Hakkeri

Koneeni on hakkeroitu ja viety ainakin yksi käyttäjätunnus ja salasana. Lisäksi koneen työpöydälle oli laitettu IE pikakuvake jota klikkaamalla asia selvisi minulle.
Millaisella ohjelmalla pystytään tekeen tuollaista? Meinaan sitä että onkohan se vielä koneellani?
Hakkeri oli sikäli huolimaton että varastaessaan minun käyttäjätunnuksen niin hän jätti oman sähköposti osoitteensa näkyville.( *edit by Jannejt* )
Sähköposti on ilmeisesti rekistöröity israeliin. Jos teen rikosilmoituksen niin johtaako se mihinkään kun hakkeri ei ole suomalainen?
Ja millä ohjelmalla poistan vakoiluohjelman?
Vai löytyisikö joku joka hakkeroisi takaisin minun käyttäjätunnuksen ja salasanan?

 

Terveydellä ei kannata leikkiä, sama koneissa...Sääntö numero 1 Suojaus pitää olla kunnossa ja ajantasalla

Toivottavasti se viety tunnus ei ole ainoa järjestelmänvalvojan oleva?

 

Laita HjT-loki, niin katotaan, näkyykö asia siitä, ohjelman saat täältä -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

Logfile of HijackThis v1.99.1
Scan saved at 13:00:03, on 2.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aaotracker.4players.de/usertracker.php?userid=103311
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Ohjelmat\SPYBOT~1.1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fi\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122012525312
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{158A3DAF-A96B-4D84-820A-224A0CCAB506}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CE8F2CE-EB34-4C7A-B426-3B4B28963AF1}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{158A3DAF-A96B-4D84-820A-224A0CCAB506}: NameServer = 192.168.0.254
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Fixaa tämä:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c...

Ja jos tämä ei ole asettamasi kotisivu, niin fixaa myös nämä:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aaotracker.4players.de/usertracker.php?userid=103311
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab

Mitään sellaista ohjelmaa ei näy lokissa, mutta voit laittaa uninstall-listan: open misc tools -> open uninstall manager -> save list -> tallenna ja lähetä tänne.

 

Boottidiskillä apinakin saa murrettua Windows 2000/XP Admin salasanan. Jos et siis ole admin enään niin netistä sopiva boottikorppu ja asiaa korjaamaan. Ei kestä kuin minuutin ja on todella helppo toimenpide.

 

Ad-Aware SE Personal
Adobe Acrobat 7.0.1 and Reader 7.0.1 Update
Adobe Acrobat 7.0.2 and Reader 7.0.2 Update
Adobe Acrobat 7.0.3 and Reader 7.0.3 Update
Adobe Download Manager 2.0 (Poista ainoastaan)
Adobe Reader 7.0 - Suomi
Adobe Reader 7.0 - Suomi
Adobe Reader Multimedia Package
America's Army
EasyCleaner
G3 Torrent
Google Earth
HijackThis 1.99.1
HP:n valokuva- ja kuvankäsittelyohjelma 2.0 - All-in-One
HP:n valokuva- ja kuvankäsittelyohjelma 2.0 - All-in-One Ohjain
InCD (Ahead Software)
J2SE Runtime Environment 5.0 Update 5
Language pack for Ad-Aware SE
Macromedia Shockwave Player
Microsoft Office XP Professional
mIRC
MSN Gaming Zone
MSN Messenger 7.0
MSN Työkalupalkki
Nero
NVIDIA Drivers
NVIDIA Windows 2000/XP Display Drivers
Opera
PowerArchiver
Päivitys Windows XP:lle (KB894391)
Päivitys Windows XP:lle (KB896727)
Päivitys Windows XP:lle (KB898461)
QuickTime
RealPlayer
SiSoftware Sandra Lite 2005.SR2a (Win64/32/CE)
Skype 1.2
Suojauspäivitys Windows XP:lle (KB890046)
Suojauspäivitys Windows XP:lle (KB893066)
Suojauspäivitys Windows XP:lle (KB893756)
Suojauspäivitys Windows XP:lle (KB896358)
Suojauspäivitys Windows XP:lle (KB896422)
Suojauspäivitys Windows XP:lle (KB896423)
Suojauspäivitys Windows XP:lle (KB896428)
Suojauspäivitys Windows XP:lle (KB896688)
Suojauspäivitys Windows XP:lle (KB899587)
Suojauspäivitys Windows XP:lle (KB899588)
Suojauspäivitys Windows XP:lle (KB899589)
Suojauspäivitys Windows XP:lle (KB899591)
Suojauspäivitys Windows XP:lle (KB900725)
Suojauspäivitys Windows XP:lle (KB901017)
Suojauspäivitys Windows XP:lle (KB901214)
Suojauspäivitys Windows XP:lle (KB902400)
Suojauspäivitys Windows XP:lle (KB904706)
Suojauspäivitys Windows XP:lle (KB905414)
Suojauspäivitys Windows XP:lle (KB905749)
TWL AA Cheat Deterrent Client
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows XP Hotfix - KB873333
Windows XP Hotfix - KB873339
Windows XP Hotfix - KB885250
Windows XP Hotfix - KB885835
Windows XP Hotfix - KB885836
Windows XP Hotfix - KB885884
Windows XP Hotfix - KB886185
Windows XP Hotfix - KB887472
Windows XP Hotfix - KB887742
Windows XP Hotfix - KB888113
Windows XP Hotfix - KB888302
Windows XP Hotfix - KB890859
Windows XP Hotfix - KB891781
Windows XP Hotfix - KB893086
Windows XP Service Pack 2
WinRAR-pakkausohjelma
WinZip
ZoneAlarm

 

Ei näy örkkejä tuossakaan, joten saat varmaan nukkua yösi rauhassa

 

"Fixaa tämä:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c..."

miten toi fixaaminen tapahtuu? Poistan vaan rekisteristä ton?
Ja mikähän toi mahtaa olla?

Onko kuitenkin mahdollista että koneellani on käyty? Meinaan kun oon siitä melko varma koska työpöydälle oli ilmaantunut IE pikakuvake.


Edit:
Sitten toi toinen linkki (-/LaunchGame.cab) Mahtaisi olla? Minulla on kotisivuna se edellinen ( http://aaotracker.4players.de/usertracker.php?userid=103311
)linkki, jonka salasana ja käyttäjätunnus on vaihdettu.

 

Siis onko tämä sun "oikea" kotisivu? -> http://aaotracker.4players.de/usertracker.php?userid=103311

Käynnistät hijackthisin, klikkaat do a system scan only, merkkaat tämän ja painat fix checked:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c...

ja myös nämä, jos tuo ei ollut oikea kotisivu:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aaotracker.4players.de/usertracker.php?userid=103311
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab

Tuo windupdates on haitallinen activex-komponentti, tuossa siitä lisää tietoa -> http://www.spywareguide.com/product_show.php?id=1148

 

http://aaotracker.4players.de/usertracker.php?userid=103311

Tämä on oikea kotisivu jonka hakkeri on hakkeroinut ja muuttamut sen privatiksi. Hakkeri muutti käyttäjätunnuksen salasanan ja sähköposti osoitteen.
Se miksi hän sen teki johtui siitä että minut on tässä pelissä rankattu varsin korkealle maailmantilastossa. Hakkeri nousi maansa tilastoissa kakkoseksi kun hän varasti minun pelinimen (nikin, account)

 

no jos pystyt osoittamaan,että koneellesi on murtauduttu ni ota yhteys viranomaisiin.

 

Ettet vaan olisi joutunut keyloggerin uhriksi? Luultavasti jos tekisit rikosilmoituksen niin poliisi ei tähän puuttuisi. Ja vaikka puuttuisi niin se tuskin johtaisi mihinkään.

 

Soitin poliisille, mutta kun ne kuuli että hakkeri on israelista niin rikostutkija sanoi heti että: ei ole resursseja sellaiseen.

Mitäs toi keylogger meinaa? En tiedä saanko soneralta tietoja siitä että onko joku yrittänyt koneelle. Tarkoitus on kuitenkin soittaa.

Ps. Kiitos -kemistille- vaivannäöstä

 

Zanzibar jos satut tietämään millä nimellä toi peelo pyörii AA servuilla niin kerro ihmeessä. Vois käydä vähän kettuilee kaverille...tehdä sen pelaamisesta kurjaa.

 

.z3x#2^.

 

Rekisteristä löytyi Keylogger-Pro ja Fish. Poistin ne kummatkin. Onko se riittävä toimenpide?

 

Huunou? Aja vielä varmuudeksi eScan, Ewido ja Unhacme

http://koti.mbnet.fi/pattaya1/escanmwav.htm

http://www.ewido.net/en/download/

http://www.greatis.com/unhackme.zip

Ja laita tänne lokia jos nuo jotain löytää.

 

Sun kannattaa valittaa viel tonne aaotrackkeriin, että sun käyttäjätunnus on varastettu ja kysyy jos ne palauttais vanhan salasanan takas ja sit vaihdat sen salasanan uudestaan