tentativo di hacking (penso..)

[milino]

Salve come mi è stato suggerito apro topic per venire al dunque del mio problema...
Non ne capisco molto di sicurezza heylogger etc etc..per cui espongo il mio problema...
Parlavo tramite skype con un ragazzo con cui stavamo definendo dei dettagli per una "collaborazione" in ambito lavorativo, nello specifico mi guadagno da vivere giocando a poker online...mi manda un file che doveva contenere varie % e dettagli sull'offerta che mi voleva fare...fatto sta che la cosa gia mi puzza essendo un .exe, chiedo mi rassicura ed io ingenuamente lo clicco... in due secondi dal click e sembra dall'avvio di nn so cosa...il file stesso sparisce dal desktop, non risulta proprio nel mio pc...eppure c'era...|
pochi giorni dopo mi accorgo proprio giocando a poker vs duenick mai visti primi che qualcosa non filava lisci....le citta' alla fine corrispondevano a quelle che il ragazzo mi aveva detto in cui vivere..ora non ho ancora formattato perchè vorrei capire se e' stata solo una mia paranoia o qualcosa proprio non torna...so bene di essere io il responsabile della sicurezza del mio pc..xcui ora vorrei capire come comportarmi..se fosse possibile scoprire se qlc è stato ijnstallato nel mio pc..con lo scopo di poter vedere il mio desktop mentre sono in un skype o altri software...ho effettuato gia' una scansione con emisoftware anti-malware e avg...ovviamente nel pc ho notato cose strane..al pimo riavvio diversi file infetti soprattutto nella cartella hava..icone scomparse e poi riapparse nella barra degli strumenti..
Per maggiori dettagli se ce ne fosse bisogno sono sempre disponibile su skype...
Grazie mille anticipatamente a tutti..

[Admin]

Di certo devi formattare subito e cambiare la password del programma che usi per giocare, o meglio cambia account, quel file potrebbe essere di tutto.

[milino]

non ho piu' usato quel pc per accedere ai siti dove gioco..non ho formattato il pc proprio perchè voglio aver certezza se fosse ed agire di conseguenza anche per vie legali, non tanto per i soldi ma perchè certa gente non merita proprio d poter agire così..come in ogni cosa sono pro l'integrità...penso o per lo meno ho avuto il sospetto che il tizio agisca non rubando la pass e facendo cose facilmente riconuducibili al tentativo d scamming..ma in qualche modo possa vedere il mio desktop e di conseguenza è proprio giocare a carte scoperte..

[milino]

vorrei piu' che altro capire se fosse possibile sapere cosa è stato installato...e se pure c'è qualche modo per rintracciare l'ip o i vari ip usati durante le nostre conversazioni su skype per poterli riferire al supporto del sito in cui gioco per effettuare un paragone ed avere certezza se effettivamete la situazione è come sospetto io...

[Admin]

Si potresti sniffare la comunicazione col tipo tramite un tool, ma durante la conversazione, recuperarli dalle precedenti comunicazioni mi sembra più difficile.

Se hai ancora il file puoi zipparlo e caricarlo da qualche parte così possiamo analizzarlo, ma ti ripeto è assurdo che continui ad usare il sistema se non sai cosa sta accadendo.

[milino]

hwnl ovviamente sto usando un altro pc, quello diciamo x ora è in disuso..fino a quando non saprò bn, mi consigli qualche sniffer da poter utilizzare sono del tutto ignorante in materia...:\
riguardo il file come ho scritto..il tempo di cliccarci sopra..era scomparso dal desktop..come se nn fosse mai esistito :acc:
ovviamente se fosse il caso e qualcuno più pratico volesse accedere direttamente tramite accesso remoto per dargli un'occhiata sono a completa disposizione...
voglio avere una risposta e se fosse anche agire per vie legali prima che il sospetto possa agire in tale modo anche vs altri utenti..

[Admin]

http://www.nirsoft.net/utils/smsniff.html

Se non ricordo male durante la comunicazione dovresti farti inviare qualcosa in modo da visualizzare la provenienza del file, forse semplicemente chattando non vedi l'ip.


Purtroppo senza il file non posso aiutarti, poi per vie legali non risolvi assolutamente nulla, potresti fare reclamo a Skype o segnalare l'utente sul forum del gioco a cui partecipi in modo da avvisare tutti compreso lo staff.

[ptrc_000]

*+probabilmente il file che hai 'lanciato', è in CMD.[ http://en.wikipedia.org/wiki/Command_Prompt]
Quindi avrà inserto qualcosa che c'è..ma non si vede.
Se vuoi essere sicuro di non avere problemi,l'unica a 'piallare' il disco.
Se vuoi saperne di più su cosa potrebbe averti lasciato e la probabile provenienza:
http://www.trendmicro.it/prodotti/strume...index.html
Puoi scegliere.. ma questo: HijackThis
restituisce un report txt,con molte indicazioni su file sospetti.
Ma se come immagino,hai lanciato il file 'Exploit',( http://it.wikipedia.org/wiki/Exploit ), l'unica e formattare a basso livello...

[ptrc_000]

*+i link a Wikipedia,non vogliono offendere nessuno!!!
Ma se qualche utente non conoscesse i termini usati,può verificare.. :|

[milino]

si si immaginavo l'unica soluzione fosse quella di formattare a basso livello..
non l'ho ancora fatto proprio x il motivo ke dicevo..ho gia' avvisato il supporto e stanno facendo i vari controlli...volevo averne certezza non per riavare i soldi ke so che è una cosa quasi impossibile..ma per poter sputtanare in tutto e per tutto l'utente..
quindi l'unico consiglio e' quello di ptrc..altre cose utili ke posso fare?..oltre ovviamente cercare di reperire il file incriminato per altre vie?

[milino]

ecco il report che mi ha rilasciato istantaneamente hjacks non e' che ci caspica nulla pero'

[spoiler]Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:44:12, on 02/11/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\PokerStars.IT\PokerStars.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\Downloads\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files\AVG\AVG2012\avgdtiex.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Milio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'postgres')
O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'postgres')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files\AVG\AVG2012\avgdtiex.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...wflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 7.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe

--
End of file - 8181 bytes[/spoiler]

Edit: ptrc_000

[ptrc_000]

Inseriscilo quì: http://www.hijackthis.de/it
Se proprio non capisci le risposte... passami il file tramite MP e vedo se posso fare qualcosa... :roll:

[ptrc_000]

*+lascia..ho fatto.
conosci:

O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe

Magari è il tuo nome.... :oops:

[ptrc_000]

*+se ti va..fai un 'giro' con: http://housecall.trendmicro.com/it/
Ci mette secondo la quantità di dati nel HD..

[milino]

si Milio è il nome del pc..per il resto ovviamente capisco solo che è un fila java...

[milino]

ho scaricato pure lo sniffer consigliatomi da hwnl...ovviamente sono proprio na pippa..ho provato ad avviarlo..ora come ora mi da 300 index...possibile..?? nel caso riuscissi a farmi rinviare il file dove o cosa dovrei guardare per poter tornare utile?

index aumentano a visto d'occhio...ora siamo a circa 1000....

[beva]

il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop.
Guarda in :
C:\WINDOWS\Prefetch
troverai un file .exe che è quello incriminato: difficile però stabilire il nome perchè chi lo crea gli dà il nome che vuole. (a meno che tu ricordi il nome del file .exe sul quale hai fatto doppio click)
Il firewall non lo rileva e non blocca e neanche gli antivirus (tranne sembra quelli on line)
Che serve il formattone già lo sai, in quanto non credo che basti eliminare quel file: ormai la backdoor è aperta. :roll:
PS: se vuoi risalire al suo ip, netstat ti viene in aiuto :quando sei su skype con lui, chiudi msn, browser e tutto quello che ti mette nel web tranne skype ovviamente, start-esegui-cmd-netstat.
Ha diverse opzioni di comandi e ti mostra l'ip di quello col quale stai in collegamento. Se sei sgamato e se lui non si nasconde dietro a un proxi (tipo tor per intenderci), glielo becchi anche senza mandargli alcun file! ) :twisted:

[milino]

il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop.
Guarda in :
C:\WINDOWS\Prefetch
troverai un file .exe che è quello incriminato: difficile però stabilire il nome perchè chi lo crea gli dà il nome che vuole. (a meno che tu ricordi il nome del file .exe sul quale hai fatto doppio click)
Il firewall non lo rileva e non blocca e neanche gli antivirus (tranne sembra quelli on line)
Che serve il formattone già lo sai, in quanto non credo che basti eliminare quel file: ormai la backdoor è aperta. :roll:
PS: se vuoi risalire al suo ip, netstat ti viene in aiuto :quando sei su skype con lui, chiudi msn, browser e tutto quello che ti mette nel web tranne skype ovviamente, start-esegui-cmd-netstat.
Ha diverse opzioni di comandi e ti mostra l'ip di quello col quale stai in collegamento. Se sei sgamato e se lui non si nasconde dietro a un proxi (tipo tor per intenderci), glielo becchi anche senza mandargli alcun file! ) :twisted:

nella cartella da te indicata trovo solo file .pf e qualche .db, exe col nome del fil eke mi ha mandato..non esiste..neanche un file con estensione .exe

notavo ora che molti prima di -pf riportano l'estenzione .exe, fra questi file pero' non riesco ad individuarne uno che abbia lo stesso nome del file su cui ho cliccato...

[ptrc_000]

*+se cancelli 'tutti i file .pf' non fai danni.
Si ricreano da soli in un batter d'occhio.
Quindi se vuoi tentare... :roll:

[beva]

i file .pf se guardi bene dopo il nome e prima di .pf hanno .exe .... hock:
cerca bene che c'è anche quello incriminato :twisted:
Ad ogni modo ti ripeto che non mi fiderei solo buttandolo in quanto il tipo ha una porta aperta sul tuo pc ANCHE se spegni il modem e lo riaccendi quindi cambiando l'ip che ti rilascia il provider!