GRY-Online.pl --> Archiwum Forum

Ktoś mi się włamuje do kompa...

06.07.2001
10:16
smile
[1]

bartek [ ]

Ktoś mi się włamuje do kompa...

Mam mały problem wczoraj wieczorkiem ok. 20 na moim dysku C pojawiły się tajemnicze pliki o nazwach c1,c2,c3 i c4 trzy pierwsze miały ikonki dosowskie ostatnia jakąś czerwoną kulę czy coś takiego zamknęłem okno popatrzyłem po Zone Alarmie - wszystko ok myślę ale skąd te badziewie się tu wzięło najbardziej nie podobały mi się pliki o nazwach i rozszerzeniach .log...po kilku minutach zamknęłem Zone Alarma (nic w nim nie robiąc) wlazłem na mój twardy dysk i....nie ma ! Ani plików c1,c2,c3,c4 ani tego najważniejszego (chyba) logu jakie pliki z włamania mi zostały możecie zobaczyć na załączonym obrazku.

A to zawartość każdego z plików :

autoexec.nav

mode con codepage prepare=((852) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=852
keyb pl,,C:\WINDOWS\COMMAND\keybrd4.sys

error.log

** START DUMP: Fri Jun 29 18:42:06 2001

** Error Information
etrace: Unable to open file store.pfb for writing
Module: pack_int.c
Line: 405

** START DUMP: Sun Jul 01 20:50:07 2001

** Error Information
etrace: Leadfoot is already running
Module: shell.c
Line: 223

** START DUMP: Sun Jul 01 20:50:18 2001

** Error Information
etrace: Leadfoot is already running
Module: shell.c
Line: 223

Funlog

FirstRunScreens:Start
ProcessInfInstall:File:C:\WINDOWS\OPTIONS\OEMAUDIT.INF: Section=:OneTime:
ProcessInfInstall:Failed to open:C:\WINDOWS\OPTIONS\OEMAUDIT.INF: reRet=105
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
SpezialGeninstalls:Start
SpezialGeninstalls:Looking for :C:\WINDOWS\OPTIONS\PREDUP.TAG:
Intl:INTL:0:
GetUserInfo:INIT
DoPreInstallWork:Auditmode :0:
PrepareRunonce:Failed to open :C:\WINDOWS\OPTIONS\OEMAUDIT.INF:
ProcessInfInstall:File:C:\WINDOWS\OPTIONS\EndUser.INF: Section=:Options:
ProcessInfInstall:Failed to open:C:\WINDOWS\OPTIONS\EndUser.INF: reRet=105
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
IsKeyEmpty:Start
Timer:Start OPKRemoveInstalledNetDevice :76615:
Timer:End OPKRemoveInstalledNetDevice :76615:
CheckRunonceSetup:Start
IsKeyEmpty:Start
IsKeyEmpty:1) Have :Strefa czasowa: :RUNDLL32.EXE SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,,/f:
CheckRunonceSetup:Check for wrapper =
FirstRunScreens:Exit:0

Logfile :pack_int.c, Line 405: ETRACE!: Unable to open file store.pfb for writing
shell.c, Line 223: ETRACE!: Leadfoot is already running
shell.c, Line 223: ETRACE!: Leadfoot is already running

Netlog :

NETDI: ClassInstall (0x6 on 0x31e6:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=519(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=0 (RETAIL)
NETDI: Examining class Net
NETDI: dif_FirstTimeSetup
NETDI: Setting FirstBootUpgrade=1
NETDI: ChangeLine: No matches found.
NETDI: File Information for C:\WINDOWS\SYSTEM\wsock32.dll
NETDI: File not found
NETDI: File Information for C:\WINDOWS\WINSOCK.DLL
NETDI: File not found
NETDI: File Information for C:\WINDOWS\SYSTEM\WINSOCK.DLL
NETDI: File not found
NETDI: Vxd\Winsock\IrSockets=wsirda.vxd
NETDI: File Information for C:\WINDOWS\SYSTEM\wsirda.vxd
NETDI: File not found
NETDI: BackupWSock: Clean install, exiting
NETDI: DetectWSock=0
NETDI: Installing WS2 in the standard locations
NETDI: QueueNdiFileCopy: C:\WININST0.400\wsock32.dll->(LDID 11)wsock32.dll
NETDI: QueueNdiFileCopy: C:\WININST0.400\winsock.dll->(LDID 25)winsock.dll
NETDI: SelectMyBestCompatDrv: Found a compatible driver: Karta Dial-Up
NETDI: ClassInstall(0x6) end
NETDI: NETDI: lpRegLogConf = 0x0
NETDI: ClassInstall (0x9 on 0x31e6:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=519(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0x9) end
NETDI: ClassInstall (0xa on 0x31e6:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=519(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ProcessNdiFileQueue: C:\WININST0.400\wsock32.dll -> C:\WINDOWS\SYSTEM\wsock32.dll copied file
NETDI: ProcessNdiFileQueue: C:\WININST0.400\winsock.dll -> C:\WINDOWS\winsock.dll copied file
NETDI: ChangeLine: No matches found.
NETDI: AddRemoveSetVer fAdd=1
NETDI: ChangeLine: Adding line "DEVICE=C:\WINDOWS\setver.exe"
NETDI: ClassInstall(0xa) end
NETDI: ClassInstall (0xc on 0x31e6:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=519(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0xc) end


****** BEGIN NEW RECORDING *****

NETDI: ##################################################
NETDI: EnumComplete Start
NETDI: SetupFlags=509(SUF_FIRSTTIME) BootCount=1 NetSetupFlags=7 (RETAIL)
NETDI: ExecuteQueuedAPIs
NETDI: NdiWSCDeinstallProvider(FF017DE1) Result=-1, Errno=10014
NETDI: NdiWSCInstallProvider(FF017DE1, C:\WINDOWS\SYSTEM\mswsosp.dll) Result=0, Errno=0


****** BEGIN NEW RECORDING *****

NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=7 (RETAIL)
NETDI: VerifyCabsAvailable: Not network install, no need to verify
NETDI: ClassInstall (0x18 on 0x23e6:0x58) on at Enum\ROOT\NET\0000
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=7 (RETAIL)
NETDI: ExecuteQueuedAPIs
NETDI: ClassInstall(0x18) end
NETDI: ClassInstall (0x2 on 0x23e6:0x58) on at Enum\ROOT\NET\0000
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=7 (RETAIL)
NETDI: Examining class Net
NETDI: Found Enum\Root\Net\0000 in registry
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETPPP.INF,PPPMAC.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETPPP.INF,PPPMAC.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETPPP.INF,PPPMAC.ndi
NETDI: NdiCreate(Karta Dial-Up) OK
NETDI: Validating Karta Dial-Up at Enum\ROOT\NET\0000, rc = 0x0
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETPPP.INF,PPPMAC.Install
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETPPP.INF,PPPMAC.Install.WSock2
NETDI: ChangeLine: No matches found.
NETDI: ConfigureSetVer called
NETDI: AddRemoveSetVer fAdd=0
NETDI: RemLine: Deleting "DEVICE=C:\WINDOWS\setver.exe"
NETDI: ClassInstall(0x2) end
NETDI: ClassInstall (0xc on 0x23e6:0x58) on Karta Dial-Up at Enum\ROOT\NET\0000
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=3 (RETAIL)
NETDI: ClassInstall(0xc) end
NETDI: ##################################################
NETDI: EnumComplete Start
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=3 (RETAIL)
NETDI: ExecuteQueuedAPIs
NETDI: Examining class Net
NETDI: Found Enum\Root\Net\0000 in registry
NETDI: NdiCreate(Karta Dial-Up) OK
NETDI: CreateNetwork, Batch=0
NETDI: 1Got default
NETDI: 1Got default MSTCP
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETTRANS.INF,MSTCP.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETTRANS.INF,MSTCP.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETTRANS.INF,MSTCP.ndi
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: 1Got default FAMILY
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETFAM.INF,FAMILY.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETFAM.INF,FAMILY.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETFAM.INF,FAMILY.ndi
NETDI: NdiCreate(Microsoft Family Logon) OK
NETDI: 1Got default
NETDI: Validating Microsoft Family Logon at Enum\Network\FAMILY\0000, rc = 0x0
NETDI: Validating Protokół TCP/IP at Enum\Network\MSTCP\0000, rc = 0x0
NETDI: Validating Karta Dial-Up at Enum\Root\Net\0000, rc = 0x0
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETFAM.INF,FAMILY.Install
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETFAM.INF,FAMILY.Install.WSock2
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETTRANS.INF,MSTCP.Install
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETTRANS.INF,MSTCP.Install.WSock2
NETDI: NdiWSCDeinstallProvider(FF017DE0) Result=-1, Errno=10014
NETDI: NdiWSCInstallProvider(FF017DE0, C:\WINDOWS\SYSTEM\msafd.dll) Result=0, Errno=0
NETDI: NdiWSCUnInstallNameSpace(FF017DE2) Result=-1
NETDI: NdiWSCInstallNameSpace(FF017DE2,C:\WINDOWS\SYSTEM\rnr20.dll) Result=0
NETDI: NdiWSCDeinstallProvider(E70F1AA0) Result=-1, Errno=10014
NETDI: NdiWSCDeinstallProvider(ECBDCBA0) Result=-1, Errno=10014
NETDI: NdiWSCInstallProvider(ECBDCBA0, C:\WINDOWS\SYSTEM\rsvpsp.dll) Result=0, Errno=0
NETDI: ConfigureSetVer called
NETDI: AddRemoveSetVer fAdd=0
NETDI: ====================FirstBootCall==================
NETDI: ExecuteQueuedAPIs
NETDI: ClassInstall (0x6 on 0x2cb6:0x1a98) on at
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=1 (RETAIL)
NETDI: dif_FirstTimeSetup
NETDI: ClassInstall(0x6) end
NETDI: ClassInstall (0xc on 0x2cb6:0x1a98) on at
NETDI: SetupFlags=508 BootCount=2 NetSetupFlags=1 (RETAIL)
NETDI: ClassInstall(0xc) end


****** BEGIN NEW RECORDING *****

NETDI: NdiCplProperties
NETDI: Examining class Net
NETDI: Found Enum\PCI\VEN_1282&DEV_9102&SUBSYS_434E4554&REV_31\BUS_00&DEV_0B&FUNC_00 in registry
NETDI: NdiCreate(LNIC 10/100 PCI Fast Ethernet Adapter ) OK
NETDI: Found Enum\Root\Net\0000 in registry
NETDI: NdiCreate(Karta Dial-Up) OK
NETDI: Examining class NetTrans
NETDI: Found Enum\Network\MSTCP\0001 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Found Enum\Network\MSTCP\0000 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Examining class NetClient
NETDI: Found Enum\Network\VREDIR\0000 in registry
NETDI: NdiCreate(Klient sieci Microsoft Networks) OK
NETDI: Found Enum\Network\FAMILY\0000 in registry
NETDI: NdiCreate(Microsoft Family Logon) OK
NETDI: Validating Microsoft Family Logon at Enum\Network\FAMILY\0000, rc = 0x0
NETDI: Validating Klient sieci Microsoft Networks at Enum\Network\VREDIR\0000, rc = 0x0
NETDI: Validating Protokół TCP/IP at Enum\Network\MSTCP\0000, rc = 0x0
NETDI: Validating Protokół TCP/IP at Enum\Network\MSTCP\0001, rc = 0x0
NETDI: Validating Karta Dial-Up at Enum\Root\Net\0000, rc = 0x0
NETDI: Validating LNIC 10/100 PCI Fast Ethernet Adapter at Enum\PCI\VEN_1282&DEV_9102&SUBSYS_434E4554&REV_31\BUS_00&DEV_0B&FUNC_00, rc = 0x0
NETDI: Wrote p.ini:DriverName=DM9PCI$, sect: DM9PCI$
NETDI: ConfigureSetVer called


****** BEGIN NEW RECORDING *****

NETDI: NdiCplProperties
NETDI: Examining class Net
NETDI: Found Enum\PCI\VEN_1282&DEV_9102&SUBSYS_434E4554&REV_31\BUS_00&DEV_0B&FUNC_00 in registry
NETDI: NdiCreate(LNIC 10/100 PCI Fast Ethernet Adapter ) OK
NETDI: Found Enum\Root\Net\0000 in registry
NETDI: NdiCreate(Karta Dial-Up) OK
NETDI: Examining class NetTrans
NETDI: Found Enum\Network\MSTCP\0001 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Found Enum\Network\MSTCP\0000 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Examining class NetClient
NETDI: Found Enum\Network\VREDIR\0000 in registry
NETDI: NdiCreate(Klient sieci Microsoft Networks) OK
NETDI: Found Enum\Network\FAMILY\0000 in registry
NETDI: NdiCreate(Microsoft Family Logon) OK


****** BEGIN NEW RECORDING *****

NETDI: NdiCplProperties
NETDI: Examining class Net
NETDI: Found Enum\PCI\VEN_1282&DEV_9102&SUBSYS_434E4554&REV_31\BUS_00&DEV_0B&FUNC_00 in registry
NETDI: NdiCreate(LNIC 10/100 PCI Fast Ethernet Adapter ) OK
NETDI: Found Enum\Root\Net\0000 in registry
NETDI: NdiCreate(Karta Dial-Up) OK
NETDI: Examining class NetTrans
NETDI: Found Enum\Network\MSTCP\0001 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Found Enum\Network\MSTCP\0000 in registry
NETDI: NdiCreate(Protokół TCP/IP) OK
NETDI: Examining class NetClient
NETDI: Found Enum\Network\VREDIR\0000 in registry
NETDI: NdiCreate(Klient sieci Microsoft Networks) OK
NETDI: Found Enum\Network\FAMILY\0000 in registry
NETDI: NdiCreate(Microsoft Family Logon) OK
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETSERVR.INF,VSERVER.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETSERVR.INF,VSERVER.ndi
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETSERVR.INF,VSERVER.ndi
NETDI: NdiCreate(Udostępnianie plików i drukarek w sieciach Microsoft Networks) OK
NETDI: Validating Udostępnianie plików i drukarek w sieciach Microsoft Networks at Enum\Network\VSERVER\0000, rc = 0x0
NETDI: Validating Microsoft Family Logon at Enum\Network\FAMILY\0000, rc = 0x0
NETDI: Validating Klient sieci Microsoft Networks at Enum\Network\VREDIR\0000, rc = 0x0
NETDI: Validating Protokół TCP/IP at Enum\Network\MSTCP\0000, rc = 0x0
NETDI: Validating Protokół TCP/IP at Enum\Network\MSTCP\0001, rc = 0x0
NETDI: Validating Karta Dial-Up at Enum\Root\Net\0000, rc = 0x0
NETDI: Validating LNIC 10/100 PCI Fast Ethernet Adapter at Enum\PCI\VEN_1282&DEV_9102&SUBSYS_434E4554&REV_31\BUS_00&DEV_0B&FUNC_00, rc = 0x0
NETDI: Wrote p.ini:DriverName=DM9PCI$, sect: DM9PCI$
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETSERVR.INF,VSERVER.Install
NETDI: GenInstallDriver, C:\WINDOWS\INF\NETSERVR.INF,VSERVER.Install.WSock2
NETDI: ConfigureSetVer called

Scandisk.log :

Opisuje wszystkie operacje które przeprowadzał ostatnio scandisk - wszystko gra ale co on tu robi ?

Setupxlg :

Time Stamp: Fri Jun 15 10:56:40 2001
cbDiskPrompt : File copy canceled on:
Time Stamp: Fri Jun 15 10:56:40 2001
cbDiskPrompt : DivX_c32.ax
Time Stamp: Fri Jun 15 10:56:40 2001
cbDiskPrompt : C:\WINDOWS\TEMP
Trace.log :

Pusty

Możecie sobie poczytać i tak niedługo przewalam system :-)

Czy wie ktoś jak można się bronić przed tego typu atakami (Zone Alarm Pro chyba nie...) i czy można namierzyć na podstawie danych które Wam podałem gościa który robi takie jaja (podejrzewam sąsiada).

Pozdro i dziękuję wszystkim którym chciało się przeczytać cały ten tekst :-)))

06.07.2001
10:25
smile
[2]

bartek [ ]

A i rejestr też mam zmodyfikowany (nie było dysku C w HKEY_LOCAL_MACHINE).Fajnie nie ? ;-)

© 2000-2024 GRY-OnLine S.A.