Wykryto wyłączony javascript

Aktualnie masz wyłączony javascript. Kilka funkcji może nie działać. Włącz ponownie javascript, aby korzystać z pełnej funkcjonalności.

[wirus] Backdoor.Graybird włamał mi się?

Rozpoczęty przez Liveforever , 19 05 2008 18:47

Temat jest zamknięty

4 odpowiedzi w tym temacie

#1 Liveforever

Nowy

2 postów

Napisano 19 05 2008 - 18:47

Pewnego razu przegrałem na chwilę ze służbowego komputera dane (objęte tajemnicą służbową) na mój komputer osobisty (był to jedyny raz kiedy coś takiego zrobiłem). Niestety zapomniałem wyłączyć Internetu, a wersja antywirusa wygasła parę dni wcześniej. Dane znajdowały się na moim kompie góra 20 minut: były w formatach: .doc. xls. .avi i .pps . Niestety parę dni temu doinstalowałem antywirusa i zrobiłem skan: tym razem wykrył on mi wirusa o nazwie: Backdoor.Graybird

http://securityresponse.symantec.com/secur...-040217-2506-99

Który był już na moim kompie rzekomo od 10 września 2007, choć robiłem wiele skanów od tamtego czasu i nic mi nie wykrywał.

Moje pytanie brzmi: czy istnieje możliwość kradzieży danych, a jeśli tak to jakie jest tego prawdopodobieństwo? Czy mogę sprawdzić czy ten wirus wysyłał jakieś pliki z mojego komputera, czy od razu mam iść na policję?

Zaznaczam także, że dotąd nie ginęły mi żadne pliki, a komputer pracował normalnie. Mam neostradę 512 kb. Czyli prędkość wysyłowa 16kB/s. Pliki te były rozmiarami od 2MB-100MB Czyli czy mam się zamartwiać?

0

Do góry

#2 Marko_

Stały użytkownik

279 postów

Napisano 19 05 2008 - 20:37

Trojan Backdoor.Graybird jest dość niebezpieczny. Po zainfekowaniu systemu kopiuje się do katalogu system lub system32 pod postacią pliku Svch0st.exe. Dokonuje również wpisu do rejestru w sekcji autostart przez co jest uruchamiany przy każdym starcie systemu. Co może ów trojan dokonać.
- Przechwytuje znaki wpisane z klawiatury czyli może przechwycić ewentualne hasła i numery np: kart kredytowych.
- Haker ma pełny dostęp do systemu.

czy istnieje możliwość kradzieży danych, a jeśli tak to jakie jest tego prawdopodobieństwo?

myślę że tak, prawdopodobieństwo kradzieży jest tym większe im dłużej trojan istnieje w systemie.

Czy mogę sprawdzić czy ten wirus wysyłał jakieś pliki z mojego komputera

Raczej trudno będzie jeśli masz dobrego firewalla to w jego historii znajdziesz odpowiedź (niestety nie piszesz jakiego posiadasz). Ewidencja pobranych lub wysłanych plików nie jest nigdzie prowadzona. Istnieją jedynie wpisy w logach serwerów .

czy od razu mam iść na policję?

Jeśli chcesz możesz zgłosić do wydziału zajmującego się przestępczością internetową ale czy warto ? - brak sprawcy, mnóstwo pytań jakie to były pliki, dlaczego były w domu (skoro są tajne), no i firma na pewno się dowie. Mimo wszystko policja ma możliwość odtworzenia historii połączeń na podstawie twojego adresu sprzętowego i logów w serwerach.

0

Do góry

#3 karolkuich

Początkujący

141 postów

Napisano 19 05 2008 - 21:02

Pewnego razu przegrałem na chwilę ze służbowego komputera dane (objęte tajemnicą służbową) na mój komputer osobisty

No i niestety pracodawca ma prawo Cię zwolnić i kto wie co jeszcze...

Raczej trudno będzie jeśli masz dobrego firewalla...

Niestety nie ma na co liczyć. Gdyby takowego posiadał, to wiedziałby, że proces Svch0st.exe próbuje połączyć się z internetem i że próba ta została zablokowana.

Zaznaczam także, że dotąd nie ginęły mi żadne pliki, a komputer pracował normalnie.

Istotą programów szpiegujących jest to, abyś się nigdy nie dowiedział, że są i pracują...

0

Do góry

#4 Liveforever

Nowy

2 postów

Napisano 21 05 2008 - 00:08

Dziękuję za odpowiedź. Firewall mógł być wtedy równie dobrze włączony jak i wyłączony. Czytałem trochę o nim i z tego co wiem, to haker mógł przez ten cały okres czasu od września śledzić każde moje kliknięcie. I tu rodzi się moje kolejne pytanie: Czy przy tak słabym łączu mógł to robić 24h czy tylko wybiórczo?

ComboFix 08-05-15.3 - Damian 2008-05-17 17:40:34.1 - NTFSx86

Running from: C:\Documents and Settings\Damian\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\exefld
C:\WINDOWS\system32\Driveinfo.log
C:\WINDOWS\wr.txt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_LOG
-------\Service_Windows Log

((((((((((((((((((((((((( Files Created from 2008-04-17 to 2008-05-17 )))))))))))))))))))))))))))))))
.

2008-05-17 16:16 . 2008-05-17 16:16 <DIR> d-------- C:\Documents and Settings\LocalService\Application Data\Symantec
2008-05-17 15:29 . 2008-05-17 15:29 <DIR> d-------- C:\Program Files\SymNetDrv
2008-05-17 14:59 . 2008-05-17 14:59 4,608 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys
2008-05-17 14:58 . 2006-09-15 22:52 124,016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-05-17 14:58 . 2006-09-15 22:52 91,904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-05-16 20:42 . 2001-05-24 12:59 162,304 --a------ C:\UNWISE.EXE
2008-05-06 19:47 . 2008-05-06 19:47 <DIR> d-------- C:\Program Files\Free M4a to MP3 Converter
2008-04-27 21:50 . 2008-05-17 15:30 <DIR> d-------- C:\Program Files\Symantec

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 15:44 --------- d-----w C:\Program Files\PeerGuardian2
2008-05-17 14:11 --------- d-----w C:\Program Files\Norton AntiVirus
2008-05-17 14:11 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-05-17 13:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-05-17 12:45 --------- d-----w C:\Program Files\eMule
2008-05-16 21:12 --------- d-----w C:\Documents and Settings\Damian\Application Data\Skype
2008-04-28 07:35 --------- d-----w C:\Documents and Settings\Damian\Application Data\Symantec
2008-04-20 10:41 --------- d-----w C:\Program Files\Leksykonia
2008-03-23 13:18 --------- d-----w C:\Program Files\Google
2007-12-30 13:25 566,113 ----a-w C:\Program Files\Only Mine (jam session 1).mp3
2007-12-30 13:25 309,930 ----a-w C:\Program Files\Only Mine (jam session 3).mp3
2007-12-30 13:25 286,942 ----a-w C:\Program Files\Only Mine (jam session 2).mp3
2004-10-01 03:13 3,072 -c--a-w C:\Program Files\Crypt.dll
2001-11-23 04:08 712,704 -c--a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2000-02-25 07:07 921,088 -c--a-w C:\Program Files\lm98free.exe
1999-05-17 10:58 99,840 -c--a-w C:\Program Files\Common Files\IRAABOUT.DLL
1998-12-08 23:53 70,144 -c--a-w C:\Program Files\Common Files\IRAMDMTR.DLL
1998-12-08 23:53 48,640 -c--a-w C:\Program Files\Common Files\IRALPTTR.DLL
1998-12-08 23:53 31,744 -c--a-w C:\Program Files\Common Files\IRAWEBTR.DLL
1998-12-08 23:53 186,368 -c--a-w C:\Program Files\Common Files\IRAREG.DLL
1998-12-08 23:53 17,920 -c--a-w C:\Program Files\Common Files\IRASRIAL.DLL
2007-08-15 20:51 152,352 -csha-w C:\WINDOWS\fidbox.dat
2005-06-22 05:37 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
2007-09-10 07:42 435,200 --sh--w C:\WINDOWS\system32\_wupdmgr.exe
.

------- Sigcheck -------

2006-09-23 11:54 502272 6225f14b8ce08ccba8b25ad27843c674 C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{29CEBFD4-B22E-4DDD-AA44-F7C22A0BF26F}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 19:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="E:\Drukarka\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-01-17 11:42 58728]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2008-05-17 15:29 100056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpqtra08.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpqste08.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpofxm08.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hposfx08.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hposid01.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpqscnvw.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpqkygrp.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpqCopy.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpfccopy.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpzwiz01.exe"=
"E:\\Drukarka\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"E:\\Drukarka\\Digital Imaging\\Unload\\HpqDIA.exe"=
"E:\\Drukarka\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Gadu-Gadu\\gg.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22506:TCP"= 22506:TCP:BitComet 22506 TCP
"22506:UDP"= 22506:UDP:BitComet 22506 UDP
"9219:TCP"= 9219:TCP:BitComet 9219 TCP
"9219:UDP"= 9219:UDP:BitComet 9219 UDP

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01c7965b-4aec-11db-9edf-806d6172696f}]
\Shell\AutoRun\command - F:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e436f78-07a1-11dc-b7a9-000e50ead509}]
\Shell\Auto\command - H:\wupdmgr.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98212974-4ae1-11db-b302-000e50ead509}]
\Shell\Auto\command - wupdmgr.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

*Newly Created Service* - PGFILTER
.
Contents of the 'Scheduled Tasks' folder
"2008-05-17 13:20:50 C:\WINDOWS\Tasks\Norton AntiVirus - Scan my computer - Damian.job"
- C:\PROGRA~1\NORTON~2\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-17 17:45:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\WINDOWS\system32\calc.exe [2864] 0xFF6A1958
C:\WINDOWS\system32\svchost.exe [2872] 0xFF700BB0
scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\CCSETMGR.EXE
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCEVTMGR.EXE
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Norton AntiVirus\NAVAPSVC.EXE
C:\Program Files\Norton AntiVirus\IWP\NPFMNTOR.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\Drukarka\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
.
**************************************************************************
.
Completion time: 2008-05-17 17:57:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-17 15:57:34

Pre-Run: 22,898,962,432 bytes free
Post-Run: 24,254,308,352 bytes free

172 --- E O F --- 2008-04-12 10:32:42

0

Do góry

#5 wncvirus

Leń !

851 postów

Napisano 23 05 2008 - 00:46

Wklej do notatnika

FILE::
C:\WINDOWS\system32\_wupdmgr.exe
REGISTRY::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98212974-4ae1-11db-b302-000e50ead509}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e436f78-07a1-11dc-b7a9-000e50ead509}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku --> Dołączona grafika

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.

Po wykonaniu tego daj nowego loga z combofixa.