Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Włamanie do komputera - wirus pisze sam na ekranie

maniekasus 24 Sie 2009 21:24 3370 17
  • #1 24 Sie 2009 21:24
    maniekasus
    Poziom 9  

    Jak w temacie, najpierw zamykal mi okna, dzis wrocilem a n kompie odpalona gierka, wszystko mi zamykal wiec patrzylem co zrobi,a tu zaklada dokument notatnika i pisze "Hi, how are you,spek" Zaraz dam log'a.

    0 17
  • #2 24 Sie 2009 21:28
    Darrieus
    Poziom 38  

    To nie wirus tylko ktoś ci numer wyciął. :lol:
    (albo masz pecha i ktoś ci się włamał na kompa)
    Zobacz jakie programy odpalają sie w autostarcie / usługach

    0
  • #3 24 Sie 2009 21:32
    maniekasus
    Poziom 9  

    ktos sie włamał, siedziałem pzred kompem, a on sobie foldery otwierał i pisał na moich oczach, nawet zdjecie telefonem zrobiłem. Jak odpalam kompa odpala sie konsola i wklepuja sie komendy jakies, jak dzis wrocilem oprocz gierki na pulpicie byl odpalony jakis Batch Creator

    0
  • #6 24 Sie 2009 21:38
    DeDua
    Poziom 20  

    pierwsze wrażenie to jakiś trojan ci się na kompa wkradł, odpal jakiegoś antyvirusa może wyłapie problem, potem dla pewności użyj combofix, przy okazji zobacz co ci się uruchamia z systemem poprzez msconfig (wpisać w uruchom) -> zakładka uruchamianie, odznacz to co wygląda podejrzanie, lub jak nie masz pewności to wklej zdjęcie lub logi z powyższych programów

    EDIT: widzę, że pousuwało ci troszkę plików w combofix, pomogło to coś? jakieś odczuwalne efekty są już?

    0
  • #7 24 Sie 2009 21:49
    maniekasus
    Poziom 9  

    Nod całą noc skanował, wykrył jedno infekcje i niby naprawił, ale dziś to co sie stało to masakra. a gość napisał mi tak

    Włamanie do komputera - wirus pisze sam na ekranie

    Z ComboFix Log wklejony, autostart zaraz lookne

    Po tym jak mi napisal zrobilem restart i wszystko banglalo, dopiero Combo, wiec nie wiem, zostawie komp wlaczony an co, rano zobacze czy zostawil cos otwarte na pulpicie ( zawsze zostawial). choc wiem ze nie powinienem tego robic

    Dodano po 8 [minuty]:

    Taki plik mi załadował do autostartu w postaci .bat

    0
  • #8 24 Sie 2009 23:44
    DeDua
    Poziom 20  

    Ten plik co podałeś powyżej definitywnie trza usunąć, gdyż ma on w komendach wypisane kasowanie, co akurat nie jest dobre dla ciebie. Dla pewności zainstaluj jakiegoś firewall, jakiś zonealarm czy coś podobnego.

    Co do problemu w jakiej sytuacji zaistniało to? zainstalowałeś coś, czy też samo z siebie zaczęło?

    0
  • #9 25 Sie 2009 00:42
    Kolobos
    Spec od komputerów

    Uzyj CFScript.txt z combofix:

    File::
    C:\system.bat
    c:\windows\wc98pp.dll
    c:\windows\Tasks\Scheduled Update for Ask Toolbar.job


    Folder::
    c:\program files\Ask.com\
    c:\windows\system32\skin
    c:\windows\mkdir

    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
    [-HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
    [-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
    [-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "dllhost"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{25C115DE-AADB-761C-D044-C2B2789CEBB3}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{707E1322-6A94-1BA9-9E0B-CA2654665A0C}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{W86VM51A-3T24-4ATA-G007-PN18PE35KD4W}]

    DDS::
    uStart Page = hxxp://www.ask.com/?o=14656&l=dis

    Firefox::
    FF - ProfilePath - c:\documents and settings\Maniek\Dane aplikacji\Mozilla\Firefox\Profiles\69aai0wp.default\
    FF - prefs.js: keyword.URL -

    Po wykonaniu daj log, ktory sie utworzy.
    Zrob tez skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.

    Odinstaluj Nod i zainstaluj Avire + firewall z zestawu Comodo IS.

    0
  • #10 25 Sie 2009 05:16
    maniekasus
    Poziom 9  

    dałem na noc skan avira, i zostawiłem wiadomosc w pliku tekstowym "what you want
    where are you from" i rano odpowiedz "i dont speak to you
    because i4im a arab and arab is better than you

    arab = king"

    z tym COmbo script narazie nie wiem o co chodzi, pewnie jak odpale program bede wiedzial, spadam do pracy, kompa wylaczam, wieczorem zajrze

    0
  • #11 25 Sie 2009 09:41
    WMichał
    Poziom 31  

    maniekasus napisał:
    [...]
    z tym COmbo script narazie nie wiem o co chodzi, pewnie jak odpale program bede wiedzial, spadam do pracy, kompa wylaczam, wieczorem zajrze


    Link

    0
  • #13 25 Sie 2009 23:04
    Kolobos
    Spec od komputerów

    Wyglada ok, ale koncowka log'a jest obcieta. Uzyj jeszcze raz combofix (bez cfscript.txt) i daj nowy log.

    0
  • #14 26 Sie 2009 05:11
    maniekasus
    Poziom 9  

    Komp został na noci wyglada (wyglada, pewnopsci nie ma) ze nikogo nie było. Log dam wieczorem

    0
  • #16 26 Sie 2009 19:12
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok. Dlaczego do tej pory nie zainstalowales firewall'a?

    0
  • #17 26 Sie 2009 19:22
    shadow125
    Poziom 21  

    Ja bym postawił jeszcze na coś innego
    Ustaw hasło na konto administratora w systemie i wyłącz wszystkie konta z wyjątkiem Twojego (mam nadzieję, że na Twoim też jest hasło). Sprawdź ponadto czy nie masz czasem załączonej opcji pomocy zdalnej
    taki dowcip można zrobić wchodząc na dysk nawet jak nie jest udostępniony \\host\c$

    0
  • #18 26 Sie 2009 19:29
    maniekasus
    Poziom 9  

    Hm, pomoc zdalna napewno nie jest ustawiona, hasło jest, konto tylko jedno, mam Windows XP Home

    0