Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem ze szpiegiem

11 Mar 2007 21:38 5909 12
  • Poziom 10  
    Proszę o pomoc, chłopak mojej koleżanki jakimś cudem widzi co ona ma otwarte na swoim komputerze. Podejrzewam że zainstalował jej szpiega. Jak sprawdzić czy na pewno i ewentualnie jak inaczej on może mieć dostęp do jej komputera. Komputery nie są w sieci, ona ma internet z neostrady. Poniżej Wklejam HT z jej komputera, rzućcie okiem i powiedzcie o co w tym chodzi:). Z góry dzięki za wszystkie posty.

    Logfile of HijackThis v1.99.1
    Scan saved at 21:42:50, on 2007-03-09
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\SLEE81.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
    C:\PROGRA~1\NEOSTR~1\ComComp.exe
    C:\PROGRA~1\NEOSTR~1\Watch.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Skype\Plugin Manager\SkypePM.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\PP\Pulpit\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
    O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
    O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
    O4 - HKLM\..\Run: [Skrót do strony właściwości High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{964E8288-586D-4681-B384-CB36965F74DF}: NameServer = 194.204.159.1 217.98.63.164
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: kavsvc - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe (file missing)
    O23 - Service: LEC TranslateDotNet Server - Unknown owner - D:\NOTATKI\Nowy folder\LogoMedia TranslateDotNet Server.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
  • Spec od komputerów
    Wklej moze w zalaczniku (nie w tresci!) log z gmera z zakladki rootkit + log z comboscan.
  • Poziom 15  
    heh to moze byc po prostu zwykla sciema, ale na poczatek radze wywalic z procesow :
    C:\WINDOWS\system32\SLEE81.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\LVCOMSX.EXE

    poza tym zainstalowac SP2 jesli nie ma , przeskanowac system avastem oraz Spybotem i moze pomoc. btw. sprawdz jeszcze jakims programem otwarte porty-moze znajdziesz cos podejrzanego (czesto one sa opisane po ang. np. z tego korzysta taki i taki trojan .. )
    Moderowany przez jankolo:

    .

  • R.I.P. Zasłużony dla elektroda
    pyby napisał:
    na poczatek radze wywalic z procesow :
    C:\WINDOWS\system32\SLEE81.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\LVCOMSX.EXE

    Po co wypisujesz totalne bzdury? Jeżeli nie wiesz, co to są za procesy, to mogłeś sprawdzic na Google. Ale tego też Ci się zrobić nie chciało.
    pyby napisał:
    poza tym zainstalowac SP2 jesli nie ma

    W trzecim wierszu logu jest zdefiniowane, że SP2 jest zainstalowany. Ale nie chciało Ci się przeczytać zawartości logu.
    pyby napisał:
    przeskanowac system avastem

    Nie raczyłeś zauważyć, że Avast jest zainstalowany. A to też jest zapisane w logu.
    Reasumując: Twoje "porady" uznaję za niepoważne i szkodliwe, więc otrzymujesz OSTRZEŻENIE.
  • Poziom 15  
    jankolo napisał:
    Po co wypisujesz totalne bzdury? Jeżeli nie wiesz, co to są za procesy, to mogłeś sprawdzic na Google. Ale tego też Ci się zrobić nie chciało.


    1.to czemu sam nie pomozesz tylko czepiasz sie do tych ktorzy probuja cos zrobic ?
    2. Naprawde wierzysz ze pod nazwa np. nvsvc32 jest tylko driver Nvidii i kropka ? a co bedzie jesli zrobie wirusa i nazwe go tak samo ???

    jankolo napisał:
    W trzecim wierszu logu jest zdefiniowane, że SP2 jest zainstalowany. Ale nie chciało Ci się przeczytać zawartości logu.


    nie wiem czemus sie tak do mnie przyczepil, ale rzeczywiscie - czytalem tylko uruchomione procesy.. moja wina

    jankolo napisał:
    Nie raczyłeś zauważyć, że Avast jest zainstalowany. A to też jest zapisane w logu.


    twoje prostoliniowe myslenie sprawia ze powoli przestaje wierzyc w moderatorow...
    gdybym nie przeczytal ze ma avasta to nie kazalbym nim skanowac!!!!
    skad wiesz ze user uzywa go do skanowania a nie tylko do ochrony realtime ? skanujac docs&sett. mozna jeszcze co nieco znalezc, tak samo dyski na ktorych sa stare pliki, nie sprawdzone przez realtime prot. avasta!

    jankolo napisał:

    Reasumując: Twoje "porady" uznaję za niepoważne i szkodliwe, więc otrzymujesz OSTRZEŻENIE.


    Reasumujac, jestes typem sluzbisty i twoje ostrzezenie wydaje mi sie totalnie nie na miejscu.
  • Specjalista - HDD i odzyskiwanie danych
    @pyby: Twoja rada byla mniej wiecej taka:
    1) Zamknij proces, ktory chroni (miej nadzieje, drogi uzytkowniku, ze chroni) Twoja prywatnosc.
    2) Wylacz sobie czesc sterownika ekranu.
    3) Kamera? Po co Ci kamera?

    Jezeli w przypadku kolegi picipol o cos chodzi, to jest to cos bardziej zlosliwego niz program pokroju NetBus'a. Rady 'przeskanuj avastem' to tak jakby 'ruszaj z szabelka na czolg'.
    Jestesmy w erze rootkitow.
    Kolego picipol, czy mozesz powiedziec skad podejrzenie, ze ktos widzi otwarte rzeczy na komputerze kolezanki? Jezeli wydaly sie jakies informacje, to czy jestes pewny, ze osoba, ktora je (teoretycznie) przejela nie zrobila tego przez uzyskanie fizycznego dostepu do komputera? Na przyklad czytajac / kopiujac historie GG?
    2) Czy chlopak kolezanki jest programista?
    3) Czy on tez uzywa neostrady? Jezeli nie, to czy masz mozliwosc zdobycia jego stalego IP?

    Zeby miec absolutna pewnosc z czym sie laczy komputer (zaatakowany komputer nie moze byc brany pod uwage jako wiarygodne zrodlo informacji o samym sobie) trzeba go podlaczyc pod zewnetrzny router + firewall z mozliwoscia logowania i analizator pakietow (sniffer). Nalezy pamietac, ze neostrada ma zmienne IP i komputer-ofiara musi sie jakos atakujacemu meldowac przy uruchomieniu; musi mu rowniez przesylac te dane o tym, "co ona ma otwarte na swoim komputerze".

    Rozwiazan jest wiele, tak wiele, jak wiele jest zlosliwosci, swinstwa i chamstwa w ludziach. Szpiegowanie wlasnej dziewczyny to kompletny brak zaufania, a za takie zachowanie, jak przejmowanie komputera Ona powinna mu napluc w twarz. Oczywiscie ten komputer (o ile cos z nim w ogole jest nie tak) jest swietnym dowodem w sadzie.

    Zrob to, co radzil Kolobos, wklej logi.
    http://www.gmer.net/files.php
    http://download.sysinternals.com/Files/RootkitRevealer.zip
    Pozdrawiam.
  • Poziom 10  
    Witam!
    Chłopak mojej koleżanki nie jest programistą ale zna się na rzeczy poza tym ma kolegę który właśnie jest programistą i może mu w tym pomagać.

    O ile wiem nie ma on teraz fizycznego dostępu do jej komputera, a jakimś sposobem wie co pojawia się u niej na ekranie. Generalnie chodzi o treść emali i GG. Wcześniej miał dostęp do jej komputera (sam go jej składał).

    Nie wiem czy on używa neostrady, ale mogę się dowiedzieć, tylko jak zdobyć jego IP (podpowiedzcie jak to zrobić).
    Jak tylko ona zainstaluje programy zasugerowane przez msthhk to wkleję logi.
    Z góry dzięki za pomoc.
    Pozdrawiam :)
  • Poziom 43  
    Jeżeli chodzi o e-maile, które odbiera koleżanka, to ten chłopak mógł po prostu wyeksportować jej konto do pliku .iaf i zaimportować u siebie. Odbiera pierwszy zostawiając kopie na serwerze poczty. Stary numer szefów szpiegujących pracowników :(
    Wystarczy że dziewczyna zmieni sobie hasło do poczty i po bólu. Swoją drogą to na jej miejscu dawno bym gnoja pogonił.
    Co do GG nie wypowiadam się, bo jakoś nie mam przekonania (ani czasu) na to badziewie. Pewnie i tu można wyeksportować jakieś ustawienia i zaszczepić je gdzie indziej.
  • Spec od komputerów
    Logi wygladaja ok.

    > chłopak mojej koleżanki jakimś cudem widzi co
    > ona ma otwarte na swoim komputerze

    Moze tylko tak mowil? Udowodnil to jakos?
  • Poziom 10  
    Kolobos sprawa wygląda tak, on zdał jej relację z treści meila który otrzymała. Poza tym wiedział że korzysta ze skypa mimo że miała status niewidoczny. Być może nie ma zainstalowanego szpiega ale w takim razie ma dostęp do jej poczty i GG :(
  • R.I.P. Zasłużony dla elektroda
    picipol napisał:
    on zdał jej relację z treści meila który otrzymała

    Jednego? Jakiegoś szczególnego? Ile razy zdawał taką relację o różnych mailach, które ona dostaje? Zwróć uwagę, że najprościej zdaje się relację z treści maila, który się samemu wysłąło bądź uczestniczyło w pisaniu go. Zgodziłbym się z udzieloną już wcześniej poradą: natychmiastowa zmiana hasła do serwera pocztowego.
    picipol napisał:
    Poza tym wiedział że korzysta ze skypa mimo że miała status niewidoczny

    A nie znał przypadkiem jej identyfikatora? Skype pokazuje ostatnią obecność. Więc jak na razie nie powiedział nic niesamowitego.
    picipol napisał:
    ale w takim razie ma dostęp do jej poczty i GG :(

    Co do poczty to już coś można domniemywać. Co do GG - zmieniłbym NATYCHMIAST hasło do serwera i poobserwował gościa, z jakimi informacjami przychodzi.
  • Poziom 10  
    Witam!
    Posłuchaj Jankolo, on zdał jej relację z meila którego dostała ode mnie więc nie ma szansy żeby widział go wcześniej a już o uczestnictwie w pisaniu go nie ma mowy.

    Jeżeli chodzi o skypa to jest to prawdopodobne bo przecież wcześniej maił dostęp do jej komputera (konfigurował go).

    Hasła do serwera GG i poczty zostały zmienione, zobaczymy czy teraz sytuacja się powtórzy.

    Jeżeli chodzi o wklejone wcześniej logi to zostały one zrobione po przeskanowaniu kompa spybotem i możliwe że ten program usunął już ewentualnego szpiega.

    Dzięki z a wszystkie posty, pozdrawiam :)