Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

MHA

[Arquivado]Fui hacheado

Por , em Tópicos Arquivados (Seguranca & Malwares)

Recommended Posts

MHA    0

MHA
Postado

Bom dia, preciso de uma ajuda...

 

Hoje pela manhã fui ver o meu micro e encontrei uma imagem escrita HACKED aberta no visualizador de imagem do XP e um arquivo hacked.jpg no desktop. :ermm:

 

Meu sistema:

  • Windows XP Pro com SP2, atualização automática habilitada.
    Antivírus PC-Cillin 14, atualizado e com o firewall habilitado.
    Apache 2.2
    PHP5

Ontem eu instalei o eMule Plus e deixei rodando a noite. Eu habilitei aquela opção de browser remoto, para eu poder olhar do trabalho. Mudei a porta padrão para uma outra qualquer (4567) e deixei configurado uma senha, sem acesso para convidados.

 

No firewall do PC-Cillin eu abri apenas para a rede da minha empresa, a porta 80 e a porta que configurei no eMule (4567).

 

Eu estou no trabalho, ainda não tive tempo de analisar o que ocorreu. Mas acho que foi pelo Apache. Chegando em casa, o que devo olhar ? Processos abertos, log do apache, logs XP (eventos), registry (chave run, por exemplo) ? No firewall já vou fechar todas as portas também.

 

Será que vou ter que reformatar tudo, por segurança ?

 

Obrigado pela atenção.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Kaled    0

Kaled
Postado

Cara, formata seu HD. Não tem pra onde correr, não dá pra confiar em continuar usando um sistema que já foi hackeado.E após reinstalar, mude sua política de segurança.

Compartilhar este post

Link para o post
Compartilhar em outros sites

jgarcia    1

jgarcia
Postado

Opa MHA,

 

Faça o seguinte:

 

Baixe o HijackThis versão 1.99.1.

 

Depois > Iniciar > Meu Computador > 02 cliques no C > Coloca o HijackThis no C (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

 

Execute o Hijack a partir do C, fechando os demais programas (deixando somente a área de trabalho).

 

Clique em Do a system scan and save a logfile, mas não marque nada, apenas poste o log gerado aqui neste mesmo tópico.

 

Abraços.

Compartilhar este post

Link para o post
Compartilhar em outros sites

MHA    0

MHA
Postado

Logfile of HijackThis v1.99.1

Scan saved at 21:07:37, on 18/1/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\TRENDM~1\INTERN~2\PcCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\TRENDM~1\INTERN~2\Tmntsrv.exe

C:\ARQUIV~1\TRENDM~1\INTERN~2\tmproxy.exe

C:\ARQUIV~1\TRENDM~1\INTERN~2\TmPfw.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Trend Micro\Internet Security 2006\pccguide.exe

C:\Arquivos de programas\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Fabio\CONFIG~1\Temp\Rar$EX00.613\HijackThis.exe

 

O2 - BHO: Trend Micro Antifraud Toolbar - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\ARQUIV~1\TRENDM~1\INTERN~2\PccIeBar.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll

O3 - Toolbar: Trend Micro Antifraud Toolbar - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\ARQUIV~1\TRENDM~1\INTERN~2\PccIeBar.dll

O4 - HKLM\..\Run: [pccguide.exe] "C:\Arquivos de programas\Trend Micro\Internet Security 2006\pccguide.exe"

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\svcr.exe

O4 - HKCU\..\Run: [OE] "C:\Arquivos de programas\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O4 - HKCU\..\Run: [system] C:\WINDOWS\svcr.exe

O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E7369B-9AE3-4A5D-9182-3FFCC1B7E77F}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

O17 - HKLM\System\CS1\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

O17 - HKLM\System\CS2\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache2.2 - Unknown owner - C:\Arquivos de programas\Apache Software Foundation\Apache2.2\bin\httpd.exe" -k runservice (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARQUIV~1\TRENDM~1\INTERN~2\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARQUIV~1\TRENDM~1\INTERN~2\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARQUIV~1\TRENDM~1\INTERN~2\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARQUIV~1\TRENDM~1\INTERN~2\tmproxy.exe

 

 

Segue também um netstat -an (xxx.xxx.xxx.xxx = meu IP)

 

Microsoft Windows XP [versão 5.1.2600]

© Copyright 1985-2001 Microsoft Corp.

 

C:\Documents and Settings\MHA>netstat -an

 

Conexões ativas

 

Proto Endereço local Endereço externo Estado

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1026 127.0.0.1:40000 ESTABLISHED

TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1157 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1159 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1161 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1165 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1172 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1183 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1189 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1191 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1193 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1201 127.0.0.1:6999 ESTABLISHED

TCP 127.0.0.1:1202 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1205 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1206 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1209 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1213 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1215 127.0.0.1:6999 TIME_WAIT

TCP 127.0.0.1:1217 127.0.0.1:6999 CLOSE_WAIT

TCP 127.0.0.1:1231 127.0.0.1:6999 ESTABLISHED

TCP 127.0.0.1:1233 127.0.0.1:6999 ESTABLISHED

TCP 127.0.0.1:6999 0.0.0.0:0 LISTENING

TCP 127.0.0.1:6999 127.0.0.1:1167 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1169 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1181 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1184 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1195 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1197 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1198 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1201 ESTABLISHED

TCP 127.0.0.1:6999 127.0.0.1:1211 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1217 FIN_WAIT_2

TCP 127.0.0.1:6999 127.0.0.1:1219 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1221 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1223 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1225 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1227 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1229 TIME_WAIT

TCP 127.0.0.1:6999 127.0.0.1:1231 ESTABLISHED

TCP 127.0.0.1:6999 127.0.0.1:1233 ESTABLISHED

TCP 127.0.0.1:40000 0.0.0.0:0 LISTENING

TCP 127.0.0.1:40000 127.0.0.1:1026 ESTABLISHED

TCP xxx.xxx.xxx.xxx:139 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:500 *:*

UDP 0.0.0.0:1025 *:*

UDP 0.0.0.0:1063 *:*

UDP 0.0.0.0:1064 *:*

UDP 0.0.0.0:4500 *:*

UDP 0.0.0.0:40116 *:*

UDP 127.0.0.1:123 *:*

UDP 127.0.0.1:1156 *:*

UDP 127.0.0.1:1900 *:*

UDP xxx.xxx.xxx.xxx:123 *:*

UDP xxx.xxx.xxx.xxx:137 *:*

UDP xxx.xxx.xxx.xxx:138 *:*

UDP xxx.xxx.xxx.xxx:1900 *:*

 

C:\Documents and Settings\MHA>

Compartilhar este post

Link para o post
Compartilhar em outros sites

MHA    0

MHA
Postado

OBS: As portas 6999 e 40000 são utilizadas pelo PC-Cillin, uma pelo proxy a outra ainda não descobri para q.

Compartilhar este post

Link para o post
Compartilhar em outros sites

jgarcia    1

jgarcia
Postado

Opa MHA,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o CCleaner em:

CCleaner

 

Baixe, mas não execute ainda.

 

Baixe o Killbox em:

Killbox

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\WINDOWS\svcr.exe

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (ao reiniciar aperte a tecla F8 repetidamente até que apareça uma tela preta em DOS e escolha a opção Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O4 - HKLM\..\Run: [system] C:\WINDOWS\svcr.exe

O4 - HKCU\..\Run: [system] C:\WINDOWS\svcr.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E7369B-9AE3-4A5D-9182-3FFCC1B7E77F}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

O17 - HKLM\System\CS1\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

O17 - HKLM\System\CS2\Services\Tcpip\..\{547112FC-4857-482A-A047-1162253445FC}: NameServer = 85.255.114.104,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.104 85.255.112.103

Clique em Fix Checked.

 

3ª Etapa

 

Reinicie em Modo Normal.

 

Execute o CCleaner e clique em Executar Cleaner.

 

Poste um novo log do HijackThis.

 

Aguardo retorno.

 

Um abraço.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Arquivados (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito