In behandeling Gehackt en nu?!

#1
Geachte forumleden, het is nu meer dan een week dat ik ben gehackt. Ik probeer allereerst de bewijzen daarvan te vinden omdat het me ontzettend veel geld heeft gekost en vervolgens moet ik de rotzooi opruimen en zien dat ik weer baas in eigen automatiseringsland wordt. Nu ben ik al vele dagen bezig om het zelf voor elkaar te krijgen maar ze zijn me steeds te slim af. Nu uitgekomen op jullie site, hoop dat jullie me kunnen helpen.
Met vriendelijke groet, Natascha Visser
 

Bijlagen

TS
TS
A

Anesthi

Nieuw lid
#2
Het probleem is echter groter dan alleen Windows want ik heb ook gezien dat ze bestanden van mijn iPhone (zekere whitelist - en mogelijk de iPad) hebben gedownload. Is daar nog iets op te vinden, om de juiste informatie boven water te krijgen?
Met vriendelijke groet, Natascha Visser
 
TS
TS
A

Anesthi

Nieuw lid
#3
Ik heb de bestanden zelf natuurlijk ook even bekeken en ik zag dat, ondanks rechtsklikken - uitvoeren als administrator, ik niet de bijbehorende rechten had gekregen en er eea miste in het bestand.
Dit zijn een van de problemen waar ik tegen aan bleef lopen. Nu dus maar het verborgen administrator account geactiveerd en op die wijze, hopelijk, wel de juiste output verkregen.
De nieuwe bestanden zijn hier terug te vinden.
 

Bijlagen

aarie25

Moderator
Medewerker
#5
Abraham is hier de virus expert, die zal jou helpen in dit topic.
Maar ik zal hem even een bericht sturen, zo dat hij jou kan helpen.
 

Abraham54

Administrator
Medewerker
#6
Hallo Natascha, waarom denk jij dat je gehackt bent?

Waarschuwing: onderstaande bewerking is enkel voor deze computer bedoeld, het toepassen hiervan in een andere computer kan tot schade in Windows leiden.


We gaan


Farbar Recovery Scan Tool (FRST.exe) opnieuw gebruiken.

Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\Kladblok (of Notepad)".
Kopieer en plak de tekst in het code-venster onder het woord Code in het lege kladblokvenster.

Code:
start
CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrictie <==== AANDACHT
HKU\S-1-5-21-1919592628-1337612330-1049511105-1001\...\Run: [8A13635A0805A4FA8DEADE195562368EFD121426._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1587680 2018-12-12] (Google Inc.)
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrictie <==== AANDACHT
CHR HKLM\SOFTWARE\Policies\Google: Restrictie <==== AANDACHT
CHR HKU\S-1-5-21-1919592628-1337612330-1049511105-1001\SOFTWARE\Policies\Google: Restrictie <==== AANDACHT
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrictie <==== AANDACHT
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_151\bin\ssv.dll [2017-11-08] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_151\bin\jp2ssv.dll [2017-11-08] (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\jp2ssv.dll [2017-11-08] (Oracle Corporation)
FF Plugin: @java.com/DTPlugin,version=11.151.2 -> C:\Program Files\Java\jre1.8.0_151\bin\dtplugin\npDeployJava1.dll [2017-11-08] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.151.2 -> C:\Program Files\Java\jre1.8.0_151\bin\plugin2\npjp2.dll [2017-11-08] (Oracle Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.151.2 -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\dtplugin\npDeployJava1.dll [2017-11-08] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.151.2 -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\plugin2\npjp2.dll [2017-11-08] (Oracle Corporation)
AVG Secure Browser (HKLM-x32\...\AVG Secure Browser) (Version: 70.1.682.112 - AVG Technologies)
AVG Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.4.155.333 - AVG Technologies) Hidden
Java 8 Update 151 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180151F0}) (Version: 8.0.1510.12 - Oracle Corporation)
Java 8 Update 151 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180151F0}) (Version: 8.0.1510.12 - Oracle Corporation)

EmptyTemp:
CloseProcesses:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
end
Sla nu dit kladblokbestand in de dezelfde locatie waar ook FRST.exe aanwezig is op als Fixlist.txt

Farbar Recovery Scan Tool (FRST.exe) met de fixlist.txt gebruiken
  • Windows Vista, Windows 7, Windows 8 en Windows 10: via rechtsklik op FRST.exe en kies voor "Als Administrator uitvoeren".
  • Als het programma wordt gestart, klik dan op Ja in de popup.
  • Druk op de Fix knop.
  • Na de fix wordt een logbestand - Fixlog.txt - in dezelfde locatie aangemaakt van waaruit FRST.exe is gestart.
  • Post de inhoud van dit logbestand in jouw volgende bericht.
 
TS
TS
A
#7
Hallo! Fijn dat je er bent, ik hoop dat we eruit kunnen komen.
Eerst in antwoord op je vraag waarom ik denk dat ik gehackt ben. Ik heb hele bestanden met printscreens inmiddels verzameld omdat er zoveel is gebeurd maar zo kort mogelijk opgesomd:


iPhone en iPad
  • Bestanden worden ervan gedownload
  • Foto's worden verwijderd
  • websites die ik niet bezoek staan in in de browser open, browser gehacked
  • apps zijn onbruikbaar gemaakt
  • probeer de nieuwste software te installeren op de iphone en bijwerken lukt niet. Kan alleen herstellen. Probeer de laatste reserve-kopie terug te zetten, dat duurt al uren en hij geeft aan nog 8 uur nodig te hebben. Deze kopie is niet ok mijn inziens
  • mijn iphone is gesimlocked geweest. En de eerste keer wist ik de code niet dus 2 dagen offline geweest. Daarna gebeurde het geregeld, iedere keer op simlock

Windows:
  • mijn Windows versie illegaal is gemaakt.
  • mijn lokale administrator rechten zijn ontnomen
  • mijn account al 2x is opgezegd.
  • er steeds op mijn account werd ingelegd
  • er verborgen shares zijn
  • er een verborgen gebruiker is
  • het is bevestigd dat de pc wordt gehijacked en zelfs randsomware is gevonden via online websites.
  • ik kom niet meer bij bepaalde bestanden
  • ik zelf heb gezien dat iemand mijn bestanden verwijderde en printjobs annuleerde
  • Hyper-V is ingesteld, mijn computer een virtuele computer lijkt te zijn en azure Active Directory is aangemaakt. Allemaal niet gedaan door mij
  • mijn computer stond ingesteld om op afstand te ontwaken

Overig
  • sprake van openbaar netwerk waar ik het altijd particulier heb gehad
  • mijn bankrekening/creditcards zijn leeggehaald via laptop of iPad
  • internetverbinding modem/router wordt iedere keer geinfecteerd zodat ik ook niet meer online kom
  • met het instellen van de anti-virus/spyware/ransomware dmw programma's voorgesteld door deze site liep de pc helemaal vast
  • bevestigd dat bepaald email en inlognaam is gelekt
  • en nog heel veel rare dingen, die ik tot op heden alleen in een film heb zien gebeuren
  • mijn inlog op apple id, google accounts en MSN windows iedere keer werd veranderd
  • feitelijk iedere poging van mij om controle te krijgen over mijn eigen netwerk en digitale wereld wordt dwarsgezeten. Ben al 13 dagen bezig om de controle terug te krijgen...
  • synchronisatie tussen apple/firefox/google bijna niet te doorbreken
  • voor de duidelijkheid, er wordt geen ransom geëist, er wordt met me gespeeld
  • of iemand uit de buurt heeft ingelogd met een apple product op mijn netwerk omdat ik meldingen heb ontvangen van onbekend apparaat logt in op google en msn. Dit om up to date te blijven van de wachtwoorden

Dan nu de voortgang op het verzochte, Frst.exe met Fixlist gebruiken.
Dit is er achtereenvolgens gebeurd:

Ik log in als verborgen administrator, het bestand opent en sluit weer met een foutmelding. Iedere poging daarna om het te openen als administrator, mislukt en ik krijg een foutmelding. Vervolgens besluit ik in te loggen met mijn daadwerkelijke MSN Windows account en dan loopt de aanmelding helemaal vast.
Ik doe een harde reset en krijg vervolgens de foutmelding dat windows installatie niet meer goed is. Herstelprogramma gestart, dat lukt niet. Naar specifiek herstelpunt herstellen dat lukt niet, ik vrees dat het zal uitlopen op een schone installatie. En helaas ben ik daarmee alle bewijs kwijt van wat er is gebeurd...
 

Abraham54

Administrator
Medewerker
#8
Hoe ben jij verbonden met internet?

Gedraad of via WLAN?
 

Abraham54

Administrator
Medewerker
#11
Doe dat.

Heb je geen andere computer?

Want vermoedelijk is jouw WLAN ook gehackt.

Welke modem heb jij van welke provider?
 

Abraham54

Administrator
Medewerker
#12
Als jouw computer weer opgebouwd is, laat Avast dan een volledige scan doen - verwijder eerst de internetverbinding en zet de WLAN op vliegtuigstand, dan is deze ook afgesloten en dan de volledige scan laten doen.
 
TS
TS
A
#13
Ja ik heb nog een laptop die ik van de week een schone installatie heb gegeven en waarop de nodige anti-alles draait. Alleen krijg ik die niet geactiveerd
Update over de gehackte pc: alle herstelpunten van voor vandaag blijken onherstelbaar beschadigd of verwijderd te zijn. Logisch, of niet? In ieder geval, het laatste herstelpunt, die van vanavond heeft wel gewerkt. Dus ik ben weer op de computer!
Ik ga de computer nu naar de woonkamer verhuizen en kom zo terug!
 
TS
TS
A
#14
Mijn internetprovider is Ziggo. Ik heb het modem van Ziggo, de connectbox, in bridge modus en de netgear r7000 router er achter in router modus. Daarop heb ik nu iig toegangspunten ingesteld en per mac adress de toegang toegestaan. Overige aansluitingen worden verboden.
Avast voert nu een volledige scan uit, eerst doe ik de systeemschijf en daarna opnieuw maar dan alle schijven. Die kan dan mooi door de nacht lopen. Verder zal ik proberen om nogmaals de eerste opdracht uit te voeren met Frst.exe
 

Abraham54

Administrator
Medewerker
#15
Ik ben benieuwd naar de voortgang.
 
#16
De eerste scan, van alleen de systeemscan, is vastgelopen, gaf een foutmelding. Dus vannacht om 5 uur heb ik een nieuwe scan gestart maar nu wel over alle schijven. De scan is nog steeds bezig...
 

Abraham54

Administrator
Medewerker
#19
Je zal eerst met de schone computer moeten inloggen op de Ziggo modem en het WLAN - wachtwoord naar een lang en uniek wachtwoord moeten veranderen.

En datzelfde wachtwoord zet je dan ook in de WLAN-sectie van de router.

En dat WLAN-wachtwoord zet je daarna ook in jouw Windows computers - zodat de hacker geen toegang meer heeft.

Ik vermoed namelijk dat het eerder een scriptkiddy is, die zijn eerste schreden op het hacken heeft gezet.
Dus het is iemand uit jouw buurt die dit doet.

Is jouw Ziggo hotspot verbinding actief?
 
#20
Ja dat dacht ik al, dat het iemand uit de buurt was, die met zijn apparatuur op mijn netwerk is geweest. Ok dus nog even wachten met naar de politie gaan begrijp ik...wat kan ik nu doen? De scan staat eigenlijk al uren op 99% maar staat niet stil want ik zie de lijst van behandelde bestanden voorbij scrollen...
Maar eerste schreden (ik weet niet wat een scripkiddy is...)? Hij is actief op alles wat van mij digitaal is, iPhone, iPad, computers, modem/router, heeft alle wachtwoorden, ziet wat ik doe...geeft zich uit voor mij...
Nee, mijn hotspot is volgens mij niet actief...waar kan ik dit inzien? Op de site van Ziggo zelf?
 
Bovenaan Onderaan