Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 30-05-2017, 20:40   #1
wazzagana
Member
 
Iscritto dal: Feb 2008
Messaggi: 113
Teamviewer 10. Assicurarsi che nessuno sia entrato.

Salve,


Come sempre vi ringrazio in anticipo per eventuali risposte. E mi scuso per la lunghezza del messaggio e la probabile banalità di alcune domande.


Vorrei capire se qualcuno sta utilizzando/ha utilizzato Teamviewer (anche indirettente) per accedere al mio comupter. Il tutto è nato da una segnalazione di 360 total security che mi chiedeva di bloccarlo perché aveva modificato il certificato del produttore.*


Vi metto qui un po' di domande che ho, e poi di seguito una descrizione più dettagliata del problema, nel caso voleste avere il quadro completo.


1) si può accedere ad un PC se spento? E se acceso, ma non connesso ad internet?

2) è possibile che qualcuno sia entrato nel mio pc anche se poi nella pratica non ho subito alcun danno (furto numeri carta, furto file, etc.)?

3) se teamviewer non mi serve più devo cancellarlo? O rischio di eliminare tracce per capire se il pc è stato violato?

4) se sia 360 total security che malware bytes non rilevano nulla di pericoloso, posso effettivamente stare tranquillo?

5) Ammesso che qualcuno sia entrato, si può capire cosa è stato fatto?


Tempo fa (da ingenuo) avevo installato Teamviewer 10 su due pc differenti per poter accedere da remoto a quello che avevo spesso più lontano (trovandomi spesso all'estero). Premetto che il pc cui accedeva non aveva dati sensibili.*


Per facilitare il tutto avevo addirittura tolto la password d'accesso a Windows e messo autostart e autospegnimento ad orari stabiliti al pc cui accedere. E credo anche di aver disabilitato la procedura del codice temporaneo, perché se no, non avrei potuto immetterlo a distanza. Poi non ne ho fatto molto utilizzo.*


Ad ogni modo, vorrei essere sicuro che non ci siano stati accessi non autorizzati su nessuno dei due pc.*

Ho letto il log degli accessi e ci sono diverse stringhe negli ultimi giorni. Quando io non accedo da anni (o almeno mesi).*

Inoltre, ormai da mesi, ho notato comportamenti strani sul PC da cui gestivo Teamviewer (non quello lontano).*

In particolar modo quasi ogni volta che lo riaccendo trovo data ed ora indietro di qualche giorno/ora (la batteria però e' completamente andata e funziona solo da attaccato alla presa - è un portatile)

Oppure è molto lento (ma il pc è molto vecchio. 2012. Mai stato formattato e fino a circa due anni fa, ci installavo di tutto).*

Infine, molto raramente, in alto a sinistra compare come una finestra di trasferimento file, ma solo per una frazione di secondo. Tanto da non riuscire a leggere cosa c'è scritto.*

Ho anche letto che un anno fa hanno forse rubato tutti i dati d'accesso degli utenti teamviewer. Il che mi ha ovviamente preoccupato.*


Fatemi sapere se avete qualche idea. Scusate ancora per il messaggio estremamente lungo ma ho cercato di darvi più elementi possibili.*


Grazie mille!!
wazzagana è offline   Rispondi citando il messaggio o parte di esso
Old 30-05-2017, 23:10   #2
aled1974
Senior Member
 
L'Avatar di aled1974
 
Iscritto dal: Oct 2009
Messaggi: 23489
Quote:
Originariamente inviato da wazzagana Guarda i messaggi
1) si può accedere ad un PC se spento? E se acceso, ma non connesso ad internet?
2) è possibile che qualcuno sia entrato nel mio pc anche se poi nella pratica non ho subito alcun danno (furto numeri carta, furto file, etc.)?
3) se teamviewer non mi serve più devo cancellarlo? O rischio di eliminare tracce per capire se il pc è stato violato?
4) se sia 360 total security che malware bytes non rilevano nulla di pericoloso, posso effettivamente stare tranquillo?
5) Ammesso che qualcuno sia entrato, si può capire cosa è stato fatto?
1 no e no, come potrebbe fare del resto? se il pc non è visibile dall'esterno perchè fuori dalla rete (e intendo tutte le reti) è invisibile. Se poi è spento neanche mandrake
2. non credo, per accedere ci vuole un codice no? senza quello.... Ma tu in effetti stai operando senza codici
3. se non ti serve che lo tieni a fare? sarebbe come chiedere se vale la pena tenere Doom3 installato se non ci giochi più da mesi e sai che non ci giocherai più
4. ni, nel senso che la certezza al 100% non esiste, diciamo che se oltre a quei due hai fatto scansioni con altri 4-5 prodotti antivirus/malware e nessuno ha trovato nulla (manco un cookie) allora sei ragionevolmente sicuro di poter stare tranquillo
5. ni, ci vorrebbe un logger installato, ma installarne uno (fatto da altri) è un rischio (rischi di aprire una porta verso chissà chi) o comunque un programma che indicizzi e verifichi la data dell'ultimo accesso a tutti i files del pc. In questo modo impostando la ricerca per quella data X vedi quali files sono stati consultati in quella data. Ovviamente non saprai da chi. Nella sostanza, no, non c'è modo

Quote:
Ho letto il log degli accessi e ci sono diverse stringhe negli ultimi giorni. Quando io non accedo da anni (o almeno mesi).*
cosa c'è scritto in queste stringhe?

Quote:
Inoltre, ormai da mesi, ho notato comportamenti strani sul PC da cui gestivo Teamviewer (non quello lontano).*
vale il discorso che si ripete a tutti in questa sezione: inizia a fare scansioni secondo guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Quote:
In particolar modo quasi ogni volta che lo riaccendo trovo data ed ora indietro di qualche giorno/ora (la batteria però e' completamente andata e funziona solo da attaccato alla presa - è un portatile)
inconcludente, 99,9% è colpa della batteria

Quote:
Oppure è molto lento (ma il pc è molto vecchio. 2012. Mai stato formattato e fino a circa due anni fa, ci installavo di tutto).*
idem con l'aggravante di averci installato di tutto, ribadisco il consiglio delle scansioni secondo guida

Quote:
Infine, molto raramente, in alto a sinistra compare come una finestra di trasferimento file, ma solo per una frazione di secondo. Tanto da non riuscire a leggere cosa c'è scritto.*
com'è fatta questa finestra di trasferimento files? ri-ribadisco il consiglio bla bla bla

Quote:
Ho anche letto che un anno fa hanno forse rubato tutti i dati d'accesso degli utenti teamviewer. Il che mi ha ovviamente preoccupato.*
eh, l'ho letta anch'io, di solito quando si leggono queste cose la prima cosa che si fa è cambiare codici, ma tanto tu non ne usavi

Quote:
Fatemi sapere se avete qualche idea. Scusate ancora per il messaggio estremamente lungo ma ho cercato di darvi più elementi possibili.*
hai fatto benissimo

intanto... beh, immagino che tu abbia capito cosa sto per consigliarti...

ciao ciao
__________________
Pc - [LianLi Pc70]-[Corsair Ax860]-[Asrock z-170 extreme 6]-[Intel i7 6700k]-[16gb ddr4 Kingston HyperX Fury]-[Ssd 850evo 500Gb + 860evo 1Tb + 870evo 1Tb + 6Tb Wd Purple + 14Tb Toshiba MG + 16Tb Seagate Exos + 18Tb Seagate Exos]-[iChill Gtx 1080Ti X4 Ultra]-[Aoc e2460sh]-[Razer D-Back Plasma Red]-[Windows 11 Pro 64bit ]
aled1974 è offline   Rispondi citando il messaggio o parte di esso
Old 02-06-2017, 13:45   #3
wazzagana
Member
 
Iscritto dal: Feb 2008
Messaggi: 113
Ciao Aled. Grazie mille davvero per la pronta risposta. L'ho letta subito e mi sono tranquillizzato... almeno un po'. Purtroppo posso rispondere solo ora.

Sicuramente effetteuerò la scansione secondo guida.

La finestra di trasferimento è la classica finestrella di trasferimento file con cartellina marroncina e barra di completamento del trasferimento file. Compare in alto a sinistra sul desktop e dura una frazione di secondo - quindi non riesco a leggere di cosa si tratta. Ioltre è molto raro che accada (o forse me ne accorgo raramente).

Per le stringhe:

1) innanzi tutto, sono spesso ripetute a blocchi e avvengono nell'arco di un minuto o due. Pero' i blocchi si susseguono anche per diverso tempo (probabilmente per il periodo in cui il PC è acceso). Sembrano anche partire con l'avvio del PC.

2) Posso copiare e incollare le parti (che sembrano) rilevanti, ma sono molto lunghe. Altrimenti posso allegare direttamente il file? Se sì, ci sono info che devo cancellare prima di postarlo?

3) metto comunque un "breve" esempio qui sotto, che mi sembra il più sospetto (anche se in realtà cronologicamente è l'ultima serie di stringhe della sessione loggata, e a guardare la data sembra appartenere già alla sessione successiva - che viene poi loggata a parte più nel dettaglio). Premetto che continuo a non usare teamviewer. Quindi ogni attività o è automatica, o non è mia. infine, quando posso, lavoro offline.

Grazie!!

- dal log del pc controllante:

2017/05/27 21:15:31.509 5436 1876 G1!! NetWatchdog: Port 80 proxy search failed! No working setting found.
2017/05/27 21:15:40.052 5436 1876 G1!! NetWatchdog: Port 443 proxy search failed! No working setting found.
2017/05/27 21:15:40.055 5436 1876 G1!! HttpQueryInfoNum(19) failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.056 5436 1876 G1!! HttpQueryInfo(20) size failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! HttpQueryInfoNum(19) failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! HttpQueryInfo(20) size failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! NetWatchdog: Port 80 proxy search failed! No working setting found.2017/05/27 21:15:47.849 5436 5604 G1 CMainWindow::InitCloseTV(): Prepare to close TeamViewer
2017/05/27 21:15:47.852 5436 5604 G1 Chat::Stop: Stopping chat
2017/05/27 21:15:47.853 5436 5604 G1 Chat::Stop: Cancelling of Start
2017/05/27 21:15:47.853 5436 2468 G1!! ChatRoomManagerLauncher::Factory[successCb]: IncomingChatCommandRegistration failed
2017/05/27 21:15:47.859 5436 5604 G1 CMainWindow:nDestroy(): Closing TeamViewer
2017/05/27 21:15:47.939 5436 5604 G1 ~MachineHooks: refcount = 0
2017/05/27 21:15:47.940 5436 5604 G1 MachineHooks: Stopping Loaders!
2017/05/27 21:15:47.943 1856 2532 L64 Exit
2017/05/27 21:15:47.943 5720 6072 L32 Exit
2017/05/27 21:15:47.982 5436 6824 G1 CInterProcessNetwork: Received DisconnectIPC from processID 5436 (ProcessType: 2 in Session 1) with reason 1
2017/05/27 21:15:47.982 5436 6824 G1 Process 5436 in session 1 has terminated
2017/05/27 21:15:47.987 5436 6824 G1! InterProcessBase::EventFunctionInternal(): IPC-Connection Closed
2017/05/27 21:15:47.988 5436 6824 G1 CInterProcessNetwork::NewInterProcessDataAvailable(): ConnectionClosed session=1 ptype=2
2017/05/27 21:15:47.988 5436 1256 G1 TeamViewer is going offline!
2017/05/27 21:15:47.988 5436 1256 G1 Offline() StopListening.WT
2017/05/27 21:15:48.063 5436 1876 G1 KeepAliveThread ended
2017/05/27 21:15:48.072 5436 1256 G1 MainApp.Shutdown.GWS.Disconnect n=0
2017/05/27 21:15:48.072 5436 1256 G1 Offline() CT.Terminate
2017/05/27 21:15:48.073 5436 1256 G1 Offline() Shutdown.WT
2017/05/27 21:15:48.086 5436 5604 G1 SHMR: Destroying shared memory
2017/05/27 21:15:48.086 5436 6824 G1 CAcceptServer::HandleAccept: socket closed
2017/05/27 21:15:48.097 5436 5604 G1 interprocessbase::SecureNetwork destroyed
2017/05/30 00:44:19.961 1140 5072 G1 Logger started.
2017/05/30 00:44:25.741 1140 5072 G1 InterProcessBase::SecureNetwork created
2017/05/30 00:44:25.761 1140 5072 G1 Monitors: Generic PnP Monitor, \\.\DISPLAY1, 1366x768 (0,0), flags=3, dpi=96
2017/05/30 00:44:26.232 1140 5072 G1 CMain::LoadResourceDLLs(): No custom resource dll found
2017/05/30 00:44:26.240 1140 5072 G1! Service is installed but not running
2017/05/30 00:45:03.463 1140 5072 G1!! ElevateIfRequired() exception: ProcessWin::ElevateProcess(): ShellExecuteEx, Errorcode=1223, Errorcode=183
2017/05/30 00:45:03.499 1140 5072 G1 UpdateOnlineState newOnlineValue 0
2017/05/30 00:45:03.517 1140 5072 G1!! MachineSettings::LoadAll() Couldn't delete temp folder. exception: CStorageRegistry:eleteKey(): RegDeleteKey failed, Errorcode=6, Errorcode=183
2017/05/30 00:45:03.815 1140 5072 G1!! QueryVPNRegKey: RegOpenKeyEx: SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\Properties, Errorcode=2
2017/05/30 00:45:03.984 1140 5072 G1 MachineHooks: Initialized Shm
2017/05/30 00:45:03.984 1140 5072 G1 MachineHooks: refcount = 1
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: x64 Machine detected
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: w32 Loader is starting
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: x64 Loader is starting

Finisce così. Poi c'è log di sessione successiva (del 5/30 - che però comincia già nella sessione di log precedente, come mostrano le stringhe sopra).
wazzagana è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2017, 16:57   #4
wazzagana
Member
 
Iscritto dal: Feb 2008
Messaggi: 113
Scusa di nuovo... mi sono dimenticato di scrivere una cosa importante, da cui sono nati tutti i dubbi.

360 total security ogni tanto mi dà il warning:

Registry protection - modifying certificate publisher

Program: cartella Temp\teamviewer\7.hta

Source C:\Windows\SysWOW64\mshta.exe

Target: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\... E poi una serie sterminata di numeri e lettere a gruppi, con un certo punto la parola "blob" tra parentesi quadre. ...succede quando chiudo Teamviewer (che mi parte per ora ancora in automatico con Windows)
..Per ora scelgo l'opzione blocca ogni volta che lo fa..

Proabilmente non vuol dire niente, ma volevo essere sicuro che non ci fosse un problema.
Scusa tanto l'ignoranza e il rompimento! ..E grazie mille!!!
wazzagana è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2017, 21:41   #5
aled1974
Senior Member
 
L'Avatar di aled1974
 
Iscritto dal: Oct 2009
Messaggi: 23489
guarda, io nel dubbio

1. rimuoverei teamviewer

2. farei tutta una serie di scansioni

se poi dovesse servirti nuovamente, reinstallerei TV utilizzando però il sistema delle password, ma mi pare di capire che sia già da un po' che non ti serve più

ciao ciao
__________________
Pc - [LianLi Pc70]-[Corsair Ax860]-[Asrock z-170 extreme 6]-[Intel i7 6700k]-[16gb ddr4 Kingston HyperX Fury]-[Ssd 850evo 500Gb + 860evo 1Tb + 870evo 1Tb + 6Tb Wd Purple + 14Tb Toshiba MG + 16Tb Seagate Exos + 18Tb Seagate Exos]-[iChill Gtx 1080Ti X4 Ultra]-[Aoc e2460sh]-[Razer D-Back Plasma Red]-[Windows 11 Pro 64bit ]
aled1974 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Regno Unito, rischio apocalisse IA: mili...
Creato un transistor che può esse...
RocketStar FireStar Drive: un propulsore...
Roscosmos: il lancio del razzo spaziale ...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 07:33.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v