tentativo di hacking (penso..) - Versione stampabile +- HwNL Community - Il Forum Informatico (https://forum.hwnl.it) +-- Forum: Informatica (https://forum.hwnl.it/forum-27.html) +--- Forum: Sicurezza (https://forum.hwnl.it/forum-12.html) +--- Discussione: tentativo di hacking (penso..) (/thread-1346.html) Pagine:
1
2
|
RE: tentativo di hacking (penso..) - milino - 11-02-2012 Salve come mi è stato suggerito apro topic per venire al dunque del mio problema... Non ne capisco molto di sicurezza heylogger etc etc..per cui espongo il mio problema... Parlavo tramite skype con un ragazzo con cui stavamo definendo dei dettagli per una "collaborazione" in ambito lavorativo, nello specifico mi guadagno da vivere giocando a poker online...mi manda un file che doveva contenere varie % e dettagli sull'offerta che mi voleva fare...fatto sta che la cosa gia mi puzza essendo un .exe, chiedo mi rassicura ed io ingenuamente lo clicco... in due secondi dal click e sembra dall'avvio di nn so cosa...il file stesso sparisce dal desktop, non risulta proprio nel mio pc...eppure c'era...| pochi giorni dopo mi accorgo proprio giocando a poker vs duenick mai visti primi che qualcosa non filava lisci....le citta' alla fine corrispondevano a quelle che il ragazzo mi aveva detto in cui vivere..ora non ho ancora formattato perchè vorrei capire se e' stata solo una mia paranoia o qualcosa proprio non torna...so bene di essere io il responsabile della sicurezza del mio pc..xcui ora vorrei capire come comportarmi..se fosse possibile scoprire se qlc è stato ijnstallato nel mio pc..con lo scopo di poter vedere il mio desktop mentre sono in un skype o altri software...ho effettuato gia' una scansione con emisoftware anti-malware e avg...ovviamente nel pc ho notato cose strane..al pimo riavvio diversi file infetti soprattutto nella cartella hava..icone scomparse e poi riapparse nella barra degli strumenti.. Per maggiori dettagli se ce ne fosse bisogno sono sempre disponibile su skype... Grazie mille anticipatamente a tutti.. RE: tentativo di hacking (penso..) - Admin - 11-02-2012 Di certo devi formattare subito e cambiare la password del programma che usi per giocare, o meglio cambia account, quel file potrebbe essere di tutto. RE: tentativo di hacking (penso..) - milino - 11-02-2012 non ho piu' usato quel pc per accedere ai siti dove gioco..non ho formattato il pc proprio perchè voglio aver certezza se fosse ed agire di conseguenza anche per vie legali, non tanto per i soldi ma perchè certa gente non merita proprio d poter agire così..come in ogni cosa sono pro l'integrità...penso o per lo meno ho avuto il sospetto che il tizio agisca non rubando la pass e facendo cose facilmente riconuducibili al tentativo d scamming..ma in qualche modo possa vedere il mio desktop e di conseguenza è proprio giocare a carte scoperte.. RE: tentativo di hacking (penso..) - milino - 11-02-2012 vorrei piu' che altro capire se fosse possibile sapere cosa è stato installato...e se pure c'è qualche modo per rintracciare l'ip o i vari ip usati durante le nostre conversazioni su skype per poterli riferire al supporto del sito in cui gioco per effettuare un paragone ed avere certezza se effettivamete la situazione è come sospetto io... RE: tentativo di hacking (penso..) - Admin - 11-02-2012 Si potresti sniffare la comunicazione col tipo tramite un tool, ma durante la conversazione, recuperarli dalle precedenti comunicazioni mi sembra più difficile. Se hai ancora il file puoi zipparlo e caricarlo da qualche parte così possiamo analizzarlo, ma ti ripeto è assurdo che continui ad usare il sistema se non sai cosa sta accadendo. RE: tentativo di hacking (penso..) - milino - 11-02-2012 hwnl ovviamente sto usando un altro pc, quello diciamo x ora è in disuso..fino a quando non saprò bn, mi consigli qualche sniffer da poter utilizzare sono del tutto ignorante in materia...:\ riguardo il file come ho scritto..il tempo di cliccarci sopra..era scomparso dal desktop..come se nn fosse mai esistito :acc: ovviamente se fosse il caso e qualcuno più pratico volesse accedere direttamente tramite accesso remoto per dargli un'occhiata sono a completa disposizione... voglio avere una risposta e se fosse anche agire per vie legali prima che il sospetto possa agire in tale modo anche vs altri utenti.. RE: tentativo di hacking (penso..) - Admin - 11-02-2012 http://www.nirsoft.net/utils/smsniff.html Se non ricordo male durante la comunicazione dovresti farti inviare qualcosa in modo da visualizzare la provenienza del file, forse semplicemente chattando non vedi l'ip. Purtroppo senza il file non posso aiutarti, poi per vie legali non risolvi assolutamente nulla, potresti fare reclamo a Skype o segnalare l'utente sul forum del gioco a cui partecipi in modo da avvisare tutti compreso lo staff. RE: tentativo di hacking (penso..) - ptrc_000 - 11-02-2012 *+probabilmente il file che hai 'lanciato', è in CMD.[ http://en.wikipedia.org/wiki/Command_Prompt] Quindi avrà inserto qualcosa che c'è..ma non si vede. Se vuoi essere sicuro di non avere problemi,l'unica a 'piallare' il disco. Se vuoi saperne di più su cosa potrebbe averti lasciato e la probabile provenienza: http://www.trendmicro.it/prodotti/strumenti-e-servizi-gratuiti/index.html Puoi scegliere.. ma questo: HijackThis restituisce un report txt,con molte indicazioni su file sospetti. Ma se come immagino,hai lanciato il file 'Exploit',( http://it.wikipedia.org/wiki/Exploit ), l'unica e formattare a basso livello... RE: tentativo di hacking (penso..) - ptrc_000 - 11-02-2012 *+i link a Wikipedia,non vogliono offendere nessuno!!! Ma se qualche utente non conoscesse i termini usati,può verificare.. :| RE: tentativo di hacking (penso..) - milino - 11-02-2012 si si immaginavo l'unica soluzione fosse quella di formattare a basso livello.. non l'ho ancora fatto proprio x il motivo ke dicevo..ho gia' avvisato il supporto e stanno facendo i vari controlli...volevo averne certezza non per riavare i soldi ke so che è una cosa quasi impossibile..ma per poter sputtanare in tutto e per tutto l'utente.. quindi l'unico consiglio e' quello di ptrc..altre cose utili ke posso fare?..oltre ovviamente cercare di reperire il file incriminato per altre vie? RE: tentativo di hacking (penso..) - milino - 11-02-2012 ecco il report che mi ha rilasciato istantaneamente hjacks non e' che ci caspica nulla pero' [spoiler]Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:44:12, on 02/11/2012 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16421) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskhost.exe C:\Program Files\AVG\AVG2012\avgtray.exe C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Skype\Phone\Skype.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Common Files\Java\Java Update\jucheck.exe C:\Program Files\PokerStars.IT\PokerStars.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Milio\Downloads\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files\AVG\AVG2012\avgdtiex.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe O4 - HKCU\..\Run: [Google Update] "C:\Users\Milio\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun O4 - HKCU\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'postgres') O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'postgres') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe O9 - Extra button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files\AVG\AVG2012\avgdtiex.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Emsisoft Anti-Malware 7.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgidsagent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe -- End of file - 8181 bytes[/spoiler] Edit: ptrc_000 RE: tentativo di hacking (penso..) - ptrc_000 - 11-02-2012 Inseriscilo quì: http://www.hijackthis.de/it Se proprio non capisci le risposte... passami il file tramite MP e vedo se posso fare qualcosa... :roll: RE: tentativo di hacking (penso..) - ptrc_000 - 11-02-2012 *+lascia..ho fatto. conosci: O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe Magari è il tuo nome.... :oops: RE: tentativo di hacking (penso..) - ptrc_000 - 11-02-2012 *+se ti va..fai un 'giro' con: http://housecall.trendmicro.com/it/ Ci mette secondo la quantità di dati nel HD.. RE: tentativo di hacking (penso..) - milino - 11-02-2012 si Milio è il nome del pc..per il resto ovviamente capisco solo che è un fila java... RE: tentativo di hacking (penso..) - milino - 11-02-2012 ho scaricato pure lo sniffer consigliatomi da hwnl...ovviamente sono proprio na pippa..ho provato ad avviarlo..ora come ora mi da 300 index...possibile..?? nel caso riuscissi a farmi rinviare il file dove o cosa dovrei guardare per poter tornare utile? index aumentano a visto d'occhio...ora siamo a circa 1000.... RE: tentativo di hacking (penso..) - beva - 11-04-2012 il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop. Guarda in : C:\WINDOWS\Prefetch troverai un file .exe che è quello incriminato: difficile però stabilire il nome perchè chi lo crea gli dà il nome che vuole. (a meno che tu ricordi il nome del file .exe sul quale hai fatto doppio click) Il firewall non lo rileva e non blocca e neanche gli antivirus (tranne sembra quelli on line) Che serve il formattone già lo sai, in quanto non credo che basti eliminare quel file: ormai la backdoor è aperta. :roll: PS: se vuoi risalire al suo ip, netstat ti viene in aiuto :quando sei su skype con lui, chiudi msn, browser e tutto quello che ti mette nel web tranne skype ovviamente, start-esegui-cmd-netstat. Ha diverse opzioni di comandi e ti mostra l'ip di quello col quale stai in collegamento. Se sei sgamato e se lui non si nasconde dietro a un proxi (tipo tor per intenderci), glielo becchi anche senza mandargli alcun file! ) :twisted: RE: tentativo di hacking (penso..) - milino - 11-04-2012 beva Ha scritto:il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop. nella cartella da te indicata trovo solo file .pf e qualche .db, exe col nome del fil eke mi ha mandato..non esiste..neanche un file con estensione .exe notavo ora che molti prima di -pf riportano l'estenzione .exe, fra questi file pero' non riesco ad individuarne uno che abbia lo stesso nome del file su cui ho cliccato... RE: tentativo di hacking (penso..) - ptrc_000 - 11-04-2012 *+se cancelli 'tutti i file .pf' non fai danni. Si ricreano da soli in un batter d'occhio. Quindi se vuoi tentare... :roll: RE: tentativo di hacking (penso..) - beva - 11-04-2012 i file .pf se guardi bene dopo il nome e prima di .pf hanno .exe .... hock: cerca bene che c'è anche quello incriminato :twisted: Ad ogni modo ti ripeto che non mi fiderei solo buttandolo in quanto il tipo ha una porta aperta sul tuo pc ANCHE se spegni il modem e lo riaccendi quindi cambiando l'ip che ti rilascia il provider! |