Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  64 9916
Fjøsnissen
medlem
434 73
10. mars 2013
Hei Freaks

Jeg trenger litt hjelp til å finne ut hvordan jeg kan spærre en fyr som hacket seg inn på pcen min istad. Det var ikke at han bare var på face liksom, Jeg kunne snakke med han i notepad....

Oppdaget at ikke play-knappen på tastaturet ikke ville starte sanger i Spotify, og så merket jeg at musa startet å flakse litt rundt samtidig som jeg hørte "ding" i headsettet. Samme lyd som når man prøver å backspace lenger enn det man kan, feks i tekstbokser.

Jeg merket 1,5 min etterpå at tastaturet mitt startet virkelig å spasme ut. Jeg skulle spørre folk i guilden på wow om noen hadde hatt problemer med taster som hengte seg opp på mitt tastatur, Microsoft Sidewinder X4. Plutselig sto det thank you med stor bokstaver.

Og karakteren min startet å løpe rundt omkring mens jeg ikke rørte noe. Det var først da jeg skjønte at jeg var blitt hacka alvorlig. Han gjentok ofte "Se fef fee" mens tenkte at jeg skulle endre passordet mitt på wow, men skjønte at det ikke ville være veldig lurt mens han hadde kontroll over ALT jeg gjorde. Han kunne til tider sitte å "konkurrere" med meg om hvilket vindu som skulle være åpent. Jeg lurte på om det var en bot eller et menneske, så jeg åpna notepad og spurte hvem han var. Fikk svar, men virka som om han skrev mye feil på første forsøk. Han måtte bruke backspace ofte, men det ble korrekt til slutt.

Han svarte noe sånn som "jeg bare tester deg", på engelsk da. Og den samme frasen han hadde skrevet både på wow og alle andre steder jeg hadde vært mens han så på, "Se fef fee" Det var da jeg skjønte at han virkelig kunne gjøre absolutt alt hos meg, og jeg fikk veldig noia og nappa bare ut strømledninen og nettverkskabelen fra pcen.

Sitter nå på skolepcen min og lurer på hva jeg kan gjøre for å spærre han ute, og kanskje finne ut hvem/ hvor han er fra? Har noen hørt om noen som har opplevd det samme, eller vet om en god løsning, (er ikke gira på å formatere pcen, men må det gjøres så må det gjøres)

Har også for ca 2 uker siden fått opp at en fyr hadde prøvd å logge på mailen min fra Kina.
L3gioN
FPSwhore
170 12
10. mars 2013
You just got RAT'ed.. Min anbefaling er en full reinstall av dataen.
Fjern i det minste all internett tilgang til PCen.

Tips: Anbefaler deg og bruke et program lignende "Zone Alarm". Dette hjelper deg og styre hva og hvilke programmer som skal ha internett..
trauMa
trauMa's Avatar
1.338 447
10. mars 2013
Heftig shit..! Vet ikke om det funker, men kan jo forsøke å starte pcen i sikkerhetsmodus og ta en virusscan el. lignende derfra, eventuelt rulle den tilbake til et tidligere tidspunkt. Har ikke nok greie på det, bare tenker høyt.
Benjy
DayZ Proff
Benjy's Avatar
614 181
10. mars 2013
Det du børr gjøre er og starte den i safe mode med internett? ta en virus skann vertfall



Edit: Ninjaed :O
Sist endret av Benjy; 10. mars 2013 kl. 22:15.
RosaElefant
Sees på tur!
RosaElefant's Avatar
652 379
10. mars 2013
Du har fått trojan på maskinen din. Har du antivirus? Reformater dersom du vil være på den sikre siden. Har du mottatt og åpnet noen ukjente filer i det siste?
norwegianhobo
286 25
10. mars 2013
har desverre ingen peiling på sånt, men tenker at han kan allerede ha fått tak i all infoen du har på pcen, spørst jo hvordan hack han bruker :P
det kan kanskje gå og reformatere hardisken?
Men fyf... Eg hadde blitt piss redd, hadde det vert meg..
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Eneste programmet jeg har lasta ned den siste uka er bios oppdatering fra Asus sine hjemmesider til skjermkortet mitt. Pcen har blitt veldig lite brukt den siste uka, max 2 timer totalt. Og bare til generel surfing som facebook, freak, mail, aviser. Ingen porno eller "ukjente" sider.

Har AVG installert

Sitat av norwegianhobo Vis innlegg
har desverre ingen peiling på sånt, men tenker at han kan allerede ha fått tak i all infoen du har på pcen, spørst jo hvordan hack han bruker :P
det kan kanskje gå og reformatere hardisken?
Men fyf... Eg hadde blitt piss redd, hadde det vert meg..
Vis hele sitatet...
Kan vel pent si jeg ble pissredd....

Eller vent, lasta ned mIRC istad. Har ikke brukt det ennå, men det er også noe jeg har lasta ned.
Hermzz
:)
273 40
10. mars 2013
Hadde det skjedd meg hadde jeg pissa på meg :O

EDIT; Jeg er ikke så tøff som jeg trodde
|
V
Sist endret av Hermzz; 10. mars 2013 kl. 22:22.
Vittigper
watwat
186 51
10. mars 2013
Start med å bytte ALLE passord! Om han har fått tak i mail passord f.eks. så tar det ikke lang tid før han driver med "glemt passord" greier!
Seaturtle5
Oppgitt Freak
Seaturtle5's Avatar
426 27
10. mars 2013
Har hørt at det ikke er så vansklig med hacking via IRC

Jeg ble hacka av en fyr i Liverpool. jeg sjekket nettverket mitt og sporet (connections) som var koblet til pcen min. og etter litt roting (host... hacking... Host) så stoppa jeg pcen hans og blokkerte han fra nettverket mitt. eller pcen min da :P
Sist endret av Seaturtle5; 10. mars 2013 kl. 22:29.
norwegianhobo
286 25
10. mars 2013
Reformater PCEN!! du vet ikke kor lenge han har hatt tilgang til det du har gjort, skift alle passord.
det kan godt hende han bare har leika seg, å venta til det han ville ha(kanskje wow accen din)
Sist endret av norwegianhobo; 10. mars 2013 kl. 22:30.
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Har allerede tenkt på passordene mine, og bytta masking før jeg gjorde det så er ikke så alt for redd for det nå lenger.
Lanjelin
1d8+5+4d6
Lanjelin's Avatar
Donor
1.397 535
10. mars 2013
Napp ut nettverket på PC'en det gjelder.
Bruk en annen PC til å laste ned og overføre HiJackThis til PC'en, hvor du starter dette og velger Scan and save a log file.
Last opp denne loggfilen her, hvor noen som vet hva å se etter kan ta en kikk.
Seaturtle5
Oppgitt Freak
Seaturtle5's Avatar
426 27
10. mars 2013
Sitat av Lanjelin Vis innlegg
Napp ut nettverket på PC'en det gjelder.
Bruk en annen PC til å laste ned og overføre HiJackThis til PC'en, hvor du starter dette og velger Scan and save a log file.
Last opp denne loggfilen her, hvor noen som vet hva å se etter kan ta en kikk.
Vis hele sitatet...
^^^Gjør det, Super IDE! +
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Sitat av Lanjelin Vis innlegg
Napp ut nettverket på PC'en det gjelder.
Bruk en annen PC til å laste ned og overføre HiJackThis til PC'en, hvor du starter dette og velger Scan and save a log file.
Last opp denne loggfilen her, hvor noen som vet hva å se etter kan ta en kikk.
Vis hele sitatet...
Skal se hva jeg får gjort i kveld.

Skal jeg plugge i nettverkskabelen når jeg scanner, eller gjøre det offline?
Seaturtle5
Oppgitt Freak
Seaturtle5's Avatar
426 27
10. mars 2013
Sitat av Fjøsnissen Vis innlegg
Skal se hva jeg får gjort i kveld.

Skal jeg plugge i nettverkskabelen når jeg scanner, eller gjøre det offline?
Vis hele sitatet...
offline(titegn
Zirto
Approved
706 110
10. mars 2013
Selv om man endrer passord så vil den personen som infiserte datamaskinen din se hvilke passord som har blitt endret via keylogger innebygd i de fleste RAT programvare.

Det spiller ingen rolle om du har super anti-virus program installert for å fjerne trojaner, fordi den er kryptert og gjør det umulig for AV å finne mistenkte trojaner.

1. Du kan starte å formatere pcen.
2. Sette et teip-bit på webcamen.
3. Endre passord på en annen pc som ikke er infisert. Husk å deaktivere nettverk på den pcen som har blitt infisert.
Lanjelin
1d8+5+4d6
Lanjelin's Avatar
Donor
1.397 535
10. mars 2013
Formatering er i-og-for-seg en fin ting, det gjorde underverk på en 3 år gammel laptop jeg har liggende.
Når det kommer til enkle trojanere trenger en stort sett ikke gå så drastisk til verks.

Men mindre OP sitter på Dial-up, mobil-tethering, eller med litt for mange porter åpne i routere etc, ligger det mest sansynlig en fil aktiv på PC'en hans, som poller (eller prøver på) en server et eller annet sted ute på det store vevet.
Denne filen vil da vises i kjørende prosesser, og ligger dessuten mest sansynlig på listen over ting som skal startes opp med datamaskinen.

Det vil derfor være middels til relativt stor kjangs for å finne, navngi og lokalisere denne filen, for deretter å eliminere den og fjerne oppstartinstillingene dens.
HiJackThis scanner kjørende prosesser, oppstart + div IE instillinger, og har mulighet for å eksportere det den finner til en logfil. Den fikser ingenting i seg selv
Sist endret av Lanjelin; 10. mars 2013 kl. 22:57.
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Okay, har kjørt HijackThis nå, men fikk opp en feilmelding om at programmet ikke hadde skrivetilgang i host mappen.

(c:/ Windows/system32/drivers/etc/hosts)

Sjekka hostfilen og der står det:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host
name.
# The IP address and the host name should be separated by at least
one
# space.
#
# Additionally, comments (such as these) may be inserted on
individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host


Jeg så også at navnet til en filmappe i "system32" var blå. Den heter DRVSTORE.

Dette er hva som sto på HijackThis:

Kode

 Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:03:43, on 10.03.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16464)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\NvTmru.exe
C:\Program Files (x86)\Steam\steam.exe
C:\Users\PER-Tore\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Users\PER-Tore\AppData\Roaming\Spotify\spotify.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Program Files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files (x86)\D-Link\DWL-G122_DWA-110\AirGCFG.exe
C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
C:\Program Files (x86)\AVG\AVG2013\avgui.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Logitech\G35\G35.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O2 - BHO: Logitech Flow Scroll - {E11DB59D-5008-42ff-9069-535843BC0BE1} - C:\Program Files\Logitech\FlowScroll\32-bit\LogiSmooth.dll
O4 - HKLM\..\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWL-G122_DWA-110] C:\Program Files (x86)\D-Link\DWL-G122_DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE -startup
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files (x86)\AVG\AVG2013\avgui.exe" /TRAYONLY
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Logitech G35] C:\Program Files (x86)\Logitech\G35\G35.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Spotify Web Helper] "C:\Users\PER-Tore\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Spotify] "C:\Users\PER-Tore\AppData\Roaming\Spotify\Spotify.exe" /uri spotify:autostart
O4 - Startup: CurseClientStartup.ccip
O4 - Startup: OpenOffice.org 3.4.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ANIWConn Service (ANIWConnService) - Unknown owner - C:\Windows\system32\ANIWConnService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASGT - Unknown owner - C:\Windows\SysWOW64\ASGT.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Integrated Clock Controller Service - Intel(R) ICCS (ICCS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11863 bytes
Dette er pcen i standbye, bare med notepad til Hijackthis og windows utforsker kjørende.
Sist endret av Fjøsnissen; 10. mars 2013 kl. 23:13.
Zirto
Approved
706 110
10. mars 2013
O23 - Service: ANIWConn Service (ANIWConnService) - Unknown owner - CWindows\system32\ANIWConnService.exe

aniwconnservice.exe is a process from -. It can be found in the location of CProgram Files\Common Files. It is a potential security risk which can be modified maliciously by virus. aniwconnservice.exe virus should be disabled and removed if it was attacked and brought you windows xp/vista/7 errors.
Vis hele sitatet...
http://www.exedlldb.com/process-a/an...rvice-exe.html
Slappfisk
Slappfisk's Avatar
254 57
10. mars 2013
Dude, tenk deg godt om. Tastaturet har en macrofunksjon hvor det tar opp alle bevegelser og tastetrykk du har gjort for lengden macroknappen er aktivert. Jeg gjorde nemlig akkurat det samme som deg, med akkurat det samme tastaturet. Kom borti noen knapper for en stund tilbake og da tok jeg visstnok opp en hel gamingkveld. Var akkurat det samme hysteriet som er beskrevet ovenfor, endra passord og alt.. til jeg tilslutt fant ut at jeg hadde snakka med meg selv hele tiden. Bare tenk deg om du har skrevet noe av det som har hendt tidligere.

Edit; Sjekk under prosesser om du har et program som heter "itype.exe" kjørende.
Sist endret av Slappfisk; 10. mars 2013 kl. 23:21.
GJERDE
486 61
10. mars 2013
Sitat av Slappfisk Vis innlegg
Dude, tenk deg godt om. Tastaturet har en macrofunksjon hvor det tar opp alle bevegelser og tastetrykk du har gjort for lengden macroknappen er aktivert. Jeg gjorde nemlig akkurat det samme som deg, med akkurat det samme tastaturet. Kom borti noen knapper for en stund tilbake og da tok jeg visstnok opp en hel gamingkveld. Var akkurat det samme hysteriet som er beskrevet ovenfor, endra passord og alt.. til jeg tilslutt fant ut at jeg hadde snakka med meg selv hele tiden. Bare tenk deg om du har skrevet noe av det som har hendt tidligere.

Edit; Sjekk under prosesser om du har et program som heter "itype.exe" kjørende.
Vis hele sitatet...
Tviler det er dette som har skjedd da han sa han svarte i notepad...
Slappfisk
Slappfisk's Avatar
254 57
10. mars 2013
Sitat av GJERDE Vis innlegg
Tviler det er dette som har skjedd da han sa han svarte i notepad...
Vis hele sitatet...
Som sagt, jeg gjorde akkurat det samme. Når tastaturet spiller av det han har gjort, så skriver det gjerne inn ting... det at det "svarte" er nok bare tilfeldighet

Uansett, å hacke på denne måten er totalt ubrukelig, hvis de er ute etter ett passord til for eksempel wow brukeren hans, så hadde de tatt passordet, også skrudd av hele skiten. Ingen goldfarmers gidder å sitte å kødde med folk på denne måten.
Sist endret av Slappfisk; 10. mars 2013 kl. 23:24.
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Sitat av Slappfisk Vis innlegg
Som sagt, jeg gjorde akkurat det samme. Når tastaturet spiller av det han har gjort, så skriver det gjerne inn ting... det at det "svarte" er nok bare tilfeldighet

Uansett, å hacke på denne måten er totalt ubrukelig, hvis de er ute etter ett passord til for eksempel wow brukeren hans, så hadde de tatt passordet, også skrudd av hele skiten. Ingen goldfarmers gidder å sitte å kødde med folk på denne måten.
Vis hele sitatet...

Har hatt tastaturet siden onsdag kveld. Det er HELT nytt. Har som sagt bare brukt pcen kanskje 1 time siden forrige onsdag. Har ikke spilt med det, eller snakket med noen på engelsk. Har ikke snakket om å "teste" noe system heller. Det hadde vært greit hvis jeg hadde fått et random svar, men når jeg får et svar som passer til sprøsmålet så er det mer tvil. Jeg skriver over dobelt så fort som vedkommende som som svarte, og har mye mindre skrivefeil uansett om det er på norsk eller engelsk.
Zirto
Approved
706 110
10. mars 2013
Fjøsnissen: Går du på vgs siden du nevner at du bruker en skole-pc? Hvis ja, så lever pcen din til IT-avdelingen i morgen, og be dem re-installere windows på nytt. Det er ikke noe annet du kan gjøre, dessverre.
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Men over til aniwconnservice.exe. Finner ikke filen, og for å være ærlig, er ikke helt sikker på hvor jeg skal lete heller. Åpna common files, men der lå det bare 6 mapper.

Sitat av Zirto Vis innlegg
Fjøsnissen: Går du på vgs siden du nevner at du bruker en skole-pc? Hvis ja, så lever pcen din til IT-avdelingen i morgen, og be dem re-installere windows på nytt. Det er ikke noe annet du kan gjøre, dessverre.
Vis hele sitatet...


Det er dessverre ikke skolepcen som er den infiserte. Kan være jeg presiserte litt dårlig. Det er den stasjonære "gamern" som er problemet. Hadde det vært skolepcen så hadde det ikke vært såå farlig, men siden det er den andre som virkelig er verdt noe så liker jeg ikke at noen driver å kødder med den.
Zirto
Approved
706 110
10. mars 2013
Sitat av Fjøsnissen Vis innlegg
Men over til aniwconnservice.exe. Finner ikke filen, og for å være ærlig, er ikke helt sikker på hvor jeg skal lete heller. Åpna common files, men der lå det bare 6 mapper.





Det er dessverre ikke skolepcen som er den infiserte. Kan være jeg presiserte litt dårlig. Det er den stasjonære "gamern" som er problemet. Hadde det vært skolepcen så hadde det ikke vært såå farlig, men siden det er den andre som virkelig er verdt noe så liker jeg ikke at noen driver å kødder med den.
Vis hele sitatet...
Prøv å se om du finner den filen på CWindows\system32\ANIWConnService.exe

Du kan evt. slette filen fra hijackthis.
Sist endret av Zirto; 10. mars 2013 kl. 23:38.
Vod0
4.317 1.221
10. mars 2013
Er da ganske teit å reformatere dataen bare på grunn av dette da..
Fjern internetttilgangen på dataen, stopp alle programmer som kjører, de du ikke vet hva er.
Endre alle passordene dine via skolemaskinen din.
Kjør et fullstendig søk med AVG, mens du har internettilgangen av.
lian1337
182 50
10. mars 2013
Når du trekker ut internettkabelen må du passe på å sette en knutte på den fort som faen, hvis ikke renner virusene utover gulvet!
Fjøsnissen
medlem
Trådstarter
434 73
10. mars 2013
Sitat av lian1337 Vis innlegg
Når du trekker ut internettkabelen må du passe på å sette en knutte på den fort som faen, hvis ikke renner virusene utover gulvet!
Vis hele sitatet...
Det var det første jeg gjorde. Og så tredde jeg en kondom over for sikker surfing til senere.

Men fra spøk til revolver, jeg klarte å finne den. Den lå ikke i System32, men i SysWOW64. Tror kanskje det er en mappa fra World of Warcraft, (er ikke sikker). Nå er det eneste problemet å få stoppet programmet så jeg kan slette filen...

Men, det tar jeg ikke ikveld. Alle forslag utover natten mottas med glede. Sjekker freak i morgen tidlig.
Constant
129 11
11. mars 2013
Sitat av Fjøsnissen Vis innlegg
Nå er det eneste problemet å få stoppet programmet så jeg kan slette filen...
Vis hele sitatet...
Nå kan jeg ikke stort om verken hacking eller virus, men du kan prøve å se igjennom kjørende prosesser i Oppgavebehandling. Mulig du finner noe som har samme navn som EXE filen. Prøv og avslutt prosessen om du skulle finne noe.

Lykke til - ble selv hacka på Runescape igår, ikke det at det er like alvorlig
pLaNfOrge
57 14
11. mars 2013
Sitat av Fjøsnissen Vis innlegg
Det var det første jeg gjorde. Og så tredde jeg en kondom over for sikker surfing til senere.

Men fra spøk til revolver, jeg klarte å finne den. Den lå ikke i System32, men i SysWOW64. Tror kanskje det er en mappa fra World of Warcraft, (er ikke sikker). Nå er det eneste problemet å få stoppet programmet så jeg kan slette filen...

Men, det tar jeg ikke ikveld. Alle forslag utover natten mottas med glede. Sjekker freak i morgen tidlig.
Vis hele sitatet...
kjør sikkermodus så skal du nok få slettet den
Howie91
10 0
11. mars 2013
Eventuelt slett filen via command prompt
4asd13
756 61
11. mars 2013
Ta en SS av alle kjørende prosesser i oppbevarebehandling og post her
elkjip
elkjip's Avatar
202 128
11. mars 2013
Sitat av haxxor Vis innlegg
Ta en SS av alle kjørende prosesser i oppbevarebehandling og post her
Vis hele sitatet...
Dette ligger allerede i hijackthisloggen noen poster lengre oppe
4asd13
756 61
11. mars 2013
Sitat av elkjip Vis innlegg
Dette ligger allerede i hijackthisloggen noen poster lengre oppe
Vis hele sitatet...
Der ser man hvor oppmerksom man er når man skal hjelpe noen mens man sover
Bemu
308 167
11. mars 2013
Kom deg inn på battle.net å skaff deg authenticator til accounten din,så er hvertfall den safe.
Freakaholic
647 466
11. mars 2013
Sitat av lian1337 Vis innlegg
Når du trekker ut internettkabelen må du passe på å sette en knutte på den fort som faen, hvis ikke renner virusene utover gulvet!
Vis hele sitatet...
Dårlige forsøk på å være morsom blir ofte enda verre når man ikke kan stave. Hva er en knutte?
homoludens
homoludens's Avatar
579 439
11. mars 2013
Høres ut som du er ute og kjører ja. Mest sannsynlig er dette bare en unge som leker seg, og tror han er leet haxor (noe han definitivt ikke er), men for å være på den sikre siden bør du formattere disken din, og helst endre passord på alle viktige kontoer.

Hvis du ikke har peiling på å reinstallasjon av Windows kan du alternativt poste et innlegg på hackforums og se om noen er villige til å hjelpe deg med å bli kvitt skiten.

http://www.hackforums.net/forumdisplay.php?fid=115
Bemu
308 167
11. mars 2013
Sitat av Freakaholic Vis innlegg
Dårlige forsøk på å være morsom blir ofte enda verre når man ikke kan stave. Hva er en knutte?
Vis hele sitatet...
Hvis du trekker fra en "t", hva blir det da mon tro? How hard was that?
DfenZ
benzonerd
DfenZ's Avatar
1.641 886
11. mars 2013
Denne artikkelen er verdt å lese.

Når du først har fått renset pcen vil jeg anbefale deg på det sterkeste å laste ned sandboxie og kjør alt av kjørbare filer der før du evt. velger å gjøre det utenom. Hvis du skulle være så uheldig å faktisk kjøre ett infisert program vil sandboxie spare deg for det du driver med nå
Sist endret av DfenZ; 11. mars 2013 kl. 07:47.
cheetos
140 32
11. mars 2013
Dfenz, bare for å være vrien. Folk kan legge til virus i legit software.
pinkrabbitz
1.338 373
11. mars 2013
Sitat av cheetos Vis innlegg
Dfenz, bare for å være vrien. Folk kan legge til virus i legit software.
Vis hele sitatet...
Og? Så lenge'n kjører det legit softwaret som inneholder virus i sandboxie vil han likevel være spart for det bryet han holder på med nå.
cheetos
140 32
11. mars 2013
Sitat av pinkrabbitz Vis innlegg
Og? Så lenge'n kjører det legit softwaret som inneholder virus i sandboxie vil han likevel være spart for det bryet han holder på med nå.
Vis hele sitatet...
Også kjører TS programmet uten virtualbox siden det funket knall..
Last ned fra legit kilder i stedefor å teste random programm fra mediafire
Myoxocephalus
3.531 11.167
11. mars 2013
Sitat av Freakaholic Vis innlegg
Dårlige forsøk på å være morsom blir ofte enda verre når man ikke kan stave. Hva er en knutte?
Vis hele sitatet...
En knutte er en mangehalet, ruglete pisk med jernkuler eller knuter i endene. Skiller seg fra den nihalede katten ved at den er lengre og (om mulig) enda jævligere. Den spiller en viss rolle i "Tsarens Kurér" av Jules Verne, hvis du har lest den boka. På engelsk heter den knout;
http://en.wikipedia.org/wiki/Knout
Fjøsnissen
medlem
Trådstarter
434 73
11. mars 2013
Jeg har testa litt nå, og fikk tilslutt avslutta programmet, og fjernet det fra pcen. Har satt pcen tilbake 2 måneder, og sjekka alle nedlastninger som jeg har gjort, fant ikke noe som var misstenkelig. Håper det er borte nå.Får bare droppe å bruke den til kjøp av ting til etter TG. Tar å formaterer harddisken etter TG sånn for å være sikker.
DfenZ
benzonerd
DfenZ's Avatar
1.641 886
11. mars 2013
Sitat av cheetos Vis innlegg
Dfenz, bare for å være vrien. Folk kan legge til virus i legit software.
Vis hele sitatet...
Sitat av cheetos Vis innlegg
Også kjører TS programmet uten virtualbox siden det funket knall..
Last ned fra legit kilder i stedefor å teste random programm fra mediafire
Vis hele sitatet...
Så lenge man kjører programmet i sandboxie så vil man jo faktisk se hva som skjer og derfra bedømme selv om det er noe man har lyst til å ha kjørende fritt eller ikke. Om det er installasjonsfilen til firefox lastet ned rett fra hjemmesidene deres eller "1clickH4xX_facebook.exe" fra en luguber side fra russland har ingen verdens ting å si.
amber
amber's Avatar
154 27
11. mars 2013
http://systemexplorer.net/file-datab...ice-exe/665531

ANIWConn Service (ANIWConnService) ser ut til å være safe...
Coffee
87 32
12. mars 2013
Jeg synes det mest åpenbare i loggen er følgende linje;

Kode

C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe
Gratis remote desktop, ifølge Wikipedia.

Er dette noe TS har installert bevisst, og er forventet å befinne seg på systemet?
hemmeligegreier
1.517 762
12. mars 2013
Sitat av Seaturtle5 Vis innlegg
Har hørt at det ikke er så vansklig med hacking via IRC
Vis hele sitatet...
Hvordan skal det liksom foregå da?
1 2 >