Prawdopodobnie mam hakera na kompie!

gerardus88 · 2 Styczeń 2008 10:10

Witam,

od jakiegoś czasu zauważyłem, że od godziny gdy zazwyczaj włączam komputer czyli 10:00 do godzin wieczornych zazwyczaj, tak do 23:00 na moim komputerze siedzi haker, bowiem blokuje on co jakiś czas dostęp do pulpitu choć by po prostu, żeby coś zrobić np. właśnie na pulpicie muszę użyć klawiszy CTRL+ALT+DELETE, gdy włączę menadżer zadań Windows to błąd znika - mam dostęp do pulpitu czy do Mozlil np oraz innych programów, które używam

Skanowałem cały dysk już wiele razy wykrył on parę Trojanów, usunąłem je, ale problem z pulpitem nie zniknął.

Wczoraj gdy użytkowałem komputer koło 2:00 w nocy, chodził on jak by był nowiutki zero jakich kolwiek problemów !

Co radzicie ?

Logfile of HijackThis v1.99.1

Scan saved at 11:14, on 2008-01-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast\ashDisp.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp5\winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\SerGIO.SERGIO-2BC68A5D\Moje dokumenty\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://e-basket.pl/Dominet_Bank_Ekstraliga

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon Toolbar\BabylonIEToolBar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast\ashWebSv.exe" /service (file missing)

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

goomish · 2 Styczeń 2008 10:17

Szczerze?

Format partycji systemowej, dokładne sprawdzenie pozostałych i reinstalacja systemu. Jak już sie upewnisz, że system i komputer jest tylko pod Twoją kontrolą - instalacja jakiegoś antywirusa, i koniecznie:

włączenie zapory internetowej lub innego firewalla
zaktualizowanie systemu co najmniej wszystkimi łatkami krytycznymi
używanie komputera tylko jako użytkownik z ograniczeniami, z w miarę silnym hasłem.

Przejęcie kontroli nad tak przygotowanym i używanym komputerem oczywiście nie jest niemożliwe ale jest mocno utrudnione i byle koleś z pryszczami tego nie zrobi. Ani większość spotykanych w sieci trojanów i innych szkodników.

gerardus88 · 2 Styczeń 2008 10:27

Może antywirusa Avasta mam zarażonego, bo zauważyłem że wogóle nie skanuje

Jaka zapore polecacie ?

goomish · 2 Styczeń 2008 10:33

Wbudowaną w system Zaporę Systemu Windows. Oczywiście jeżeli XP to koniecznie zaktualizowany do SP2.

anon70487172 · 2 Styczeń 2008 10:36

Najlepszy na rynku Outpost http://www.outpost.pl/pobierz/programy ale sama zapora.

Bo AntiWir sporo pozostawia do życzenia.

A jako AntiWirusa polecam Avira AntiVir http://www.free-av.com/

gerardus88 · 2 Styczeń 2008 10:54

Posiadam takową

instaluje również nowe nakładki XP - czyli te aktualizacje

DeadOrAlive · 2 Styczeń 2008 10:59

systemowa zapora w XP to kiszka całkowita, poszukaj lepiej jakiegoś darmowego firewalla Commodo, Sygate Personal Firewall lub coś w tym stylu. Co do antywira wybór jest ogromny, poczytaj/poszukaj na forum tematów jest wiele o nich, zresztą każdy będzie ci zachwalał co innego - sam musisz wybrać. Warunkiem skutecznego działania programu antywirusowego jest oczywiście jego bieżąca aktualizacja tak jak i samego Windowsa.

Na początek radzę wejść na http://www.ewido.com i zrobić skanowanie online. Po skanowaniu usuń wszystko co skaner znajdzie.

goomish · 2 Styczeń 2008 11:27

Nie wiem dlaczego tak sądzisz, bo przecież Windows Firewall bardzo dobrze i co najważniejsze spełnia swoją rolę. Czyli filtruje niepożądane połączania z zewnątrz nie dopuszczając do ataków.

Do tego już jest w systemie, nie ma potrzeby niczego szukać i instalować, nie stanowi dodatkowego obciążenia dla systemu (jakiekolwiek pliki potrzebne do działania WF są ładowane do pamięci komputera - ładowane są niezależnie od tego czy Zapora działa czy nie). Następna sprawa - nie ma dodatkowych, zbędnych ■■■■■ół, typu kontrola sum kontrolnych aplikacji, filtrowanie zawartości stron WWW, przeładowanego i nieczytelnego interfejsu, okienek, przełączników, opcji itp, itd.

No i, co mocno wiąże się z poprzednim - jest prosty w obsłudze, nie zadaje użytkownikowi niezrozumiałych pytań o jakieś tajemnicze porty, adresy IP czy usługi żądające dostępu do internetu. A skoro jest prosty - nie daje szansy na zezwolenie na połączenia dla programu, który takiego zezwolenia mieć nie powinien. Bo miał łudząco podobną nazwę, albo użytkownik nie wiedział co to i po co chce się łączyć.

Stgmp · 2 Styczeń 2008 11:29

Nie pisz takich bzdur , po to jest na forum dział Bezpieczeństwo i logi Hijack This ,żeby rozwiązywać problemy z syfem , a nie zaraz format

Tak . Wystarczy zobaczyć na ostatnie miejsce …

http://www.matousec.com/projects/window … esults.php

:!:

gerardus88 · 2 Styczeń 2008 11:41

Posiadam SP2

Stgmp · 2 Styczeń 2008 11:47

Zauważyłem to w 1 Twoim poście ,że masz ,widzisz sam ile jest warta zapora systemowa .

gerardus88 · 2 Styczeń 2008 11:51

To wyłączyć zaporę systemową i zainstalować inną oraz odinstalować tego antywirusa, który moim zdaniem jest zarażony i zainstalować inny ?

goomish · 2 Styczeń 2008 11:54

Z niektórym “syfem” - jak najbardziej. Albo problemy z nie działającym programem lub systemem. Wtedy format to oczywiście zwykle zbyt pochopna decyzja. Ale jeżeli doszło już do infekcji i (być może) zdalnego przejęcia kontroli nad systemem - to w zasadzie jedyny sposób, żeby mieć pewność że wszystkie szkody, pułapki i pozostałości po ataku są zlikwidowane. A potem to trzeba zrobić wszystko, żeby to był ostatni format z tego powodu :).

Czytałeś czego dotyczą ten i temu podobne testy i jakie funkcje firewalli są poddawane sprawdzeniu? Chyba nie ma nic dziwnego w tym, że Zapora Windows, program, który nie ma i nigdy nie miał funkcji kontroli ruchu wychodzącego dopuszcza do połączeń trojanów z bot-netami i przegrywa takie testy? Bo to mniej więcej tak, jakbyś wystawił konia na Międzynarodowej Wystawie Psów Rasowych i dziwił się okrutnie dlaczego jury oceniające kształt ogona, uszu itp, daje Twojemu pupilkowi minimalne noty :D.

Stgmp · 2 Styczeń 2008 12:05

goomish

Jak się nie znasz na logach to lepiej nie pisz , że radzisz format , bo taką radę może wydać w ostateczności ktoś ma o tym pojęcie , a nie ty ,a z tego co pamiętam to nie jest 1 twój przypadek kiedy nie mając pojęcia o skali zasyfienia kompa radzisz format :evil: .

Jeśli zapora z XP jest taka słaba ,że nie kontroluje ruchu wychodzącego ,to może jej nie polecać ,skoro nie spełnia podstawowych funkcji nowoczesnego firewalla . :evil:

anon75091033 · 2 Styczeń 2008 13:07

jesli chcesz miec naprawde dobra ochrone to nie uzywaj zapory systemowej tylko Outpost Firewall Pro i NOD 32 (niestety platne)

DeadOrAlive · 2 Styczeń 2008 13:14

99,9% userów XP o tym wie dobrze, że zapora w tym systemie jest g warta, dopiero w ta w Vista jest godna zaufania

jeśli uważasz, że to jest zbędne to gratuluję… :?

np. KIS 7.0 tez nie zadaje niezrozumiałych pytań, rozpoznaje procesy systemowe oraz zna większość programów korzystających z połączeń sieciowych, darmowym programem, który nie zasypuje pytaniami jest Sygate Personal Firewall, który tylko raz pyta o zgodę dla dostępu do sieci przez aplikację

co to za firewall, który nie sprawdza sumy kontrolnej, toż to kalectwo :mrgreen: