Min PC er hijacked

17. april 2004

Rett etter at jeg kobler meg på nett begynner Norton Antivirus å scanne en hel haug utgående mail. De mailene som går til ikke-eksisterende mail adresser gir feilmeldinger og da ser jeg at den utgående mailen er typisk spam, slik som "penis enlargement".

Jeg regner da med at pcen min blir bruk som en slags spambot, og kjørte da adaware, virusscan, spybot og hijackthis (Se loggfilen til hijackthis nedenfor). Ingenting av dette hjalp, og finner heller ingen prosesser el. som ser suspekte ut.

Når jeg kjørte netstat i cmd fant jeg en hel haug slike:

TCP ThomasOlsen:3594 localhost:3013 Time_Wait
TCP ThomasOlsen:3594 localhost:3013 Established

Dette ser ut til å ha noe med problemet å gjøre. Håper derfor at noen her har opplevd noe lignende eller har noen idèer til hva jeg kan gjøre...

Spybot log file:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe
C:\Programfiler\Norton Internet Security\NISUM.EXE
C:\Programfiler\Norton Internet Security\ccPxySvc.exe
C:\Programfiler\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe
C:\Programfiler\Messenger\msmsgs.exe
C:\WINDOWS\System32\cmd.exe
C:\Programfiler\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas Olsen\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.no/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.no/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.no/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: mpeg itch - {97138CD3-8636-97FC-4279-1C8F92267D72} - C:\PROGRA~1\INSIDE~1\default upload.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [kppwrhc] rundll32 C:\WINDOWS\System32:kppwrhc.dll,Init 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.online.no/
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...952.3034027778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{191B6F58-3D0D-45C5-B176-D428F7072C23}: NameServer = 193.213.112.4 130.67.60.68

Sist endret av Virtous; 17. april 2004 kl. 15:05.

meitemark

Administrator

10.156 4.182

17. april 2004

dissse kan du slette:
O3 - Toolbar: mpeg itch - {97138CD3-8636-97FC-4279-1C8F92267D72} - C:\PROGRA~1\INSIDE~1\default upload.dll

O4 - HKLM\..\Run: [kppwrhc] rundll32 C:\WINDOWS\System32:kppwrhc.dll,Init 1

---
så vidt jeg kan se er alle andre saker som skal kjøre. du kan prøve å drepe prosessen rundll32.exe (ikke fjerne, bare skru av) og se om det hjelper.

Virtous

Trådstarter

15 1

17. april 2004

Fjernet disse, og ble kvitt en toolbare som og har plaget meg litt, men problemet med utgående spam er fortsat der :-(

enquiry

247 2

18. april 2004

Formater og reinstaller, så er du på den sikre siden.

seeker

335 0

18. april 2004

Det er en jævla dårlig løsning å formatere for noe så lite, men jeg tror nesten jeg er enig med enquiry. Hvis du blir brukt til å sende utgående spam, så kan det være mer enn et vilkårlig virus. Da kan det være veldig vanskelig å finne hva som forårsaker dette.

Det du derimot bør gjøre før du formaterer, er å prøve dette, og så vente på svar her:
1. Start et kommandovindu
start --> run --> cmd.exe

2. Gå inn i en mappe du finner lett frem til. Feks "cd C:"

3. Kjør "netstat -aon > portliste.txt". Filen portliste vil da ende opp i den mappa du gikk inn i i punkt 2.

4. Åpne taskmanager(CTRL-ALT-DEL --> Task Manager). Pass på at "PID" er krysset av i menyen View --> Select Columns i task manager.

Så poster du filen portliste.txt og et screenshot av taskmanager med PID nummere her på nff. Så kanskje vi kan finne ut litt mer.

Skyfex

I like turtles

2.650 689

18. april 2004

Du hoster sikkert en SMTP server uten passord. Jeg gjorde det en gang og fikk samme problemet (skrudde av SMTP serveren ganske fort.. trengte den ikke uansett). Kanskje du gjorde noe med IIS og skrudde den på ved feil? Nå er det en stund siden jeg har brukt windows.. men tror IIS settings er på Kontrollpanel->administrative verktøy->IIS eller Internet Information Services noe.. Finn SMTP serveren og trykk stop ikonet. Om du har satt opp en SMTP server med vilje, sett opp et passord og brukernavn.

Virtous

Trådstarter

15 1

19. april 2004

Her er portliste.txt:

Kode

Aktive tilkoblinger

  Prot. Lokal adresse          Ekstern adresse          Tilstand           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1356
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       1504
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1096
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       1096
  TCP    0.0.0.0:1028           0.0.0.0:0              LISTENING       1096
  TCP    0.0.0.0:1029           0.0.0.0:0              LISTENING       1096
  TCP    0.0.0.0:1030           0.0.0.0:0              LISTENING       1096
  TCP    0.0.0.0:1032           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       1668
  TCP    0.0.0.0:3006           0.0.0.0:0              LISTENING       132
  TCP    0.0.0.0:3007           0.0.0.0:0              LISTENING       132
  TCP    0.0.0.0:3008           0.0.0.0:0              LISTENING       132
  TCP    0.0.0.0:3009           0.0.0.0:0              LISTENING       132
  TCP    0.0.0.0:3010           0.0.0.0:0              LISTENING       132
  TCP    0.0.0.0:3025           0.0.0.0:0              LISTENING       1512
  TCP    0.0.0.0:3026           0.0.0.0:0              LISTENING       1512
  TCP    0.0.0.0:3027           0.0.0.0:0              LISTENING       2280
  TCP    0.0.0.0:3028           0.0.0.0:0              LISTENING       868
  TCP    0.0.0.0:3050           0.0.0.0:0              LISTENING       612
  TCP    0.0.0.0:4821           0.0.0.0:0              LISTENING       1648
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       1668
  TCP    0.0.0.0:63437          0.0.0.0:0              LISTENING       1648
  TCP    80.212.230.173:3026    193.213.114.188:443    CLOSE_WAIT      1512
  TCP    80.212.230.173:3028    207.46.106.162:1863    ESTABLISHED     868
  TCP    80.212.230.173:3037    81.27.33.22:80         TIME_WAIT       0
  TCP    80.212.230.173:3039    81.27.33.22:80         TIME_WAIT       0
  TCP    80.212.230.173:3050    12.158.80.10:80        ESTABLISHED     612
  TCP    80.212.230.173:4821    66.98.188.91:51013     CLOSE_WAIT      1648
  TCP    80.212.230.173:13207   0.0.0.0:0              LISTENING       2280
  TCP    127.0.0.1:1031         0.0.0.0:0              LISTENING       868
  TCP    127.0.0.1:1031         127.0.0.1:3022         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3025         FIN_WAIT_2      868
  TCP    127.0.0.1:1031         127.0.0.1:3027         ESTABLISHED     868
  TCP    127.0.0.1:1031         127.0.0.1:3032         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3034         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3040         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3042         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3048         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3051         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3053         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3055         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3057         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3059         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3061         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3063         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3065         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3067         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3071         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3073         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3075         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3077         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3079         TIME_WAIT       0
  TCP    127.0.0.1:1031         127.0.0.1:3081         TIME_WAIT       0
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       900
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       1504
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       1504
  TCP    127.0.0.1:3014         0.0.0.0:0              LISTENING       612
  TCP    127.0.0.1:3025         127.0.0.1:1031         CLOSE_WAIT      1512
  TCP    127.0.0.1:3027         127.0.0.1:1031         ESTABLISHED     2280
  TCP    192.168.0.1:139        0.0.0.0:0              LISTENING       4
  TCP    192.168.0.1:9976       0.0.0.0:0              LISTENING       2280
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    1152
  UDP    0.0.0.0:3004           *:*                                    1504
  UDP    0.0.0.0:3015           *:*                                    2280
  UDP    0.0.0.0:3021           *:*                                    1636
  UDP    0.0.0.0:3024           *:*                                    1636
  UDP    80.212.230.173:123     *:*                                    1504
  UDP    80.212.230.173:1900    *:*                                    1668
  UDP    80.212.230.173:9758    *:*                                    2280
  UDP    80.212.230.173:33273   *:*                                    2280
  UDP    127.0.0.1:123          *:*                                    1504
  UDP    127.0.0.1:1900         *:*                                    1668
  UDP    127.0.0.1:3005         *:*                                    1504
  UDP    127.0.0.1:3016         *:*                                    2696
  UDP    127.0.0.1:3029         *:*                                    2280
  UDP    192.168.0.1:53         *:*                                    1504
  UDP    192.168.0.1:67         *:*                                    1504
  UDP    192.168.0.1:68         *:*                                    1504
  UDP    192.168.0.1:123        *:*                                    1504
  UDP    192.168.0.1:137        *:*                                    4
  UDP    192.168.0.1:138        *:*                                    4
  UDP    192.168.0.1:1900       *:*                                    1668
  UDP    192.168.0.1:16447      *:*                                    2280
  UDP    192.168.0.1:30883      *:*                                    2280

[SIZE=4]
Bildet av prosessene som kjører finner dere her [/size]

Skyfex: Jeg har xp home, og derfor ingen IIS

Sist endret av Virtous; 19. april 2004 kl. 19:47.

OrIx

324 0

19. april 2004

Er nok kabinet eller ActiveX- sjekk mappa med installerte kabinettfiler fra internett.

Tips: bruk Norton SystemWorks eller utilities til å fjerne disse raskt.

Virtous

Trådstarter

15 1

19. april 2004

Hvor finner jeg mappen med installerte kabinettfiler?

meitemark

Administrator

10.156 4.182

19. april 2004

når du bruker verktøylinjen, hvor blir du sendt?

Øby

433 30

19. april 2004

Er ikke verktøylinjen som er problemet lenger, det som er problemet er denne utsendinga av SPAM-mail fra Virtous sin maskin (Jeg som var nede hos han og posta postene + prøvde forslaga).

seeker

335 0

19. april 2004

Kan du legge inn en packetsniffer og logge i binary format?
Denne kan være en god start:
http://www.ethereal.com/distribution/win32/

Personlig vil jeg gjerne se hva som sendes hvor.

Legg gjerne inn f-port og gi oss output av den også. F-port: http://www.foundstone.com/index.htm?...desc/fport.htm

Jeg klarer ikke se noe av det som allerede står. Jeg tror nesten at packetlogs er det jeg må se. Hvis det lar seg ordne.