Jakiś czas temu chciałem sprzedać pewną rzecz i otrzymałem dosyć interesującą propozycję zamiany. Poprosiłem o dodatkowe informacje oraz zdjęcia przedmiotu. Koleś powiedział mi, że pisze z komórki i coś nie może wysłać zdjęć przy pomocy np. ImageShack'a, więc wysłał mi je na maila. Byłem zmęczony i nie zdziwiło mnie to, że były spakowane WinRar'em...
. Oczywiście wyglądały jak normalne zdjęcia, niczego nie podejrzewałem. Przez bite 10 dni rozmawialiśmy na GG do dosyć późna, pewnego dnia zmienił zdanie i postanowił kupić ode mnie tą rzecz, często zostawiałem włączony komputer na noc. W okolicach 7-8 dnia zauważyłem, że załączniki w mailu nie dochodzą. Dziesiątego dnia wracam do domu, włączam monitor i zauważyłem, że pulpit nie był w takim stanie, w jakim go zostawiłem. Od razu podejrzenia spadły na gościa, zagadałem do niego, powiedział mi, że się rozmyślił, bo chce kupić telewizor, który o dziwo dostał dwa lata temu na święta, przynajmniej tak wynikało z tego co wcześniej mówił... 
Myślę, że w "zdjęciach" był skompilowany kod, który zapewnił mu furtkę do systemu i podczas kiedy ja spałem, to on wszystko sobie konfigurował, otworzył sobie porty itp., jednakże nie jestem w 100% pewien jak było naprawdę, bo nie znam się na tym za bardzo. Posiadam jeszcze plik *.rar na mailu, więc jakby był potrzebny to proszę pisać. W domu mam Internet rozgałęziony przy pomocy routera na 5 komputerów, więc możliwe, że na innych komputerach rootkit, czy coś innego też jest i koleś ma do nich dostęp 
Aktualnie piszę z innego komputera podłączonego do tej samej sieci. Dysk twardy "komputera-źródła" z którego korzystałem oraz otworzyłem na nim "zdjęcia" sformatowałem przy pomocy DBAN'a ośmioma przebiegami, wyciągnąłem kartę bezprzewodową i do dzisiaj nie był podłączany do internetu 
Podczas całego zdarzenia miałem na nim zainstalowany w sierpniu Windows 7 Ultimate x64 RTM, bez żadnego antywirusa, jedynie została włączony windowsowski firewall i Windows Defender, nie ściągałem żadnych podejrzanych plików, aż do tych nieszczęsnych "zdjęć".System operacyjny komputera, z którego teraz piszę to Windows 7 Home Premium x64 PL OEM. Zauważyłem, że w taskmanagerze są 2 procesy rundll32.exe - jeden 32-bitowy, drugi 64 (każdy z nich miał inny PID), czasami pojawiał się trzeci, gdy otworzę jakikolwiek folder uruchamia się proces dllhost.exe, w zakładce usługi widnieje sporo pozycji bez numeru PID, możliwe, że to jest normalne jak już wcześniej wspomniałem nie znam się
Aha, po uruchomieniu OTL bardzo długo skanowało katalogi SysNative i SysWow64. W panelu sterowania mam ikonkę BDE Administrator, ścieżka docelowa to folder Common Files. Kiedy chcę zamknąć system wywala informację, że na komputerze są zalogowane inne osoby i mogą one utracić dane. Trochę to dziwne, bo jest tylko jedno konto, a gość jest wyłączony... Do hakera:
Jeżeli patrzysz w tej chwili na to, co napisałem to pozdrawiam Cię bardzo gorąco środkowym palcem
-------------------------------------------------------------------------------------------------------------------------
OTL:
http://wklej.org/hash/221e42ded98/
Po uruchomieniu Gmer'a wywala błąd:
C:\Windows\system32\config\system: Nie można odnaleźć określonego pliku.
Z góry dziękuję za pomoc i pozdrawiam
