Benvenuto sul nuovo Forum di Informatica generica HwNL.it raggiungibile anche all'indirizzo: SupportoTecnico.net

tentativo di hacking (penso..)

Protezione PC - Antivirus

Moderatori: Admin, Fabianator

Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 17:19:52

Salve come mi è stato suggerito apro topic per venire al dunque del mio problema...
Non ne capisco molto di sicurezza heylogger etc etc..per cui espongo il mio problema...
Parlavo tramite skype con un ragazzo con cui stavamo definendo dei dettagli per una "collaborazione" in ambito lavorativo, nello specifico mi guadagno da vivere giocando a poker online...mi manda un file che doveva contenere varie % e dettagli sull'offerta che mi voleva fare...fatto sta che la cosa gia mi puzza essendo un .exe, chiedo mi rassicura ed io ingenuamente lo clicco... in due secondi dal click e sembra dall'avvio di nn so cosa...il file stesso sparisce dal desktop, non risulta proprio nel mio pc...eppure c'era...|
pochi giorni dopo mi accorgo proprio giocando a poker vs duenick mai visti primi che qualcosa non filava lisci....le citta' alla fine corrispondevano a quelle che il ragazzo mi aveva detto in cui vivere..ora non ho ancora formattato perchè vorrei capire se e' stata solo una mia paranoia o qualcosa proprio non torna...so bene di essere io il responsabile della sicurezza del mio pc..xcui ora vorrei capire come comportarmi..se fosse possibile scoprire se qlc è stato ijnstallato nel mio pc..con lo scopo di poter vedere il mio desktop mentre sono in un skype o altri software...ho effettuato gia' una scansione con emisoftware anti-malware e avg...ovviamente nel pc ho notato cose strane..al pimo riavvio diversi file infetti soprattutto nella cartella hava..icone scomparse e poi riapparse nella barra degli strumenti..
Per maggiori dettagli se ce ne fosse bisogno sono sempre disponibile su skype...
Grazie mille anticipatamente a tutti..


Avatar utente
Admin
Amministratore
Messaggi: 2011
Iscritto il: gio 22 mag 2008, 16:35:19
Contatta:

ven 02 nov 2012, 17:41:02

Di certo devi formattare subito e cambiare la password del programma che usi per giocare, o meglio cambia account, quel file potrebbe essere di tutto.
Immagine
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 17:44:50

non ho piu' usato quel pc per accedere ai siti dove gioco..non ho formattato il pc proprio perchè voglio aver certezza se fosse ed agire di conseguenza anche per vie legali, non tanto per i soldi ma perchè certa gente non merita proprio d poter agire così..come in ogni cosa sono pro l'integrità...penso o per lo meno ho avuto il sospetto che il tizio agisca non rubando la pass e facendo cose facilmente riconuducibili al tentativo d scamming..ma in qualche modo possa vedere il mio desktop e di conseguenza è proprio giocare a carte scoperte..
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 17:47:11

vorrei piu' che altro capire se fosse possibile sapere cosa è stato installato...e se pure c'è qualche modo per rintracciare l'ip o i vari ip usati durante le nostre conversazioni su skype per poterli riferire al supporto del sito in cui gioco per effettuare un paragone ed avere certezza se effettivamete la situazione è come sospetto io...
Avatar utente
Admin
Amministratore
Messaggi: 2011
Iscritto il: gio 22 mag 2008, 16:35:19
Contatta:

ven 02 nov 2012, 17:53:24

Si potresti sniffare la comunicazione col tipo tramite un tool, ma durante la conversazione, recuperarli dalle precedenti comunicazioni mi sembra più difficile.

Se hai ancora il file puoi zipparlo e caricarlo da qualche parte così possiamo analizzarlo, ma ti ripeto è assurdo che continui ad usare il sistema se non sai cosa sta accadendo.
Immagine
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 18:02:36

hwnl ovviamente sto usando un altro pc, quello diciamo x ora è in disuso..fino a quando non saprò bn, mi consigli qualche sniffer da poter utilizzare sono del tutto ignorante in materia...:\
riguardo il file come ho scritto..il tempo di cliccarci sopra..era scomparso dal desktop..come se nn fosse mai esistito :acc:
ovviamente se fosse il caso e qualcuno più pratico volesse accedere direttamente tramite accesso remoto per dargli un'occhiata sono a completa disposizione...
voglio avere una risposta e se fosse anche agire per vie legali prima che il sospetto possa agire in tale modo anche vs altri utenti..
Avatar utente
Admin
Amministratore
Messaggi: 2011
Iscritto il: gio 22 mag 2008, 16:35:19
Contatta:

ven 02 nov 2012, 18:19:43

http://www.nirsoft.net/utils/smsniff.html

Se non ricordo male durante la comunicazione dovresti farti inviare qualcosa in modo da visualizzare la provenienza del file, forse semplicemente chattando non vedi l'ip.


Purtroppo senza il file non posso aiutarti, poi per vie legali non risolvi assolutamente nulla, potresti fare reclamo a Skype o segnalare l'utente sul forum del gioco a cui partecipi in modo da avvisare tutti compreso lo staff.
Immagine
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

ven 02 nov 2012, 18:34:55

*+probabilmente il file che hai 'lanciato', è in CMD.[ http://en.wikipedia.org/wiki/Command_Prompt]
Quindi avrà inserto qualcosa che c'è..ma non si vede.
Se vuoi essere sicuro di non avere problemi,l'unica a 'piallare' il disco.
Se vuoi saperne di più su cosa potrebbe averti lasciato e la probabile provenienza:
http://www.trendmicro.it/prodotti/strum ... index.html
Puoi scegliere.. ma questo: HijackThis
restituisce un report txt,con molte indicazioni su file sospetti.
Ma se come immagino,hai lanciato il file 'Exploit',( http://it.wikipedia.org/wiki/Exploit ), l'unica e formattare a basso livello...
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

ven 02 nov 2012, 18:36:46

*+i link a Wikipedia,non vogliono offendere nessuno!!!
Ma se qualche utente non conoscesse i termini usati,può verificare.. :| :idea:
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 18:38:33

si si immaginavo l'unica soluzione fosse quella di formattare a basso livello..
non l'ho ancora fatto proprio x il motivo ke dicevo..ho gia' avvisato il supporto e stanno facendo i vari controlli...volevo averne certezza non per riavare i soldi ke so che è una cosa quasi impossibile..ma per poter sputtanare in tutto e per tutto l'utente..
quindi l'unico consiglio e' quello di ptrc..altre cose utili ke posso fare?..oltre ovviamente cercare di reperire il file incriminato per altre vie?
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 18:45:12

ecco il report che mi ha rilasciato istantaneamente hjacks non e' che ci caspica nulla pero':D

[spoiler]Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:44:12, on 02/11/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\PokerStars.IT\PokerStars.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Milio\Downloads\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files\AVG\AVG2012\avgdtiex.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Milio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'postgres')
O4 - HKUS\S-1-5-21-1627422829-141852282-136896169-1002\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'postgres')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files\AVG\AVG2012\avgdtiex.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 7.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgidsagent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe

--
End of file - 8181 bytes[/spoiler]

Edit: ptrc_000
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

ven 02 nov 2012, 18:59:27

Inseriscilo quì: http://www.hijackthis.de/it
Se proprio non capisci le risposte... passami il file tramite MP e vedo se posso fare qualcosa... :roll:
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

ven 02 nov 2012, 19:04:21

*+lascia..ho fatto.
conosci:

O4 - HKLM\..\Policies\Explorer\Run: [javac] C:\Users\Milio\AppData\Roaming\javacHost.exe

Magari è il tuo nome.... :oops:
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

ven 02 nov 2012, 19:07:58

*+se ti va..fai un 'giro' con: http://housecall.trendmicro.com/it/
Ci mette secondo la quantità di dati nel HD..
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 22:47:10

si Milio è il nome del pc..per il resto ovviamente capisco solo che è un fila java:D...
Rispondi