hacker

noname · 18 februari 2009

Vorige week ben ik slachtoffer geworden van een hacker (of is het cracker) die via een backdoor trojan is binnengedrongen in pc en mijn pokerstars account heeft leeggespeeld.

Ik heb wel na contact met de pokerstars security het ip adres verkregen dat de hacker heeft gebruikt.Mijn vraag is nu,kan ik hier wat mee?

Ook zou ik willen weten hoe ik mijn systeem naast virusscanner en firewall nog beter kan beveiligen,denk bv aan extra software,programma's die ik verder nog kan installeren of bepaalde instellingen die ik moet veranderen in windows (OS is windows vista) om mezelf beter te beschermen tegen dit soort praktijken.

Ook als iemand me kort en eenvoudig zou kunnen uitleggen hoe zo'n backdoor trojan juist werkt,zou ik dit apprecieren want ik heb niet veel kennis van zulke zaken.

De hacker heeft zelfs met mij gechat en me laten geloven dat hij een medewerker van pokerstars was.

Vraag me ook af of dit in 2 richtingen werkt zo'n prog,kan ik dan bv ook in zijn pc of is dit te simpel?

Elke hulp is welkom.

Yannick · 19 februari 2009

beste "noname"

om bij het begin te beginnen.

een backdoor trojan is een klein stukje software wat zichzelf installeert en onopgemerkt in de achtergrond bevind.

het stukje backdoor doet al vermoeden dat het hier om een achterdeur gaat.. het virus zet dus letterlijk de achterdeur open voor de hacker.

de hacker dringt jou pc in, afhankelijk van de manier waarom kan hij/zij de gehele pc overnemen en besturen.

wat kan je met zijn ip adres..

nou het eerste wat je kan doen is hopen dat het een domme hacker is die niet achter een proxy is gaan zitten, anders heb je er niets aan.

je kan met dit ip adres naar de politie stappen. of het nut heeft is een 2e.

aangifte doen is sowieso wel slim, mocht het nog eens gebeuren dan kan je hier op terugvallen.

wat kan je er aan doen...

de beste manier om zo iemand buiten de deur te houden is zorgen voor een goede hardwarematige firewall (wat je meestal in een router vind) en zorg dan dat de poorten gesloten zijn die niet gebruikt worden.

op de laptop zelf (en al het andere aan het netwerk) zorgen dat er een fatsoenlijke firewall is geïnstalleerd(nee die van windows is niet goed) en ook hier alle poorten sluiten die niet gebruikt worden.

laat ook nooit zomaar een process dat u niet kent toe op de pc.

en als allerlaatste raad ik u aan om eens contact op te nemen met onze virus expert kape.

hij zal hier (gezien het in zijn zone staat) snel genoeg reageren.

dan kunnen jullie samen nog kijken of er resten van het virus te vinden zijn.

met vriendelijke groeten

Yannick

kape · 19 februari 2009

Even kijken of er nog sporen te ontdekken zijn ? Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

noname · 19 februari 2009

dit is de highjack file van mijn pc.De harde schijf waarop de trojan is teruggevonden is wel geformateerd maar aan gezien er 2 harde schijven in mijn pc zitten, beide met vista is het mogelijk dat hier ook iets mis mee is.Denk dat de hacker admin rights had aangezien hij in staat was pokerstars van mijn pc te verwijderen,dus is het goed mogelijk dat hij hier ook mee gefoefeld heeft.

Ik heb wel scans gedaan van deze schijf en geen trojans of virussen gevonden hier,maar hoe betrouwbaar is dit

Op mijn andere schijf zat de trojan in een install file van pokertracker.

Ik kreeg de melding: backdoor trojan generic 10.arsj (na scan)

Wat betekent dit eigenlijk?

Kon de trojan zelfs niet verwijderen of healen.

En hoe werkt die trojan nu eigenlijk (in dit geval afkomstig van een pokertracker install file).Hoe kan die hacker nu weten dat die file op mijn pc staat bv en in mijn pc binnenkomen?

Het ip adres dat de hacker gebruikt heeft is afkomstig van de provider turk telekom.

Is er nu een manier om te achterhalen of dit wel degelijk zijn ip adres is of een proxy (wat is een proxy eigenlijk)

Ook had ik nog een vraag ivm die poorten en die router.Hoe weet ik welke poorten moeten gesloten worden en welke niet,ik ben echt een leek in dit soort dingen maar ik neem aan dat sommige programma's niet meer gaan werken als ik zomaar alles sluit?

En waar kan ik dit terugvinden/veranderen?

En als er bij mij een poort openstaat waardoor hij toegang krijgt tot mijn pc,zou ik dat in theorie bij hem ook binnenkomen?staat er bij hem ook een poort open om mijn gegevens te ontvangen,of zie ik dit nu te simpel?

Zoals u kan zien heeft dit voorval wel mijn intresse opgewekt,en ik heb nog heel veel vragen,teveel om op te noemen ,dus als iemand me een goed boek kan aanbevelen die dit soort zaken (beveiliging,trojans virussen,internet,enz) behandeld zou ik het apprecieren.

Je kan wel virusscanners en firewalls installeren maar als je niet weet hoe ze werken of wat ze juist doen haalt het eigenlijk niks uit en heb je allleen een vals gevoel van veiligheid,vandaar mijn interesse.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:38:23, on 19/02/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\AVG\AVG8\avgtray.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files (x86)\FlashGet\jccatch.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files (x86)\FlashGet\getflash.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~2\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files (x86)\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files (x86)\FlashGet\jc_link.htm

O8 - Extra context menu item: Download with Rapget - C:\downloads\rapget.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files (x86)\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files (x86)\FlashGet\FlashGet.exe

O13 - Gopher Prefix:

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG8\avgpp.dll

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgwdsvc.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 6322 bytes

Hopelijk is er niks mis mee.

Tot slot nog een vraagje,de schijf met de trojan heb ik geformateerd,is dit eigenlijk wel voldoende,of kan de hacker daar nog iets mee?

kape · 20 februari 2009

Eerst even gewoon je HJT-logje afwerken :

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REGystem.ini: UserInit=userinit.exe

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes' Anti-Malware).

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)

De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.

Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

noname · 20 februari 2009

hallo kape,

Hie is de nieuwe logs,heb 2 mbam log files omdat ik twee keer de scan heb uitgevoerd.