Ik ben denk ik gehackt met een RAT - Privacy en beveiliging

maandag 28 februari 2011 17:15

Acties:

Verwijderd

Topicstarter

Beste, mensen.

Ik ben denk ik gerat door een gozer van een forum die ik ken.

Van andere mensen, heb ik gehoord dat zen RAT niet te zien is.

Toen werd me aangeraden om hijack te downloaden..

en aangeraden om jullie te vragen of jullie de logs kunnen nakijken op iets verdacht..

Dus mijn vraag is, wilt iemand van jullie mijn hijack log astublieft na kijken.

Ik heb belangrijke gegevens op mijn computer.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:23, on 28/02/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\nieuw NETGEAR\WN111v2.exe
C:\Users\Max Kastelein\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10e.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\MAXKAS~1\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\Max Kastelein\Desktop\DarkCometRAT3.0.1\Client.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Java\jre6\bin\javaw.exe
D:\virus scanner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.151.151.133:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [jswtrayutil] "C:\Program Files (x86)\nieuw NETGEAR\jswtrayutil.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SandboxieControl] "D:\sandbox\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: AVG.exe
O4 - Startup: Dropbox.lnk = Max Kastelein\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: JavaLoad.exe
O4 - Startup: test.exe
O4 - Global Startup: NETGEAR WN111v2 Smart Wizard.lnk = C:\Program Files (x86)\nieuw NETGEAR\WN111v2.exe
O13 - Gopher Prefix:
O23 - Service: Acunetix WVS Scheduler v6 (AcuWVSSchedulerv6) - Acunetix Ltd. - D:\Acunetix\WVSScheduler.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: AMD Reservation Manager - Advanced Micro Devices - C:\Program Files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - D:\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files (x86)\nieuw NETGEAR\jswpsapi.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - D:\sandbox\SbieSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7626 bytes

Als iemand me Messenger wilt weten, dit is hem:
Warrockvegeta@live.nl

maandag 28 februari 2011 17:16

Acties:

Verwijderd

RAT?

maandag 28 februari 2011 17:17

Acties:

SinergyX

____(>^^(>0o)>____

Wat is een RAT? (jaa.. een beest etc, maar in deze context).

C:\Users\MAXKAS~1\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe

Teamviewer vanuit je temp folder? Is niet goed. Heb je toevallig op wat geklikt wat geen zuivere koffie was?

En je naam hier neerzetten is ook niet zo tactisch

[ Voor 75% gewijzigd door SinergyX op 28-02-2011 17:19 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 28 februari 2011 17:17

Acties:

Viper®

Max Kastelein

RAT = Remote Access Trojan

[ Voor 44% gewijzigd door Viper® op 28-02-2011 17:17 ]

maandag 28 februari 2011 17:17

Acties:

Zinu

dat is gewoon hoe ik rol

Inderdaad, wat hebben ratten hier nou weer mee te maken

maandag 28 februari 2011 17:17

Acties:

iBasch

Verwijderd schreef op maandag 28 februari 2011 @ 17:16:
RAT?

Wikipedia: Remote Administration Tool

Oh, Remote Access Trojan kan ook.

Zelfde eigenlijk, maar dan als trojan.

[ Voor 14% gewijzigd door iBasch op 28-02-2011 17:20 ]

maandag 28 februari 2011 17:19

Acties:

Zinu

dat is gewoon hoe ik rol

Als je echt zeker wilt weten of er iets aan de hand is: gewoon een nachtje goeie virusscanner en anti-spyware programmatje draaien. Ikzelf gebruik altijd Security Essentials en Super Anti-Spyware, they do the trick...

maandag 28 februari 2011 17:20

Acties:

Mavamaarten

Omdat het kan!

Onzichtbaar zijn die dingen nooit.
Heb je ook een reden waarom je denkt gehackt te zijn ? Symptomen, ... ?
Trouwens, het enige vreemde dat ik in eerste oogopslag zie is dit "O4 - Startup: test.exe".

Doe eens een gewone virusscan met een degelijke virusscanner ?

Android developer & dürüm-liefhebber

maandag 28 februari 2011 17:20

Acties:

Racemol

Kan een RAT zijn

C:\Users\MAXKAS~1\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe

maandag 28 februari 2011 17:21

Acties:

TheMe

Verwijderd schreef op maandag 28 februari 2011 @ 17:15:
Beste, mensen.

...blabla...
Toen werd me aangeraden om hijack te downloaden..
en aangeraden om jullie te vragen of jullie de logs kunnen nakijken op iets verdacht..
Dus mijn vraag is, wilt iemand van jullie mijn hijack log astublieft na kijken.
Ik heb belangrijke gegevens op mijn computer.
...blabla...

1. Hier: klik kun je ook je Hijack logs laten checken.
2. Ik heb belangrijke gegevens op mijn computer: je hebt toch wel een back-up op een losse schijf?
3. Bij twijfel: verse installatie van windows

Dan je log:
C:\Users\Max Kastelein\Desktop\DarkCometRAT3.0.1\Client.exe
Dat is wel een verwijzing naar een Remote Administration Tool, alleen wijst dit op een client, niet een server om mee te verbinden van buitenaf. Het draait op de achtergrond dus dat zou ik bij twijfel al afsluiten

Heb je zelf een proxy ingesteld?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.151.151.133:8080

en tot slot:
Wat ben je aan het testen? O4 - Startup: test.exe

Kortom: ik zou eieren voor mijn geld kiezen, al je belangrijke dingen veiligstellen op een externe schijf en een verse installatie van Windows doen.

[ Voor 32% gewijzigd door TheMe op 28-02-2011 17:29 ]

There is no place like 127.0.0.1

maandag 28 februari 2011 17:23

Acties:

MaZo

Even je netwerkverkeer monitoren?

maandag 28 februari 2011 17:29

Acties:

Mavamaarten

Omdat het kan!

Racemol schreef op maandag 28 februari 2011 @ 17:20:
Kan een RAT zijn
C:\Users\MAXKAS~1\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe

Jah da's een RAT, maar een die je bewust draait. (Dit is het process dat je krijgt als je kiest voor starten ipv installeren)

Android developer & dürüm-liefhebber

maandag 28 februari 2011 17:33

Acties:

martijnve

O4 - Startup: test.exe

Ziet er ook niet echt vertrouwenswekkend uit

@hieronder:
Wow dat iedereen daar tot nu toe overheen gelezen heeft

[ Voor 33% gewijzigd door martijnve op 28-02-2011 17:38 ]

Mini-ITX GamePC: Core i5 3470 | 16GB DDR3 | GTX 970 4GB | Samsung 830 128GB | Dell u2711 (27", IPS,1440p), 2343BW

maandag 28 februari 2011 17:36

Acties:

Beatboxx

Certified n00b

C:\Users\Max Kastelein\Desktop\DarkCometRAT3.0.1\Client.exe dan:|

maandag 28 februari 2011 17:38

Acties:

Verwijderd

Volgens mij houd deze persoon zich zelf ook met de verkeerde dingen bezig...

"C:\Users\Max Kastelein\Desktop\DarkCometRAT3.0.1\Client.exe", op desktop geplaatste client
"C:\Users\MAXKAS~1\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe"

maandag 28 februari 2011 17:43

Acties:

SinergyX

____(>^^(>0o)>____

martijnve schreef op maandag 28 februari 2011 @ 17:33:
@hieronder:
Wow dat iedereen daar tot nu toe overheen gelezen heeft

Ik twijfel eerder over de 'waarheid' van de TS, met 3 aparte processen waarvan 1 toch echt zelf is opgestart.. twijfelig verhaaltje.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 28 februari 2011 17:50

Acties:

LinuX-TUX

SinergyX schreef op maandag 28 februari 2011 @ 17:43:
[...]

Ik twijfel eerder over de 'waarheid' van de TS, met 3 aparte processen waarvan 1 toch echt zelf is opgestart.. twijfelig verhaaltje.

Ik twijfel mee. Gedetailleerde terminologie weten / gebruiken, beetje logs genereren via hijackthis, zogenaamd op een ander forum aangeraden en dan hier neer komen plempen.

Neem dit topic (en de TS die NET geregistreerd is) met een korreltje zout

maandag 28 februari 2011 18:32

Acties:

Verwijderd

Ik gebruik zelf Teamviewer. Is zeker geen rat. Kan daar echter wel gemakkelijk voor gebruikt worden. Heb het al jaren werkt perfect.

Als je echt hier bang voor bent moet je even security task manager downloaden.
Dan kan je van elk proces zien of en met welk ip adres het verbinding maakt.

maandag 28 februari 2011 18:47

Acties:

dion_b

Moderator Harde Waren

say Baah

Wat heeft een beveiligingsprobleem in vredesnaam met (Overige) hardware te maken

_{Al zou er een knaagdier betrokken bij zijn, dan nog...}

Move OH -> BV

Oslik blyat! Oslik!

maandag 28 februari 2011 21:10

Acties:

Verwijderd

Topicstarter

dion_b schreef op maandag 28 februari 2011 @ 18:47:
Wat heeft een beveiligingsprobleem in vredesnaam met (Overige) hardware te maken
_{Al zou er een knaagdier betrokken bij zijn, dan nog...}

Move OH -> BV

Fout,
Hackers, kunnen hun bestandje bijna ontzichtbaar maken.

Anti task mananger.
Ze kunne veel dingen op anti instellen.

maandag 28 februari 2011 21:23

Acties:

dreasmon

Er zit zeker een luchtje aan dit zaakje, als je op "Dessingmaster" googled blijkt dat iemand met dezelfde nickname op een ander forum virussen post.