czy możliwe takie włamanie?

IP: *.kielce.sdi.tpnet.pl 09.02.05, 13:36
dziś miałem następującą sytuacje. Nic przez pewien czas nie robiłem na
kompie a kursor SAM!!!! przesunął się na x i wyłączył Excela. Czy to ktoś po
nim łazi? czy to jest możliwe? Proszę poradźcie coś. Dodam że mam na bieżąco
aktualizowanego XP-ka, do tego ad-aware + firewall mks_vir 2005 również
ciągle aktualizowane. na bieżąco skanuje nimi cały system.
    • netsec Re: czy możliwe takie włamanie? 09.02.05, 14:40
      Wszystko jest możliwe, wystarczy ze nieświadomie masz backdora "domowej"
      produkcji lub trojana rzadkiego pochodzenia i ktoś się bawi Twoim kosztem.
      Jednak stawiam na uszkodzony kabelek od myszki lub brudną kulkę w myszce.
      • Gość: qwerty Re: czy możliwe takie włamanie? IP: *.kielce.sdi.tpnet.pl 09.02.05, 14:49
        myszka raczej nie, prawie nówka i optyczna
        • netsec Re: czy możliwe takie włamanie? 09.02.05, 15:53
          Wklej log z HiJackThis:
          forum.gazeta.pl/forum/72,2.html?f=23618&w=16131117&wv.x=2&a=18632867
          • Gość: qwerty Re: czy możliwe takie włamanie? IP: *.kielce.sdi.tpnet.pl 10.02.05, 09:37
            Logfile of HijackThis v1.99.0
            Scan saved at 09:40:55, on 2005-02-10
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\MKS\Bin\mks_menu.exe
            C:\Program Files\MKS\Bin\ABregmon.exe
            C:\WINDOWS\system32\NWTRAY.EXE
            C:\Program Files\Gadu-Gadu\gg.exe
            E:\eMule\emule.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Outlook Express\msimn.exe
            C:\Program Files\Messenger\msmsgs.exe
            E:\hijack\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.onet.pl/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
            O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
            C:\WINDOWS\Downloaded Program Files\googlenav.dll
            O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
            O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
            O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
            O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule\emule.exe -AutoStart
            O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded
            Program Files\googlenav.dll/cmsearch.html
            O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded
            Program Files\googlenav.dll/cmbacklinks.html
            O8 - Extra context menu item: Cac&hed Snapshot of Page -
            res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
            O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded
            Program Files\googlenav.dll/cmsimilar.html
            O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
            C:\Program Files\IrfanView\Ebay\Ebay.htm
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
            00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {4723200F-7E63-423B-8FE3-6969DCEDC2D0}
            (EcodInitializerControl.EcodInitCtl) - www.ecod.pl/webappc/EcodInit.cab
            O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) -
            toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab
            O16 - DPF: {A2CA3413-55C8-4F18-8DF7-7FE04C81E4AF}
            (EcodPingControl.EcodPingCtl) - www.ecod.pl/webappb/EcodPing.cab
            O16 - DPF: {A7E929B7-AE94-4C38-9BD2-FF77237BCA97} (ECODFakturaCtl.ECODFaktura) -
            www.ecod.pl/webappb/ecodfaktura.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{B078B956-C145-4071-A029-236EBC509E37}:
            NameServer = 194.204.152.34
            O17 - HKLM\System\CCS\Services\Tcpip\..\{CF286D15-A9AB-472B-9166-222E4DD6E280}:
            NameServer = 194.204.152.34
            O17 - HKLM\System\CS1\Services\Tcpip\..\{B078B956-C145-4071-A029-236EBC509E37}:
            NameServer = 194.204.152.34
            O17 - HKLM\System\CS2\Services\Tcpip\..\{B078B956-C145-4071-A029-236EBC509E37}:
            NameServer = 194.204.152.34
            O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program
            Files\MKS\Bin\NetMonSV.exe
            O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program
            Files\MKS\bin\MkSUpdateInt.exe
            O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe
            O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe

            • netsec Re: czy możliwe takie włamanie? 10.02.05, 10:42
              Czy korzystasz z sieci Novell? Jesli nie, to usuń ten wpis w HJ:

              > O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

              Po usunięciu uruchom kompa i sprawdź czy wpis został usunięty, inaczej może być
              konieczne wyłączenie przywracania systemu.
              • Gość: qwerty Re: czy możliwe takie włamanie? IP: *.kielce.sdi.tpnet.pl 10.02.05, 10:55
                tak korzystam. a poza tym wpisem jest ok?
                • netsec Re: czy możliwe takie włamanie? 10.02.05, 11:33
                  Czy ten log był wykonywany w normalnym trybie pracy kompa ?
                  Czy może to był tryb awaryjny?
                  Na liście procesów nie ma kilku dość istotnych.
                  • Gość: qwerty Re: czy możliwe takie włamanie? IP: *.kielce.sdi.tpnet.pl 10.02.05, 16:16
                    tak. w normalnym trybie pracy.
                    • netsec Re: czy możliwe takie włamanie? 10.02.05, 16:40
                      To log jest OK :)
                      • Gość: qwerty Re: czy możliwe takie włamanie? IP: 82.160.95.* 10.02.05, 20:21
                        czyli ta sytuacja to mógł być przypadek (np. mysz optyczna coś sfiksowała)?
                        • zdrowoj Re: czy możliwe takie włamanie? 10.02.05, 21:49
                          Przy bezprzewodowej myszy optycznej zdarza się taka sytuacja podczas gdy siada
                          zasilanie myszy (bateria). U mnie często.
                        • netsec Re: czy możliwe takie włamanie? 11.02.05, 10:09
                          Być może jest tak jak pisze zdrowoj, problem zasilania myszy :)
                          • Gość: qwerty Re: czy możliwe takie włamanie? IP: *.kielce.sdi.tpnet.pl 11.02.05, 10:42
                            dzięki w takim razie za uspokojenie
    • Gość: tommy Re: czy możliwe takie włamanie? IP: *.neoplus.adsl.tpnet.pl 11.02.05, 20:20
      a może poprostu właczony jest zdalny pulpit ;)
Pełna wersja