Benvenuto sul nuovo Forum di Informatica generica HwNL.it raggiungibile anche all'indirizzo: SupportoTecnico.net

tentativo di hacking (penso..)

Protezione PC - Antivirus

Moderatori: Admin, Fabianator

Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

ven 02 nov 2012, 23:50:29

ho scaricato pure lo sniffer consigliatomi da hwnl...ovviamente sono proprio na pippa..ho provato ad avviarlo..ora come ora mi da 300 index...possibile..?? nel caso riuscissi a farmi rinviare il file dove o cosa dovrei guardare per poter tornare utile?

index aumentano a visto d'occhio...ora siamo a circa 1000....


Avatar utente
beva
Utente 100+
Messaggi: 177
Iscritto il: dom 25 lug 2010, 14:37:15

dom 04 nov 2012, 15:22:15

il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop.
Guarda in :
C:\WINDOWS\Prefetch
troverai un file .exe che è quello incriminato: difficile però stabilire il nome perchè chi lo crea gli dà il nome che vuole. (a meno che tu ricordi il nome del file .exe sul quale hai fatto doppio click)
Il firewall non lo rileva e non blocca e neanche gli antivirus (tranne sembra quelli on line)
Che serve il formattone già lo sai, in quanto non credo che basti eliminare quel file: ormai la backdoor è aperta. :roll:
PS: se vuoi risalire al suo ip, netstat ti viene in aiuto :quando sei su skype con lui, chiudi msn, browser e tutto quello che ti mette nel web tranne skype ovviamente, start-esegui-cmd-netstat.
Ha diverse opzioni di comandi e ti mostra l'ip di quello col quale stai in collegamento. Se sei sgamato e se lui non si nasconde dietro a un proxi (tipo tor per intenderci), glielo becchi anche senza mandargli alcun file! ) :twisted:
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

dom 04 nov 2012, 19:17:46

beva ha scritto:il danno è stato fatto con un server RAT ( Remote Administration Tool ): è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop.
Guarda in :
C:\WINDOWS\Prefetch
troverai un file .exe che è quello incriminato: difficile però stabilire il nome perchè chi lo crea gli dà il nome che vuole. (a meno che tu ricordi il nome del file .exe sul quale hai fatto doppio click)
Il firewall non lo rileva e non blocca e neanche gli antivirus (tranne sembra quelli on line)
Che serve il formattone già lo sai, in quanto non credo che basti eliminare quel file: ormai la backdoor è aperta. :roll:
PS: se vuoi risalire al suo ip, netstat ti viene in aiuto :quando sei su skype con lui, chiudi msn, browser e tutto quello che ti mette nel web tranne skype ovviamente, start-esegui-cmd-netstat.
Ha diverse opzioni di comandi e ti mostra l'ip di quello col quale stai in collegamento. Se sei sgamato e se lui non si nasconde dietro a un proxi (tipo tor per intenderci), glielo becchi anche senza mandargli alcun file! ) :twisted:
nella cartella da te indicata trovo solo file .pf e qualche .db, exe col nome del fil eke mi ha mandato..non esiste..neanche un file con estensione .exe

notavo ora che molti prima di -pf riportano l'estenzione .exe, fra questi file pero' non riesco ad individuarne uno che abbia lo stesso nome del file su cui ho cliccato...
Avatar utente
ptrc_000
Supervisore
Messaggi: 2178
Iscritto il: ven 13 mar 2009, 23:51:39
Contatta:

dom 04 nov 2012, 20:44:06

*+se cancelli 'tutti i file .pf' non fai danni.
Si ricreano da soli in un batter d'occhio.
Quindi se vuoi tentare... :roll:
Avatar utente
beva
Utente 100+
Messaggi: 177
Iscritto il: dom 25 lug 2010, 14:37:15

dom 04 nov 2012, 20:46:10

i file .pf se guardi bene dopo il nome e prima di .pf hanno .exe .... :shock:
cerca bene che c'è anche quello incriminato :twisted:
Ad ogni modo ti ripeto che non mi fiderei solo buttandolo in quanto il tipo ha una porta aperta sul tuo pc ANCHE se spegni il modem e lo riaccendi quindi cambiando l'ip che ti rilascia il provider!
Avatar utente
milino
New User
Messaggi: 15
Iscritto il: mar 24 feb 2009, 16:37:55

dom 04 nov 2012, 22:51:51

si si...:) ho capito...purtroppo il file con quel nome non lo trovo..ma nn voglio risolvere sia ben chiaro..solo avere certezza di quel che ha fatto prima di effettuare la formattazione..propio per questo non ho ancora provveduto a formattare a basso livello la macchina...
posso fare altre per trovare quel che il file ha installato sul mio pc?
Avatar utente
beva
Utente 100+
Messaggi: 177
Iscritto il: dom 25 lug 2010, 14:37:15

lun 05 nov 2012, 13:24:12

Avatar utente
beva
Utente 100+
Messaggi: 177
Iscritto il: dom 25 lug 2010, 14:37:15

lun 05 nov 2012, 18:49:35

milino ha scritto:.ma nn voglio risolvere sia ben chiaro..solo avere certezza di quel che ha fatto
beva ha scritto:è stata aperta una backdoor sul tuo pc allo scopo di vedere il desktop.
inoltre:


"DarkComet-RAT (Remote Administration Tool) è un potente e stabile RAT(Remote administration Tool) che ti permette di controllare computer remoti in modo semplice e veloce , puoi vedere il desktop, la webcam, controllare i processi remoti, ascoltare i suoni etc... allo stesso tempo e con una velocità elevata , DarkComet può lavorare in LAN ( Local Area Network ) e WAN ( Wide Area Network ) .DarkComet è compatibile con Windows 2000 , Windows XP (all sp), Windows Vista (all sp) and Windows Seven, sia 32(.386) che 64 bit .
FEATURES:-SYSTEM INFO (informazioni sul pc-vittima)-FUN FUNCTIONS (funzioni divertenti)-SYSTEM FUNCTIONS:-Process Manager; (modifica i processi remoti)-Remote Registry; (cambia i valori del registro di windows)-Remote Shell; (invia comandi al pc)-Window Functions (controlla le finestre attive)-Unistall Applications (Disinstalla i software del pc remoto)-Remote MSConfig (Cambia le impostazioni di avvio)-Remote Scripting (Esegui script in vari linguaggi nel pc remoto)-Files Functions (File Manager[Upload/Download] e Search Manager)-Password (Visualizza le password di MSN,Firefox,IE7 ed i log di utorrent)-Msn Functions (Controlla MSN e visualizza i contatti)-Spy Functions (Controlla Webcam e Suoni, Controlla il Desktop, Keylogger ONline/OFFline)-Network Functions (Url Download, visualizzazione remota delle pagine web, redirect)-Misc Functions (Controlla stampante, messaggi)-Quick Actions (varie funzioni di controllo remoto)-Log(log della sessione)-"
Rispondi