Litt hjelp ang. stjålne passord

[bk991]

Hei. Jeg har hatt litt problemer nå i det siste med passordene mine til div. steder. Kan like gjerne skrive ned hele historien ;

 

For en 2 ukers tid siden da jeg satt og spilte mirrors edge gjennom steam, fikk jeg plutselig beskjed om at jeg var blitt logget på et annet sted. syns det virka rart og prøvde å logge meg på pånytt, da kom beskjeden om at enten bruker navn og/eller passord var feil.

 

Etter en stund fikk jeg sendt mail til steam support som etter en ukes tid hjalp meg, da jeg fikk passordet tilbake var alt fryd og gammen i 20 minutters tid, da fikk jeg samme melding på nytt. Sendte igjen mail til steam support og fikk svar med at jeg kunne ha et keylog program e.l. så jeg burde skifte pw på mail og scanne pcn. tenkte ikke kjempemye mer over det, bestemte meg heller for å ikke styre mer med steam. men da jeg kom på jobb neste dag og skulle logge meg inn på msn, var dette passordet bytta ( forholdsvis samme pw som jeg brukte på steam )

 

Nå ble jeg jo litt mer irritert så da sendte jeg mail og stressa litt med det her, da gjennom gmailen, endra alle pw's jeg hadde rundt omkring (facebook o.l) og fikk omsider resetta pw mitt på msn, det var da for 2 dager siden. igårkveld så skulle jeg logge inn på gmailen min og fikk beskjed om at det var bytta, og når jeg da prøvde å logge inn på hotmailen min så fant jeg også ut at det var bytta, igjen.

 

Nå lagde jeg en ny hotmailaccount jeg ikke har fortalt noen om, og sendte mails til support og fikk tilbake gmailen min gjennom den. vel og bra, men nå er den også blitt tatt å bytta pw på gjennom natta. Så det jeg lurer på her, er hva det kan være, hvordan jeg får fjerna det og hva som evt må gjøres ?

 

Jeg formaterte pcn etter den første hendelsen, og det skjedde igjen 1 dag etterpå, så da er det vel ikke snakk om noe som ligger lokalt på maskinen. Kan også nevne at jeg er på msn nå, men passordet er endra, altså om jeg logger av og prøver å logge på igjen vil jeg ikke komme meg på.

 

Av OS bruker jeg xp sp2

 

noen som har noen ideer om hjelp?

 

På forhånd takk

- BK

[Patience]

Har du noen programmer som er lastet ned fra piratsider? I mange tilfeller er det keygens som sprer ulumskheter..

[norbat]

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

 

Post loggfilen fra combofix (c:\combofix.txt), så ser vi om den kan fortelle noe.

 

På hvilken måte er du tilkoblet internett?

[bk991]

Har lastet ned 1 prog fra en torrent siden format, men har vanskelig for å tro det er det.

 

men skal prøve combofix og legge det ut så fort som mulig nå. thx for kjapt svar

[arnizzz]

Hvilket nettverk sitter du på? Er det mulig noen har en sniffer på nettverket?

 

Du har vel ikke lastet ned windows xp? Hvis du har, skaff deg en gyldig kopi. Har du andre pcer på nettverket som kan være infisert av en trojan eller virus? Koble i såfall disse ut fra nettet når du formaterer og ikke plugg de inn igjen før du har SP3 og alle patchene, brannmur skrudd på (f.eks comodo) og anti-virus installert og oppdatert.

 

Du har vel byttet passord på mail-kontoen der du mottar passord resets?

[bk991]

ComboFix 09-02-14.01 - BK 2009-02-15 12:52:40.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.3070.2285 [GMT 1:00]

Running from: c:\documents and settings\BK\Desktop\ComboFix.exe

AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated)

* Created a new restore point

.

 

((((((((((((((((((((((((( Files Created from 2009-01-15 to 2009-02-15 )))))))))))))))))))))))))))))))

.

 

2009-02-15 00:12 . 2009-02-15 00:12 <DIR> d-------- c:\program files\Alwil Software

2009-02-15 00:12 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll

2009-02-15 00:12 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll

2009-02-15 00:12 . 2003-02-21 04:42 348,160 --a------ c:\windows\system32\MSVCR71.dll

2009-02-15 00:03 . 2009-02-15 00:03 <DIR> d-------- c:\program files\Spyware Doctor

2009-02-15 00:03 . 2009-02-15 00:03 <DIR> d-------- c:\program files\Common Files\PC Tools

2009-02-15 00:03 . 2009-02-15 00:03 <DIR> d-------- c:\documents and settings\BK\Application Data\PC Tools

2009-02-15 00:03 . 2009-02-15 12:50 <DIR> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-02-15 00:03 . 2009-02-15 00:03 <DIR> d-------- c:\documents and settings\All Users\Application Data\PC Tools

2009-02-15 00:03 . 2008-07-28 12:29 160,792 --a------ c:\windows\system32\drivers\pctfw2.sys

2009-02-15 00:03 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys

2009-02-15 00:03 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys

2009-02-15 00:03 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys

2009-02-15 00:03 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys

2009-02-14 20:59 . 2009-02-14 20:59 <DIR> d-------- c:\documents and settings\All Users\Application Data\FLEXnet

2009-02-14 20:54 . 2009-02-14 20:54 <DIR> d-------- c:\program files\Common Files\Macrovision Shared

2009-02-14 20:53 . 2009-02-14 20:57 <DIR> d-------- c:\program files\Common Files\Adobe

2009-02-14 18:45 . 2009-02-14 18:45 <DIR> d-------- c:\program files\uTorrent

2009-02-14 18:45 . 2009-02-14 20:53 <DIR> d-------- c:\documents and settings\BK\Application Data\uTorrent

2009-02-14 13:43 . 2009-02-14 13:43 <DIR> d--h----- c:\windows\PIF

2009-02-14 10:15 . 2009-02-14 10:15 <DIR> d-------- c:\windows\LastGood

2009-02-14 10:15 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll

2009-02-14 10:15 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll

2009-02-14 10:15 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui

2009-02-14 02:15 . 2009-02-14 02:15 <DIR> d-------- c:\documents and settings\BK\Application Data\Ventrilo

2009-02-14 02:14 . 2009-02-14 02:14 <DIR> d-------- c:\program files\Ventrilo Mix

2009-02-14 02:10 . 2009-02-14 02:10 <DIR> d---s---- c:\documents and settings\BK\UserData

2009-02-14 01:49 . 2009-02-14 01:49 <DIR> d-------- c:\program files\Windows Live

2009-02-14 01:49 . 2009-02-14 01:49 <DIR> d--hsc--- c:\program files\Common Files\WindowsLiveInstaller

2009-02-14 01:49 . 2009-02-14 02:10 <DIR> d-------- c:\documents and settings\BK\Contacts

2009-02-14 01:49 . 2009-02-14 01:49 <DIR> d-------- c:\documents and settings\All Users\Application Data\WLInstaller

2009-02-14 01:43 . 2009-02-14 01:43 <DIR> d-------- c:\documents and settings\BK\Tracing

2009-02-14 01:42 . 2009-02-14 01:42 <DIR> d-------- c:\program files\Windows Live SkyDrive

2009-02-14 01:41 . 2009-02-14 01:41 <DIR> d-------- c:\program files\Common Files\Windows Live

2009-02-13 21:32 . 2009-02-13 21:32 <DIR> d-------- c:\program files\LimeWire

2009-02-13 21:32 . 2009-02-13 22:20 <DIR> d-------- c:\documents and settings\BK\Application Data\LimeWire

2009-02-13 21:31 . 2008-04-14 00:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys

2009-02-13 21:30 . 2009-02-13 21:30 <DIR> d-------- c:\program files\iTunes

2009-02-13 21:30 . 2009-02-13 21:30 <DIR> d-------- c:\program files\iPod

2009-02-13 21:30 . 2009-02-13 21:30 <DIR> d-------- c:\documents and settings\BK\Application Data\Apple Computer

2009-02-13 21:30 . 2009-02-13 21:30 <DIR> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-02-13 21:30 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll

2009-02-13 21:30 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys

2009-02-13 21:29 . 2009-02-14 01:49 <DIR> d----c--- c:\windows\system32\DRVSTORE

2009-02-13 21:29 . 2009-02-13 21:29 <DIR> d-------- c:\program files\QuickTime

2009-02-13 21:29 . 2009-02-13 21:30 <DIR> d-------- c:\program files\Common Files\Apple

2009-02-13 21:29 . 2009-02-13 21:29 <DIR> d-------- c:\program files\Bonjour

2009-02-13 21:29 . 2009-02-13 21:29 <DIR> d-------- c:\program files\Apple Software Update

2009-02-13 21:29 . 2009-02-13 21:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-13 21:29 . 2009-02-13 21:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\Apple

2009-02-12 03:01 . 2008-06-13 12:05 272,128 --------- c:\windows\system32\drivers\bthport.sys

2009-02-12 03:01 . 2008-06-13 12:05 272,128 -----c--- c:\windows\system32\dllcache\bthport.sys

2009-02-12 03:00 . 2009-02-13 03:01 <DIR> d--h----- c:\windows\$hf_mig$

2009-02-12 03:00 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2009-02-12 03:00 . 2005-02-25 04:35 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-02-11 23:20 . 2009-02-11 23:20 <DIR> d-------- c:\windows\Sun

2009-02-11 23:19 . 2009-02-11 23:19 <DIR> d-------- c:\program files\Java

2009-02-11 23:19 . 2009-02-11 23:19 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-11 23:19 . 2009-02-11 23:19 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-11 22:50 . 2008-08-14 11:11 2,189,184 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe

2009-02-11 22:50 . 2008-08-14 11:09 2,145,280 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-02-11 22:50 . 2008-08-14 10:33 2,066,048 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-02-11 22:50 . 2008-08-14 10:33 2,023,936 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe

2009-02-11 21:27 . 2009-02-14 21:09 <DIR> d-------- c:\program files\Steam

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-11 19:11 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-11 19:11 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-11 19:11 --------- d-----w c:\program files\Analog Devices

2009-02-11 18:45 --------- d-----w c:\documents and settings\All Users\Application Data\nView_Profiles

2009-02-11 18:44 --------- d-----w c:\program files\AGEIA Technologies

2009-02-11 18:43 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-02-11 18:38 --------- d-----w c:\program files\SystemRequirementsLab

2009-02-11 18:33 --------- d-----w c:\program files\NVIDIA Corporation

2009-02-11 18:31 --------- d-----w c:\documents and settings\BK\Application Data\InstallShield

2009-02-11 18:27 --------- d-----w c:\program files\microsoft frontpage

2009-01-07 10:28 453,152 ----a-w c:\windows\system32\NVUNINST.EXE

2008-12-10 08:45 70,936 ----a-w c:\windows\system32\PhysXLoader.dll

2008-12-04 08:28 24,344 ----a-w c:\windows\system32\PhysXDevice.dll

2008-11-26 07:55 288,024 ----a-w c:\windows\system32\PhysXCplUI.exe

2008-11-25 07:38 288,024 ----a-w c:\windows\system32\PhysXCompatCplUI.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Steam"="c:\program files\Steam\Steam.exe" [2009-02-11 1410296]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-11 148888]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"nwiz"="nwiz.exe" [2009-01-15 c:\windows\system32\nwiz.exe]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Steam\\steamapps\\bk991\\counter-strike\\hl.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

 

R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-02-15 160792]

S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-02-15 356920]

 

--- Other Services/Drivers In Memory ---

 

*NewlyCreated* - FLEXNET_LICENSING_SERVICE

*NewlyCreated* - IKFILESEC

*NewlyCreated* - IKSYSFLT

*NewlyCreated* - IKSYSSEC

*NewlyCreated* - MCHINJDRV

*NewlyCreated* - PCTFW2

*NewlyCreated* - SDAUXSERVICE

*NewlyCreated* - SDCORESERVICE

*Deregistered* - mchInjDrv

.

Contents of the 'Scheduled Tasks' folder

 

2009-02-14 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Supplementary Scan -------

.

uInternet Settings,ProxyOverride = *.local

LSP: c:\program files\Common Files\PC Tools\LSP\PCTLsp.dll

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

FF - ProfilePath - c:\documents and settings\BK\Application Data\Mozilla\Firefox\Profiles\4m3j27no.default\

FF - prefs.js: browser.startup.homepage - vg.no/live

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, <a href="http://www.gmer.net" target="_blank" rel="nofollow">http://www.gmer.net</a>

Rootkit scan 2009-02-15 12:53:40

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'lsass.exe'(724)

c:\windows\system32\nvappfilter.dll

.

Completion time: 2009-02-15 12:54:20

ComboFix-quarantined-files.txt 2009-02-15 11:54:18

 

Pre-Run: 628 539 838 464 bytes free

Post-Run: 628,755,886,080 bytes free

 

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

 

170 --- E O F --- 2009-02-13 02:01:13

 

 

 

 

der , beklager om det ble rotete.

 

har 3 andre pcr på nettverket, men disse har brukere på over 50 år. så jeg tviler på at dem har gjort noe, men jeg skal gjerne prøve . om dere ikke ser noe på den logfilen.

har gyldig kopi av xp home forresten

 

; edit: er tilkobla internett gjennom telenor adsl + router

Endret 15. februar 2009 av bk991

[norbat]

Loggen viser ingen tegn på uønskede prosesser. Du har også reinstallert for ikke lenge siden, så problemet må sannsynligvis ligge en annen plass.

 

Du nevner ruter, er dette en trådløs ruter med kryptering?

 

Vurder å installere en 3.part brannmur, eks. Online Armor free

[Patience]

Forslag til kilde; Har du en smarttelefon? Har du installer noen "cracks" eller piratkopier på den? Et det tilfeldigvis de samme sidene som du accesserer fra mobilen?

 

Tenk litt på det..