Gå til innhold


Bilde

Meldinger dukker opp..


  • Vennligst logg inn for å svare.
69 svar til dette emnet

#1 Issi

Issi

    Nyansatt

  • Pip
  • 52 Innlegg:

Skrevet 11 April 2010 - 17:18

Har enda ikke fått ordnet dette, og den forige emnet ble inaktivt.
Her er Hijackthis logg, MBAM viste bare ren

Spoiler

  • 0

#2 Kakeshoma

Kakeshoma

    Superbruker

  • 2840 Innlegg:
  • System: Windows 8.1

Skrevet 11 April 2010 - 17:26

Hvilke meldinger dukker opp?
  • 0

#3 Issi

Issi

    Nyansatt

  • Trådstarter
  • Pip
  • 52 Innlegg:

Skrevet 11 April 2010 - 18:03

Vel, det er sånn meldinger der en person skriver på, så gjør h*n til at jeg kan trykke ja, nei eller ignorer (kanskje flere alternativer) De bare dukker opp. Ikke via MSN eller lignende. Først fikk jeg: Bill gates is watching you!!!, så kom det: Windows kan ikke finne filen, vil du ha en iskrem istedet? eller noe sånt. Så skrev den personen flere, og på flere av meldingene sto navnet mitt, og på den ene litt av etternavnet. H*n har skrevet flere personlige meldinger. Aner ikke hva han bruker, h*n kan overvåke hva jeg gjør også, så jeg snakket med han med notepad.

Skriver h*n fordi jeg ikke vet kjønn. Garantert en han

Dette innlegget er endret av Issi: 11 April 2010 - 18:05

  • 0

#4 Kakeshoma

Kakeshoma

    Superbruker

  • 2840 Innlegg:
  • System: Windows 8.1

Skrevet 11 April 2010 - 18:16

Vil anbefale deg å ikke være tilkoblet internett og nettverket på den maskinen inntil du har fått hjelp.

Du kan prøve å starte i sikkerhetsmodus (trykk F8 under oppstart) og velg Sikkerhetsmodus uten nettverkstilkobling.
Og kjør fult systemsøk med antivirusprogram og MBAM.

Dette innlegget er endret av Kakeshoma: 11 April 2010 - 18:16

  • 0

#5 Issi

Issi

    Nyansatt

  • Trådstarter
  • Pip
  • 52 Innlegg:

Skrevet 11 April 2010 - 18:22

Ok, men han skrev også at han ble aldri funnet, så det var ikke vits for meg å finne ut. Og at han kan slå av dataen min og ødelegge den. Jeg har søkt mye med MBAM og flere som er anbefalt her, men på forige tråden min fikk jeg ikke hjelp med det jeg trengte hjelp til.
  • 0

#6 snippsat

snippsat

    Malware Support Team

  • PipPipPipPip
  • 1721 Innlegg:
  • System: windows

Skrevet 11 April 2010 - 18:33

Start HijackThis "scan" finn denne linjen merk den,så trykk fix checked.
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe

Last Combofix ned ,legg på skrivebordet.
Ikke klikk på vindu mens programmet kjører.
post logg C:\combofix.txt
  • 0

#7 Issi

Issi

    Nyansatt

  • Trådstarter
  • Pip
  • 52 Innlegg:

Skrevet 11 April 2010 - 19:32

Sånn.

Combofix logg:
Spoiler

Dette innlegget er endret av Issi: 11 April 2010 - 19:33

  • 0

#8 snippsat

snippsat

    Malware Support Team

  • PipPipPipPip
  • 1721 Innlegg:
  • System: windows

Skrevet 11 April 2010 - 20:23

loggen ser bra ut.

Du har en fil fra hamachi
Bruker du den sørg for og ha den oppdatert eventuelt skift passord.
Den kan brukes til og få tilgang til din pc.

Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc.

Last ned kjør CCleaner
'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer som er eldere enn 48 t.
Kjør register-renser "svar ja til og reparere" --> backup svar ja når du blir spørt.
Kjør register-renser et par ganger til alle feil er borte.

Se om meldinding blir borte.
  • 0

#9 Issi

Issi

    Nyansatt

  • Trådstarter
  • Pip
  • 52 Innlegg:

Skrevet 11 April 2010 - 20:33

Har gjort det nå.

Jeg må bare si at han har utgitt seg for å være ei i Kripos, men jeg har sendt mail til dem og det var ikke henne, så jeg tror han er litt rett. Han overvåker sikkert, men tørr ikke å sende meldinger sånn at jeg vet han ser på. Så det er litt vanskelig å vite om han er borte.
  • 0

#10 snippsat

snippsat

    Malware Support Team

  • PipPipPipPip
  • 1721 Innlegg:
  • System: windows

Skrevet 11 April 2010 - 21:55

Ja gir det seg ikke får du si fra,da går vi hardere tilverks og monitorer nettverket.
Eventult skifte ut brannmuren din fra Canal Digital Sikkerhetspakken som du har nå med online armor.
  • 0

#11 Morten58

Morten58

    Head Honcho

  • PipPipPipPip
  • 4078 Innlegg:

Skrevet 12 April 2010 - 01:15

Ideen om å overvåke nettverket er kanskje ikke så dum. Jeg vurderte å foreslå TCPVIEW da jeg sjekket logger tidlig i påsken, men jeg fant ut at et slik forslag burde begrunnes i noe konkret.

Combofix-loggene i den forrige tråden som ble stengt lister opp en haug av programmeringsverktøy som nå er blitt borte igjen:
2010-03-18 18:58 . 2009-07-19 18:50 -------- d-----w- c:\program files\Cheat Engine
2010-02-26 14:41 . 2010-02-27 09:08 -------- d---a-w- C:\xampp
+ En lang rekke med programmeringsverktøy. Disse er loggført mellom 5. og 8. februar - dvs. rett etter Hamachi LogMeIn.

Førsteinntrykket mitt da jeg leste beskrivelsen hennes var at dette lignet mer på en "hacker" enn på "normal malware". Jeg har ikke fulgt godt med på malware-saker det siste året, men jeg gjetter på at de sjelden pleier å kommunisere direkte med folk "Jeg liker deg", "Du har fine ...", "Jeg jobber i Kripos". Stilmessig minner dette mer om en hacker som "dør" etter å teste om ting virker, men som er lite opptatt av om programmene blir oppdaget.

Dette innlegget er endret av Morten58: 12 April 2010 - 01:18

  • 0

#12 Bajazz

Bajazz

    Noitpro

  • PipPipPipPip
  • 3124 Innlegg:
  • System: Fungerende

Skrevet 12 April 2010 - 10:06

Bare for å gi et lite bidrag hvis overvåking av nettverket blr valgt.

Nirsoft har et utmerket verktøy (CurrPorts) som viser en liste over alle åpne TCP/IP og UDP-porter på din lokale datamaskin.
For hver port i listen vises informasjon om prosessen som åpnet porten.(Produktnavn, filbeskrivelse, osv)

Programmet gir deg mulighet til å avslutte uønskede TCP-forbindelser og drepe prosessen som åpnet portene
og lagre TCP/UDP-portene's informasjon til tekstfil.

Merker automatisk (rosa) mistenkelige TCP/UDP porter som er åpnet av uidentifiserte programmer.
(Programmer uten versjons informasjon og ikoner)
http://www.nirsoft.n...ils/cports.html

Det kan også være verdt å sjekke ut hosts-filen.
http://itpro.no/supp...showtopic=75070
  • 0

#13 Issi

Issi

    Nyansatt

  • Trådstarter
  • Pip
  • 52 Innlegg:

Skrevet 12 April 2010 - 17:25

Jeg lastet ned Currports som Bajazz skrev om.
Jeg aner ikke hva som er hva osv. (Har ikke så mye peiling på data og slikt), men noe het Unknown der og hva er det? Og mange System'er.. Er det normalt?

Det er nok sikkert en hacker ja, Morten. Men hva skal jeg gjøre nå?
  • 0

#14 Bajazz

Bajazz

    Noitpro

  • PipPipPipPip
  • 3124 Innlegg:
  • System: Fungerende

Skrevet 13 April 2010 - 16:26

Jeg er ingen ekspert når det gjelder nevt program, men lastet det ned pga nysgjerrighet for å sjekke hva som forgikk på min pc.
Spesielt var jeg inntressert i hva som skjedde mens det teoretisk ikke skulle skje noe.

Eksempel på hva som ble logget mens pc'n ikke var satt til noen oppgaver.
Prosessen som startet tilhører Norton så resultatet var egentlig ingen overraskelse.
13.04.2010 12:15:56 Added           ccSvcHst.exe         TCP 10.0.0.2:3550:3550     217.13.4.151:80:80    13.04.2010 12:15:57 Removed         ccSvcHst.exe         TCP 10.0.0.2:3550:3550     217.13.4.151:80:80    13.04.2010 12:18:22 Added           ccSvcHst.exe         TCP 10.0.0.2:3551:3551     217.13.4.152:80:80    13.04.2010 12:18:22 Added           ccSvcHst.exe         TCP 10.0.0.2:3552:3552     217.13.4.152:80:80    13.04.2010 12:18:22 Added           ccSvcHst.exe         TCP 10.0.0.2:3553:3553     217.13.4.152:80:80    13.04.2010 12:18:22 Added           ccSvcHst.exe         TCP 10.0.0.2:3554:3554     217.13.4.152:80:80    13.04.2010 12:18:33 Removed         ccSvcHst.exe         TCP 10.0.0.2:3551:3551     217.13.4.152:80:80    13.04.2010 12:18:33 Removed         ccSvcHst.exe         TCP 10.0.0.2:3552:3552     217.13.4.152:80:80    13.04.2010 12:18:33 Removed         ccSvcHst.exe         TCP 10.0.0.2:3553:3553     217.13.4.152:80:80    13.04.2010 12:18:33 Removed         ccSvcHst.exe         TCP 10.0.0.2:3554:3554     217.13.4.152:80:80    13.04.2010 12:18:48 Added           ccSvcHst.exe         TCP 10.0.0.2:3555:3555     143.127.102.25:443:44313.04.2010 12:18:49 Removed         ccSvcHst.exe         TCP 10.0.0.2:3555:3555     143.127.102.25:443:44313.04.2010 12:24:57 Added           ccSvcHst.exe         UDP 0.0.0.0:3557:3557      *:*                   13.04.2010 12:24:58 Removed         ccSvcHst.exe         UDP 0.0.0.0:3557:3557      *:*                   13.04.2010 12:25:57 Added           ccSvcHst.exe         TCP 10.0.0.2:3558:3558     217.13.4.150:80:80    13.04.2010 12:25:59 Removed         ccSvcHst.exe         TCP 10.0.0.2:3558:3558     217.13.4.150:80:80    13.04.2010 12:30:59 Added           ccSvcHst.exe         TCP 10.0.0.2:3564:3564     217.13.4.151:80:80    13.04.2010 12:31:00 Removed         ccSvcHst.exe         TCP 10.0.0.2:3564:3564     217.13.4.151:80:80    13.04.2010 12:41:00 Added           ccSvcHst.exe         TCP 10.0.0.2:3566:3566     217.13.4.151:80:80    13.04.2010 12:41:01 Removed         ccSvcHst.exe         TCP 10.0.0.2:3566:3566     217.13.4.151:80:80    13.04.2010 12:46:21 Added           ccSvcHst.exe         TCP 10.0.0.2:3567:3567     217.13.4.150:80:80    13.04.2010 12:46:22 Removed         ccSvcHst.exe         TCP 10.0.0.2:3567:3567     217.13.4.150:80:80    13.04.2010 12:51:22 Added           ccSvcHst.exe         TCP 10.0.0.2:3568:3568     217.13.4.150:80:80    13.04.2010 12:51:23 Removed         ccSvcHst.exe         TCP 10.0.0.2:3568:3568     217.13.4.150:80:80    13.04.2010 12:56:23 Added           ccSvcHst.exe         TCP 10.0.0.2:3569:3569     217.13.4.151:80:80    13.04.2010 12:56:24 Removed         ccSvcHst.exe         TCP 10.0.0.2:3569:3569     217.13.4.151:80:80    13.04.2010 13:06:24 Added           ccSvcHst.exe         TCP 10.0.0.2:3571:3571     217.13.4.152:80:80    13.04.2010 13:06:25 Removed         ccSvcHst.exe         TCP 10.0.0.2:3571:3571     217.13.4.152:80:80    13.04.2010 13:11:45 Added           ccSvcHst.exe         TCP 10.0.0.2:3572:3572     217.13.4.150:80:80    13.04.2010 13:11:46 Removed         ccSvcHst.exe         TCP 10.0.0.2:3572:3572     217.13.4.150:80:80    13.04.2010 13:19:14 Added           ccSvcHst.exe         TCP 10.0.0.2:3577:3577     217.13.4.151:80:80    13.04.2010 13:19:14 Added           ccSvcHst.exe         TCP 10.0.0.2:3574:3574     217.13.4.151:80:80    13.04.2010 13:19:14 Added           ccSvcHst.exe         TCP 10.0.0.2:3575:3575     217.13.4.151:80:80    13.04.2010 13:19:14 Added           ccSvcHst.exe         TCP 10.0.0.2:3576:3576     217.13.4.151:80:80    13.04.2010 13:19:15 Removed         ccSvcHst.exe         TCP 10.0.0.2:3577:3577     217.13.4.151:80:80    13.04.2010 13:19:15 Removed         ccSvcHst.exe         TCP 10.0.0.2:3574:3574     217.13.4.151:80:80    13.04.2010 13:19:15 Removed         ccSvcHst.exe         TCP 10.0.0.2:3575:3575     217.13.4.151:80:80


Startet og avsluttet Firefox
13.04.2010 15:10:05 Added           firefox.exe          TCP 10.0.0.2:4169:4169     91.198.174.2:80:80    13.04.2010 15:10:05 Added           firefox.exe          TCP 10.0.0.2:4167:4167     74.125.77.100:80:80   13.04.2010 15:10:05 Added           ccSvcHst.exe         TCP 10.0.0.2:4165:4165     143.127.102.125:80:80 13.04.2010 15:10:05 Added           ccSvcHst.exe         TCP 10.0.0.2:4168:4168     143.127.102.125:80:80 13.04.2010 15:10:05 Added           firefox.exe          TCP 10.0.0.2:4163:4163     74.125.77.104:80:80   13.04.2010 15:10:05 Added           firefox.exe          TCP 10.0.0.2:4166:4166     64.41.151.141:80:80   13.04.2010 15:10:05 Added           firefox.exe          TCP 10.0.0.2:4164:4164     74.125.77.104:80:80   13.04.2010 15:10:05 Added           svchost.exe          UDP 0.0.0.0:59930:59930    *:*                   13.04.2010 15:10:05 Added           svchost.exe          UDP 0.0.0.0:53387:53387    *:*                   13.04.2010 15:10:05 Added           svchost.exe          UDP 0.0.0.0:55334:55334    *:*                   13.04.2010 15:10:06 Removed         firefox.exe          TCP 10.0.0.2:4169:4169     91.198.174.2:80:80    13.04.2010 15:10:06 Removed         ccSvcHst.exe         TCP 10.0.0.2:4165:4165     143.127.102.125:80:80 13.04.2010 15:10:06 Removed         ccSvcHst.exe         TCP 10.0.0.2:4168:4168     143.127.102.125:80:80 13.04.2010 15:10:06 Removed         firefox.exe          TCP 10.0.0.2:4166:4166     64.41.151.141:80:80   13.04.2010 15:10:06 Removed         svchost.exe          UDP 0.0.0.0:59930:59930    *:*                   13.04.2010 15:10:06 Removed         svchost.exe          UDP 0.0.0.0:53387:53387    *:*                   13.04.2010 15:10:06 Removed         svchost.exe          UDP 0.0.0.0:55334:55334    *:*                   13.04.2010 15:10:16 Added           Unknown              TCP 10.0.0.2:4167:4167     74.125.77.100:80:80   13.04.2010 15:10:16 Added           Unknown              TCP 10.0.0.2:4163:4163     74.125.77.104:80:80   13.04.2010 15:10:16 Added           Unknown              TCP 10.0.0.2:4164:4164     74.125.77.104:80:80   13.04.2010 15:10:16 Removed         firefox.exe          TCP 10.0.0.2:4167:4167     74.125.77.100:80:80

Bruk google for søk etter System Process, legg til ID nr.
System Process ID 4 http://support.microsoft.com/kb/837243

Unknown: kan være linker på websider, som dukker opp når du stenger nettleseren og de forsvinner over tid.
Åpner du f.eks din mailklient og trykker send/motta vil også det legge til oppføringer merket "Unknown"


Søkte litt etter chat via notepad hvor denne dukket opp.
http://forums.fedora...ad.php?t=235440

Det eneste jeg kan forslå er å sette igang logging når disse meldingene dukker opp, gjøres via File>Log changes.
Anbefaler også at du setter programmet til Auto refresh via options.
Steng alle åpne program som nettleser, windows live messenger osv for at loggen skal bli så "ren" som mulig.
  • 0

#15 pijano

pijano

    Forumadministrator

  • 4046 Innlegg:
  • System: Windows
  • Kjernekompetanse:PC-hjelp

Skrevet 13 April 2010 - 16:54

En liten tanke.
Ettersom du har en fil fra Hamachi i systemmappa di, så hadde jeg tatt en titt etter et program som heter LogMeIn i Programmer og Funksjoner (der ligger installerte programmer, samt Windows-oppdateringer), som du finner gjennom kontrollpanelet. Dette er et fjernstyringsprogram. Koble fra internett og sjekk etter LogMeIn og avinstaller det.
Om du ikke finner det, kan det være greit å oppgi her diverse program som ligger der som du er usikker på.

Dette innlegget er endret av pijano: 13 April 2010 - 16:54

  • 0




0 bruker(e) leser dette emnet

0 brukere, 0 gjester, 0 anonyme brukere