Eirik2 Skrevet 27. juli 2006 Del Skrevet 27. juli 2006 Hei! Jeg skal hjelpe en venninne av min kjæreste med en vanskelig ex-kjæreste. Han overvåker trolig maskinen hennes, siden han har funnet ut ting om henne som han umulig kunne vite med mindre han overvåket for eksempel MSN-logg. Jeg mistenker at han enten har innstallert et program på maskinen hennes som gjør at han kan få opp skjermbildet hennes eller at han har påført henne en trojaner som logger tekst fra keyboard e.l. Kan noen hjelpe meg med hva jeg skal lete etter? Sånn i første omgang skal jeg kjøre hijakthis og se etter rare prosesser. Viktig at jeg ikke fjerner noe av det som er gjort, siden det skal brukes som bevis i evt sak. Noen ad-aware eller liknende for å fjerne dette er derfor ikke aktuelt. Flott om noen kan hjelpe!! Mvh Eirik Lenke til kommentar
toretors Skrevet 27. juli 2006 Del Skrevet 27. juli 2006 Windows defender er greit å ha, ellers kan du jo lime inn loggen her. Har hun byttet passord på alt inkl mail, msn etc? Lenke til kommentar
Pazman Skrevet 27. juli 2006 Del Skrevet 27. juli 2006 Oi. Det er en skikkelig drittkjæreste. Lenke til kommentar
Eirik2 Skrevet 27. juli 2006 Forfatter Del Skrevet 27. juli 2006 Hei igjen og takk for svar! Har kjørt hijackthis og har noen kandidater som jeg skal sjekke ut. Mens jeg gjør dette kan jo dere ta en titt på dette? Har sensurert vekk med stjerner ting som jeg mistenker kan være personavslørende. Logfile of HijackThis v1.99.1 Scan saved at 13:46:13, on 27.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Documents and Settings\*******************\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 O2 - BHO: AcroIEHlprObj Class - {****************} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {************} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {*************} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {************} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {***********} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {****************} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Research - {**************} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {*************} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {************} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {*************} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab O16 - DPF: {*************} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?************* O16 - DPF: {*************} - http://static.zangocash.com/cab/Seekmo/ie/...b?************* O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *************.no O17 - HKLM\Software\..\Telephony: DomainName = *************.no O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *************.no O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *************.no O18 - Protocol: livecall - {*************} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {*************} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe Lenke til kommentar
berxter Skrevet 27. juli 2006 Del Skrevet 27. juli 2006 Ikke noe tegn i HJT til noe slikt; prøv disse to rootkitfinnerne: f-secure Blacklight og silentrunners og legg ut loggene derfra. (google er din venn) Jeg vil se CLSIDen fra de 3 stk 016-innførslene (det du har sensurert vekk fra den første parentesen), spesielt O16 - DPF: {*************} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab O16 - DPF: {*************} - http://static.zangocash.com/cab/Seekmo/ie/...b?************* disse bokstav/tallgruppene identifiserer program og ikke bruker. Jeg antar at disse bare er adware og ikke noe mer. Bernt K Lenke til kommentar
toretors Skrevet 27. juli 2006 Del Skrevet 27. juli 2006 Bortsett fra hva berxter har merket ser systemet rent ut. Som sagt kan det være lurt å bytte passord. Lenke til kommentar
Eirik2 Skrevet 27. juli 2006 Forfatter Del Skrevet 27. juli 2006 (endret) Har snakket litt med henne om hva som har hendt, og det viser seg at han har vært inne på mailen hennes en gang tidligere mens de bodde sammen. Antar derfor at han har kjørt en keylogger på denne tiden og slettet etter at han fant passord han ville ha. Det viser seg at hun ikke har byttet passord etter dette, og jeg antar at mye av den sensitive informasjonen han har tilgang til derfor kommer fra MSN-logger, mailer o.l. som han dermed har fått tilgang til. Han har også bidratt med fjernhjelp via messenger ved et tilfelle, noe som vel også bidrar til å åpne for en del snusing. Likevel: O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125748002342 O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/...bae3bd3609b8bd0 Jeg antar også at disse kun er vanlig spyware (bortsett fra update da). Skal kjøre de to programmene du nevner berxter. Men antar inntil videre at saken er oppklart. Neppe noe å ta videre. Hjertelig takk for bidrag, folkens! Mvh, Eirik Endret 27. juli 2006 av Eirik2 Lenke til kommentar
berxter Skrevet 28. juli 2006 Del Skrevet 28. juli 2006 Jepp, som jeg trodde, både Zango og funweb er helt vanlig adware/ spyware og har ingenting med logging å gjøre. Hun kan/bør greit fixe dem med HJT. Bernt K Lenke til kommentar
Pazman Skrevet 28. juli 2006 Del Skrevet 28. juli 2006 Greit, da var løsningen funnet. Hvorfor er hun fortsatt sammen med ham? Lenke til kommentar
Jubelsau Skrevet 28. juli 2006 Del Skrevet 28. juli 2006 Les: Hei!Jeg skal hjelpe en venninne av min kjæreste med en vanskelig ex-kjæreste. 6566327[/snapback] Lenke til kommentar
Pazman Skrevet 28. juli 2006 Del Skrevet 28. juli 2006 Så feil kan man ta, beklager. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå