
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file://f:\cdviewer\CdViewer.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 15:03:56
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-02-16 15:04:40
ComboFix-quarantined-files.txt 2009-02-16 14:04:37
Przed: 21 946 638 336 bajtów wolnych
Po: 22,890,639,360 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
124
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez qrminator 16 Lut 2009, 16:33
C:\WINDOWS\system\svhost.exe
Z tego co się orientuję ten plik powinien nazywać się svchost a nie svhost i powinien być w system32 a nie system..
Z tego co się orientuję ten plik powinien nazywać się svchost a nie svhost i powinien być w system32 a nie system..
-
qrminator - ~user
- Posty: 945
- Dołączenie: 23 Cze 2005, 09:33
- Pochwały: 38
-
Włamanie na gg?
przez Okocza 16 Lut 2009, 16:39
Otwórz notatnik i wklej:
Plik >>> zapisz jako CFScript.txt .Plik przeciągnij i upuść na ikonę ComboFixa (tak jak tu ) . odczekaj az wygeneruje sie nowy log i go daj na forum
Wykonaj to co jest podane w tym temacie
1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.
tak, ale tego pliku już nie ma, combo usunął go
- Kod: Zaznacz wszystko
File::
c:\windows\system\svhost.sd
c:\windows\system\svhost.sd7
c:\windows\system\wuaclt.sd
c:\windows\system\wuaclt.sd7
c:\windows\system\wuaclt.exe
c:\windows\[u]0[/u]240176336.jpg
c:\windows\[u]0[/u]259117267.jpg
c:\windows\[u]0[/u]235528967.jpg
c:\windows\1337.ini
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3761397a-dc11-11dd-bc22-001617872415}]
Plik >>> zapisz jako CFScript.txt .Plik przeciągnij i upuść na ikonę ComboFixa (tak jak tu ) . odczekaj az wygeneruje sie nowy log i go daj na forum
Wykonaj to co jest podane w tym temacie
1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.
qrminator napisał(a):C:\WINDOWS\system\svhost.exe
tak, ale tego pliku już nie ma, combo usunął go
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Re: włamanie na gg?
przez Fever 16 Lut 2009, 17:05
- Kod: Zaznacz wszystko
ComboFix 09-02-15.01 - Piondis 2009-02-16 15:44:50.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.495.99 [GMT 1:00]
Uruchomiony z: d:\zabezpieczenia\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Piondis\Moje dokumenty\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090216-0] *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania
FILE ::
c:\windows\[u]0[/u]235528967.jpg
c:\windows\[u]0[/u]240176336.jpg
c:\windows\[u]0[/u]259117267.jpg
c:\windows\1337.ini
c:\windows\system\svhost.sd
c:\windows\system\svhost.sd7
c:\windows\system\wuaclt.exe
c:\windows\system\wuaclt.sd
c:\windows\system\wuaclt.sd7
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\1337.ini
c:\windows\system\svhost.sd
c:\windows\system\svhost.sd7
c:\windows\system\wuaclt.exe
c:\windows\system\wuaclt.sd
c:\windows\system\wuaclt.sd7
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-16 do 2009-02-16 )))))))))))))))))))))))))))))))
.
2009-02-13 19:35 . 2009-02-13 21:09 109,428 --a------ c:\windows\[u]0[/u]240176336.jpg
2009-02-13 19:23 . 2009-02-13 19:23 120,794 --a------ c:\windows\lol2.jpg
2009-02-13 13:48 . 2009-02-13 13:52 78,085 --a------ c:\windows\[u]0[/u]259117267.jpg
2009-02-12 19:08 . 2009-02-13 13:53 71,461 --a------ c:\windows\[u]0[/u]235528967.jpg
2009-02-12 18:27 . 2009-02-16 15:02 <DIR> d-------- c:\windows\system32\1337logs
2009-02-12 18:27 . 2009-02-12 23:57 91,002 --a------ c:\windows\nice.jpg
2009-02-07 17:56 . 2009-02-14 20:31 <DIR> d-------- c:\documents and settings\Piondis\Gadu-Gadu
2009-01-17 06:02 . 2009-01-17 06:03 <DIR> d-------- c:\documents and settings\Piondis\Dane aplikacji\K-Meleon
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-04 09:35 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-04 09:35 --------- d-----w c:\program files\Java
2008-12-26 10:22 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-26 09:44 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2008-12-26 09:39 11,973 ----a-w c:\windows\system32\drivers\secdrv.sys
2008-12-26 09:25 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-21 00:28 --------- d-----w c:\documents and settings\Piondis\Dane aplikacji\gtk-2.0
2008-12-20 12:25 --------- d-----w c:\program files\directx
2008-12-19 21:49 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-19 21:49 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-19 21:49 12,067 ----atw c:\windows\system32\SIntf16.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Odkurzacz-MCD"="d:\programy\Odkurzacz\odk_mcd.exe" [2008-08-16 264704]
"Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2008-03-20 2127296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"WinampAgent"="d:\programy\Winamp\winampa.exe" [2008-08-04 36352]
"avast!"="d:\programy\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-04 136600]
"Adobe Reader Speed Launcher"="d:\programy\Adobe\Reader\Reader_sl.exe" [2008-06-12 34672]
"nwiz"="nwiz.exe" [2006-01-24 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-24 16:02 490952 d:\programy\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programy\\Gadu-Gadu\\gg.exe"=
"d:\\Programy\\LimeWire\\LimeWire.exe"=
"d:\\Gry\\3do\\HEROES3.EXE"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
"14453:TCP"= 14453:TCP:BitComet 14453 TCP
"14453:UDP"= 14453:UDP:BitComet 14453 UDP
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-20 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-10-20 20560]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - dump_wmimmc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e34783cf-9e19-11dd-bf2f-806d6172696f}]
\Shell\AutoRun\command - F:\Setup.exe
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
IE: E&ksport do programu Microsoft Excel - d:\programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Pobierz wszystkie VIdeo za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddVideo.htm
IE: Pobierz wszystko za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddAllLink.htm
IE: Pobierz za pomocą BitComet - d:\programy\BitComet\BitComet.exe/AddLink.htm
TCP: {23F252FE-E98F-4056-8FD3-E379E631F0B7} = 217.30.129.149,217.30.137.200
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file://f:\cdviewer\CdViewer.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 15:45:33
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-02-16 15:46:16
ComboFix-quarantined-files.txt 2009-02-16 14:46:14
ComboFix2.txt 2009-02-16 14:04:41
Przed: 22 920 028 160 bajtów wolnych
Po: 22,910,398,464 bajtów wolnych
124
btw, kolega haker poradzil mi, żebym pogrzebał w procesach, co niniejszym czynię:
http://img17.imageshack.us/my.php?image=ahahy7.jpg
A jeszcze wspomnę, że taki do końca tępy nie byłem, przeskanowałem te exeki przed otwarciem avastem i na virusscan.jotti czy coś w tym guście i były czyste. Dość zaawansowana technologia że tak powiem
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez Okocza 16 Lut 2009, 17:15
- Kod: Zaznacz wszystko
c:\windows\[u]0[/u]240176336.jpg
c:\windows\lol2.jpg
c:\windows\[u]0[/u]259117267.jpg
c:\windows\[u]0[/u]235528967.jpg
usuń te pliki ręcznie z dysku
Autor postu otrzymał pochwałę
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Włamanie na gg?
przez Fever 16 Lut 2009, 17:20
i tyle?
EDIT:
kolega haker idzie o zakład, że został przynajmniej jeden plik, z którego on odtworzy całą akcję ;]
EDIT:
kolega haker idzie o zakład, że został przynajmniej jeden plik, z którego on odtworzy całą akcję ;]
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Włamanie na gg?
przez Fever 16 Lut 2009, 17:55
po tym co tam zobaczyłem, śmiem twierdzić, że to był strzał w dziesiątkę, dzięki panowie
btw, co mogę zrobić na przyszłość? zrezygnowałem z firewalla, sunbelt mnie zniechęcił, jesteście w stanie coś polecić? wwdc i seconfiga miałem już wcześnej.
btw, co mogę zrobić na przyszłość? zrezygnowałem z firewalla, sunbelt mnie zniechęcił, jesteście w stanie coś polecić? wwdc i seconfiga miałem już wcześnej.
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
Włamanie na gg?
przez Okocza 16 Lut 2009, 17:57
Fever, zainstaluj porządnego antywirusa. np NOD32 albo Kaspersky'ego
eMachines E730G - Core i5-430M, 2GiB RAM, ATI Mobility Radeon HD5470, WD 320GiB; Cort Z-44,DR 0.09-0.42, Peavey Backstage
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
Mac OS X 10.7.4 Lion // Windows 7 Professional x64 // NIE POMAGAM NA PW/GG/E-MAIL
"Moje Ego i Anima spotykają się i wymieniają przepisami na ciasteczka" - Maynard James Keenan
-
Okocza - ~user
- Posty: 8001
- Dołączenie: 19 Mar 2006, 11:53
- Pochwały: 406
-
Włamanie na gg?
przez Fever 16 Lut 2009, 18:01
Okocza napisał(a):Fever, zainstaluj porządnego antywirusa. np NOD32 albo Kaspersky'ego
opinie co do antywirusów są różne, czy więc różnica pomiędzy Avastem a wyżej wymienionymi jest aż tak znaczna? dodam, że się do czeskiego produktu przyzwyczaiłem, nie sprawia mi raczej problemów
.
-
Fever - ~user
- Posty: 112
- Dołączenie: 26 Gru 2006, 21:56
- Miejscowość: Skądinąd
-
25 posty(ów) • Strona 1 z 2 • 1, 2
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 7 gości