Czy to mozliwe zeby ktos uzywal mojego numeru ip?


(Radoslaw Januszewski) #1

Bardzo prosze o sprawdzenie loga z combofix

// Poprawiłem Twój post - dodałem tagi quote.

Kaka'


(Kaka') #2

roofi proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku icon_edit.gif


(Witos) #3

Tak, to możliwe.

A jak powiesz coś konkretniej to i ja postaram się o konkretniejszą odpowiedź...

Złączono Posta : 28.11.2007 (Sro) 21:24

A logom z combofix nigdy się bliżej nie przyglądałem (zawsze HiJacka brałem) ale już na pierwszy rzut oka mogę ci powiedzieć że jest tam trochę syfu...


(Radoslaw Januszewski) #4

tak pytam poniewaz mialem ostatnio sporo wirusow ale sformatowalem dysk i myslalem ze moze z logow da sie wyczytac czy ktos uzywa mojego ip


(Witos) #5

Tego z loga nie wyczytasz, ale tak jak już mowilem ten log raczej czysty nie jest bo już na samym początku masz:

2007-11-28 20:37 . 2007-11-20 19:37 136,704 --a------ C:\WINDOWS\system32\catchme.exe

//To nie wiem co to jest

2007-11-28 20:30 . 2007-10-11 14:42 8,925 --a------ C:\clean.bat

2007-11-28 20:30 . 2007-10-11 08:55 347 --a------ C:\run2.reg

Poza tym użyć czyjegoś IP można najłatwiej w sieci lokalnej posiadając jakieś distro linuxa (wiem, bo sam jestem w LANie i na linuxie siedzę) i wierz mi że nie potrzeba do tego żadnych wirusów...


(Radoslaw Januszewski) #6

Podaje logi z hijaka

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:35:57, on 2007-11-29

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\AVerTV\QuickTV.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Program Files\EDGE Dialer\Edge.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Avant Browser\avant.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-1IONP.exe" /REG

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Otwórz w nowym Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A461B4B-82D4-4FEE-80DE-ADADFA89C20F}: NameServer = 217.116.100.66 217.116.100.65

O17 - HKLM\System\CS1\Services\Tcpip\..\{1A461B4B-82D4-4FEE-80DE-ADADFA89C20F}: NameServer = 217.116.100.65 217.116.100.66

O17 - HKLM\System\CS2\Services\Tcpip\..\{1A461B4B-82D4-4FEE-80DE-ADADFA89C20F}: NameServer = 217.116.100.66 217.116.100.65

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe


--

End of file - 5740 bytes

(Witos) #7

Log z HiJacka czysty.

Co do tego catchme.exe pogrzebalem w necie i "Catchme is the rootkit scanner", a więc jednak niepotrzebnie chyba Ci namieszałem bo zdaje się być czysto...

Złączono Posta : 28.11.2007 (Sro) 21:51

Jedyny wpis co mam do niego pewne wątpliwości to

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-1IONP.exe" /REG

(Gutek) #8

Wklej do Notatnika:

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Radoslaw Januszewski) #9

Przeinstalowalem sobie komputer czy po tym możliwe jest żeby ktoś podpiął mi się pod adres ip?? Może zapytać o to administratora?? Czy można to sprawdzić czy ktoś się podpiął czy nie??


(Witos) #10

:mrgreen:

C:\Program Files\EDGE Dialer\Edge.exe

Wnioskuję z tego że łączysz się z netem poprzez Orange, tak?

Jeśli nie jesteś w sieci lokalnej to chyba ciężko żeby ktoś ci IP podbierał

Poza tym to czemu tak się doszukujesz tego podpinania się pod IP? Są jakieś dziwne objawy?