Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

eri collegato ad internet?
nessuno ha usato il tuo pc?
utilizzi un firewall?

Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

inquietante...:confused:

Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

Effettivamente quello è il tipico modo di firmare degli Haker.
Una volta mi hanno hackerato 1 forum. :)

è uno scherzo o la verità...?
non vedo come possa essere uno scherzo.... a meno che tu non abbia lasciato il tuo pc in mano ad altri (anke a tua insaputa) mi sembra ovvio che sia sia la verità...
quindi la domanda è questa:
qualcun altro ha usato il tuo pc mentre tu non c'eri? rispondendo a qst domanda rispndi anke a quanto hai chiesto tu stesso...

eri collegato ad internet?
nessuno ha usato il tuo pc?
utilizzi un firewall?

siamo in attesa di risposte

Domanda.. ma dalle icone nel systray vedo solo avast.. come protezione non mi pare il massimo...

hai ragione per avast, ma potrebbe esserci nascosto l'icona del firewall dietro la freccia (anche se ne dubito).

hai ragione per avast, ma potrebbe esserci nascosto l'icona del firewall dietro la freccia (anche se ne dubito).

non vorrei essere critico.. ma è come se uno installa windows xp senza service pack e ci mette un antivirus giusto per controllare.. diciamo che è piu facile essere intercettati ecco tutto qua.. poi appunto se fosse attivo il firewall non sarebbe snascosto no? :) stiamo a vedere i suoi aggiornamenti..

:D e ti lamenti? te l'ha pure detto! Pensa se avesse usato il tuo pc per farci quello che voleva senza farti accorgere di nulla!

cmq, rimaniamo in attesa di risposte:
- qualcun altro è entrato nella stanza dove tieni il pc mentre tu non c'eri?
- usi le protezioni? :oink:

non vorrei essere critico.. ma è come se uno installa windows xp senza service pack e ci mette un antivirus giusto per controllare.. diciamo che è piu facile essere intercettati ecco tutto qua.. poi appunto se fosse attivo il firewall non sarebbe snascosto no? :) stiamo a vedere i suoi aggiornamenti..

la tua osservazione è giusta, ma nn diamo niente per scontato!
è vero che se ha il service pack 2 ha anche il firewall attivo ma è come se non esistesse, infatti è il firewall più bypassabile del mondo.
non è vero che se un programma è attivo non possa nascondersi sotto la freccia, almeno credo!

grazie per le risposte...
si stavo in internet
come firewall uso quello di windows xp....
comunque il pc nn lo ha toccato nessuno... anche perchè non c'era nessuno a casa...
quindi mi hanno hackerato...?
devo prendere qualke provvedimento?
io adesso ho paura di mettere password nel mio pc...
confido in voi...

start>impostazioni>pannello di controllo>schermo>desktop>personalizza desktop>web
Pagina iniziale corrente clicca su Elimina
Conferma ed esci

Ciao

L'unica cosa da fare è pulire il pc con kaspersky o bitdefender ed installare un firewall potente come ZONE ALARM FREE e tentare di sbattere la porta in faccia a questo hacker...
Ciao

opzione A: pialla tutto, cambia qualsiasi password che avevi memorizzato nel sistema, reinstalla tutto e prima di attaccarti ad internet proteggi il pc adeguatamente.

opzione B: spera che l'attaccante non voglia fare chissachè (il fatto che si sia fatto scoprire è di buon auspicio) risana e proteggi a dovere il pc.

La soluzione:

1)Installare un antivirus potente ti consiglio Kaspersky oppure se lo vuoi freeware ti consiglio active virus shield

2)Installare i programmi antiadware e antispyware freeware: Ad-Aware se personal 1.06 e Spybot search&destroy 1.4

3)Installare un altro firewall e ti consiglio Zone Alarm freeware

4)Scaricare Hijackthis e postare un log qui

La soluzione:

1)Installare un antivirus potente ti consiglio Kaspersky oppure se lo vuoi freeware ti consiglio active virus shield

2)Installare i programmi antiadware e antispyware freeware: Ad-Aware se personal 1.06 e Spybot search&destroy 1.4

3)Installare un altro firewall e ti consiglio Zone Alarm freeware

4)Scaricare Hijackthis e postare un log qui



ecco il log:




Logfile of HijackThis v1.99.1
Scan saved at 21.17.17, on 10/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\Tasks\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\isas\smss.exe
C:\WINDOWS\isas\services.exe
C:\WINDOWS\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\OutlookExpress.exe
G:\Programmi e Driver\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programmi\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [EPSON Product Si rammenta di effettuare la registrazione] C:\WINDOWS\Temp\RegModule.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LiveUpdate32] C:\WINDOWS\isas\services.exe
O4 - HKLM\..\Run: [LiveUpdate] C:\WINDOWS\isas\smss.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{21018159-3330-4BB6-8B77-A403C4F49D43}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{21018159-3330-4BB6-8B77-A403C4F49D43}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DirectX Service (DirectZivw) - Unknown owner - C:\WINDOWS\system32\directx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso

Files to delete:
C:\WINDOWS\isas\smss.exe
C:\WINDOWS\isas\services.exe
C:\WINDOWS\Tasks\explorer.exe
C:\WINDOWS\system32\directx.exe

Folders to delete:
C:\WINDOWS\isas

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | LiveUpdate32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | LiveUpdate

Drivers to unload:
DirectZivw

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Clicca su Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Al riavvio, posta il contenuto del file c:\avenger.exe

Ciao

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Clicca su Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Al riavvio, posta il contenuto del file c:\avenger.exe

Ciao


Ecco il log:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ityunygp

*******************

Script file located at: \??\C:\WINDOWS\rqoqvrqp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\isas\smss.exe deleted successfully.
File C:\WINDOWS\isas\services.exe deleted successfully.
File C:\WINDOWS\Tasks\explorer.exe deleted successfully.
File C:\WINDOWS\system32\directx.exe deleted successfully.
Folder C:\WINDOWS\isas deleted successfully.
Driver DirectZivw unloaded successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|LiveUpdate32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|LiveUpdate deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ciao, ti compare ancora il desktop "hackerato"?
Gentilmente e se vuoi potresti mandarmi il file c:\avenger\backup.zip? se me lo vuoi inviare, questa è la mia email lucass[at]suspectfile.com (sostituisci [at] con la @)

Ciao

Ciao, ti compare ancora il desktop "hackerato"?
Gentilmente e se vuoi potresti mandarmi il file c:\avenger\backup.zip? se me lo vuoi inviare, questa è la mia email lucass[at]suspectfile.com (sostituisci [at] con la @)

Ciao

No l' ho tolto io
ma a te cosa serve il bck?

Sono tutti files sconosciuti, cosa ci faccio? prima vedo di cosa si tratta e poi ll invio alle aziende antivirus in modo che possano aggiungere la firma per riconoscere il malware.

Grazie

Ciao

ecco il link prendilo da qui (http://rapidshare.com/files/20400483/backup.zip.html) fammi sapere grazie

Sono tutti files sconosciuti, cosa ci faccio? prima vedo di cosa si tratta e poi ll invio alle aziende antivirus in modo che possano aggiungere la firma per riconoscere il malware.

Grazie

Ciao
ora che non lo conosca proprio nessuno....
http://www.google.it/search?q=directx.exe&sourceid=navclient-ff&ie=UTF-8&rlz=1B3GGGL_itIT212IT213

non mi riferivo a quello ma agli altri 3, bisogna saper usare anche google
http://www.google.it/search?q=isas%5Csmss.exe&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official
http://www.google.it/search?q=isas%5Cservices.exe+&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official
http://www.google.it/search?q=Tasks%5Cexplorer.exe+&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official

non mi riferivo a quello ma agli altri 3, bisogna saper usare anche google
http://www.google.it/search?q=isas%5Csmss.exe&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official
http://www.google.it/search?q=isas%5Cservices.exe+&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official
http://www.google.it/search?q=Tasks%5Cexplorer.exe+&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it:official

lucas, io ho spedito alla kas il file di backup, te lo dico per evitati il lavoro

eh si così lo riconosce solo kaspersky, non ho parole:D

eh si così lo riconosce solo kaspersky, non ho parole:D

non ho gli indirizzi degli altri, questo è il problema

@master
Mi era sfuggito questo file
C:\WINDOWS\taskmgr.exe

Avvia in modalità provvisoria ed eliminalo:)

Ciao

@master
Mi era sfuggito questo file
C:\WINDOWS\taskmgr.exe

Avvia in modalità provvisoria ed eliminalo:)

Ciao

e mandaci un simple ad entrambi per spedirlo a eugene & C