Haker Przejął pełna kontrole nad Laptopem!


(Oksit) #1

Mam ogromny problem od dzisiaj ujawnił sie haker kolega mi mówil ze włamał się przez Backdoor zna wszystkie moje hasła / wyświetla mi komunikaty na pulpicie uruchamia programy , wylacza komputer i tak dalej ;/ jestem załamany mam zewnetrzne ip

daje log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:06:35, on 2009-09-08

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Boot mode: Normal


Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\igfxtray.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\DllHost.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Ashampoo Core Tuner] "C:\Program Files\Ashampoo\Ashampoo Core Tuner\ct.exe" -TRAY

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"

O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [LXDDCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')

Pomóżcie ponoć format nic nieda bo to sie schowało prosze mi pomóc :frowning: jestem załamany pisze ten post 3 raz bo poprzednie razy zakonczyly sie resetem komputera :(( :evil:

-- Dodane 08.09.2009 (Wt) 23:09 --

Mam jeszcze jeden proces który jest wirusem kiedy go zamkne komputer wyswietla info " hahahah restart " a kiedy usune robi sie nowy :frowning:


(Umpfh) #2

Daj loga z OTL: hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html


(MaRa) #3

Format zawsze coś da, ale jak raz udało się włamać, to znaczy że jest problem z konfiguracją, więc można włamać się jeszcze raz.

Komputer nie ma Firewalla? Bo jak ma, to można całkiem odciąć wszystkie usługi od internetu, zostawić sobie tylko port 80 na przeglądarkę, a później kolejne porty na inne niezbędne programy.


(rogacz) #4

Wg. lota w hijacku on niema ani antyvira ani firewalla


(Oksit) #5

Tutaj log z OTL >>http://wklej.org/id/147284/ <


(Lammermoor) #6

Coś mi się wydaje, że to przez program TeamViewer kolega łączy się z Twoim kompem kiedy ma na to ochotę. Pewnie miał do niego kiedyś dostęp, poustawiał co trzeba i teraz się bawi. Na początek odhacz program z autostartu, możesz to zrobić uruchamiając program Windows Defender i tam, w opcjach startujących programów go wyłączyć ( Narzędzia - > Eksplorator oprogramowania - > programy grupy Autostart). W TeamViewer zmień hasło, może skonfigurowałeś stały dostęp do komputera, kolega podejrzał, albo sam mu wysłałeś ID i hasło? Jak sobie nie dasz z tym rady, to proponuję odinstalować program, zainstalować ponownie z domyślnymi ustawieniami, wtedy oczywiście ID zostaje to samo, ale hasło zmienia się co sesję.


(rogacz) #7

ID po reinstalce team-a jest zmieniane :wink:

Poza tym ten koleś mu musiał wrzucić droższą wersję niż tą darmową bo darmowy wyświetla info gdy ktoś wchodzi do kompa.


(Umpfh) #8
  1. Odinstaluj: TeamViewer

  2. W okienko OTL wklej poniższy skrypt i klik Run Fix:

Następnie musisz usunąć klucz: MountPoints2.

Wejdź w: Start>>>Uruchom>>> wpisz: regedit

poszukaj klucza: *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion*

Explorer\MountPoints2

Usuwasz MountPoints2


(Lammermoor) #9

rogacz wiem, że ID po reinstalacji jest zmienione, chodziło mi o to, że jest stałe, a zmienia się jedynie hasło. Powinien wypowiedzieć się zainteresowany, czy ktoś mu grzebał w kompie, jeśli tak, to chyba widział co robi... w tym układzie może mieć pretensje jedynie do siebie i swojej bezmyślności.


(Oksit) #10

Team viewer nie ma nic do gadania bo akurat wczoraj byl wyłaczony a i tak mi sterowal komputerem

Wyskakiwaly mi okienka typu " Hack by Simi " " hahhaha " " Zapisz swoje prace bo zaraz wylacze ci komputer... " Pełno taki komunikatów mam znajomego to mi powiedział ze tam był backdoor i usunelismy jakis plik potem znalazl sie kolejny plik którego nie mozna usunac bo jest uzywany a jak go zakoncze w procesach to mam info Komputer wylaczy sie za minute,... :confused: podobno mam jeszcze keyloggera

Bylo takie coś > C:\Windows\System32\hkcmd.exe < usunelem

C:\Windows\ehome\ehmsas.exe - tez to nie wiem co to jest

kolejne cos hackcommand

A jeszcze mi kolega pokazal ze mi usunał jeden windowsowy plik host cos tam do portów

Mam zewnetrzne IP i mam serwer w grze a na mojej stronie (localhost ) jest napis " OTS hacked by Samik. Pzdr. " :((


(Umpfh) #11

Daj loga z Combofix'a


(Oksit) #12

Ok prosze :

http://wklej.org/id/147400/

-- Dodane 09.09.2009 (Śr) 15:26 --

!!