Salve.

Ho un PC connesso tramite il cavo Ethernet ad un Modem Router Wireless USR9110 802.11 g. La connessione viene rediretta tramite la tecnica del MITM.
Non sono ragazzini. Sono criminali esperti.
Ho BitDefender 2010 Total Security. Il mio PC è sempre stato protetto al massimo livello.

Ho il Double Boot : XP e VISTA.
Su XP appare l' icona della WAN USR9110 ed entro un minuto viene killata e non appare più. Vista pensa semplicemente di essere connesso all' USR9110 con IP 192.168.2.1, così come Bitdefender 2010 che vede la "Connessione alla rete locale Lan" e come Gateway il 192.168.2.1. Bitdefender 2010 vede un indirizzo IPv6 e sull' IPv4 vede 192.168.2.2 / 24.

C'è sicuramente un programma che parte in fase di start ed effettua entro un minuto queste operazioni a basso livello di rete di killaggio e re-indirizzamento.

Il Modem Router è protetto al massimo livello da anni, con controllo sui MAC ( ne sono permessi solo 4, sia sul firewall, sia sul wireless ).

Vi fornisco il tracer di Bitdefender 2010 Total Security della fase di avvio.
Lì c'è la spiegazione di quanto avviene.

TRACER Bitdefender 2010 Total Security :

"2010/08/23 15:28:26.640 [BDFNDISF][DEVIO] New adapter binding: (#1, name = \DEVICE\{1EE9A7C3-9802-4B3E-B80B-BF9E30DED1D6})
2010/08/23 15:28:26.640 [BDFNDISF][DEVIO] New adapter binding: (#2, name = \DEVICE\NDISWANIPV6)
2010/08/23 15:28:26.640 [BDFNDISF][DEVIO] New adapter binding: (#3, name = \DEVICE\NDISWANIP)
2010/08/23 15:28:26.640 [BDFNDISF][DEVIO] New adapter binding: (#4, name = \DEVICE\NDISWANBH)
2010/08/23 15:28:26.640 [BDFNDISF][DEVIO] New adapter binding: (#5, name = \DEVICE\{7C71FD98-D24A-4033-AA71-330E28C5EAB4})
2010/08/23 15:28:26.640 [BDFNDISF] Register filter driver successfully .
2010/08/23 15:28:26.640 [BDFNDISF] Log Init completed !
2010/08/23 15:28:26.640 [BDFNDISF] Driver attach success
2010/08/23 15:28:26.671 [BDFW] Library init completed successfully.
2010/08/23 15:28:26.671 [BDFW] Driver init completed successfully.
2010/08/23 15:28:26.765 [BDFW] Ip FE80:0000:0000:0000:141D:5D9F:6B92:873E added to device {7C71FD98-D24A-4033-AA71-330E28C5EAB4}.
2010/08/23 15:28:26.765 [BDFNDISF] Received address change notification: device="{7C71FD98-D24A-4033-AA71-330E28C5EAB4}" address=FE80:0000:0000:0000:141D:5D9F:6B92:873E added.
2010/08/23 15:28:44.500 [BDFW] Ip 169.254.135.62 added to device {7C71FD98-D24A-4033-AA71-330E28C5EAB4}.
2010/08/23 15:28:44.500 [BDFNDISF] Received address change notification: device="{7C71FD98-D24A-4033-AA71-330E28C5EAB4}" address=169.254.135.62 added.
2010/08/23 15:29:10.405 [BDFW] Ip 169.254.135.62 removed from device {7C71FD98-D24A-4033-AA71-330E28C5EAB4}.
2010/08/23 15:29:10.405 [BDFNDISF] Received address change notification: device="{7C71FD98-D24A-4033-AA71-330E28C5EAB4}" address=169.254.135.62 removed.
2010/08/23 15:29:10.459 [BDFW] Ip 192.168.2.2 added to device {7C71FD98-D24A-4033-AA71-330E28C5EAB4}.
2010/08/23 15:29:10.459 [BDFNDISF] Received address change notification: device="{7C71FD98-D24A-4033-AA71-330E28C5EAB4}" address=192.168.2.2 added.
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Adapter name: {7C71FD98-D24A-4033-AA71-330E28C5EAB4}
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Adapter description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Adapter friendly name: Connessione alla rete locale (LAN)
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Medium type: 1
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Address: FE80:0000:0000:0000:141D:5D9F:6B92:873E. Mask: 64.
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Address: 192.168.2.2. Mask: 120.
2010/08/23 15:32:22.379 [BDFDRVI] GetAddresses: Gateway: 192.168.2.1
2010/08/23 15:32:22.395 [BDFDRVI] Address manager initialised.
2010/08/23 15:32:22.410 [NDISLIB] Filter enabled.
2010/08/23 15:32:22.410 [BDFW] [DEVIO] Firewall enabled.
2010/08/23 15:32:22.410 [BDFDRVI] Settings changed: enabled 1, def action 5, monitor procs 1, ignore signed procs 1, ics 0, ids 1, wireless 1, block port scans 1
2010/08/23 15:33:57.984 [BDFDRVI] Settings changed: enabled 1, def action 5, monitor procs 1, ignore signed procs 1, ics 0, ids 1, wireless 1, block port scans 1

".

Se qualche esperto riesce a decrittare quanto avviene in dettaglio me lo può comunicare. Io sono disponibile a qualunque indagine software.
Si consideri che tutto è controllato tramite la tecnica del MITM in tempo reale ed a mio avviso riescono a connettersi anche via Wireless al Modem Router.

Si consideri infine che non ho al momento intenzione di contattare BitDefender e che sono criminali esperti con notevoli mezzi tecnologici.

Saluti e ringraziamenti,

Fabrizio Dignani

Aggiungo

BITDEFENDER TRACER di XP :

"

2010/08/23 18:21:32.562 [BDFNDISF] Log Init completed !
2010/08/23 18:21:32.562 [BDFNDISF] Driver init completed successfully.
2010/08/23 18:21:32.750 [BDFNDISF][DEVIO] New adapter binding: (#1, name = \DEVICE\NDISWANIP)
2010/08/23 18:21:33.906 [BDFNDISF][DEVIO] New adapter binding: (#2, name = \DEVICE\{3173D457-F841-4AA9-933D-14383203BDED})
2010/08/23 18:21:35.609 [BDFNDISF] Tcp offloading for adapter 2 is enabled
2010/08/23 18:21:40.531 [BDFW] Library init completed successfully.
2010/08/23 18:21:40.531 [BDFW] Filter attach to device 1 failed with code: c0000034.
2010/08/23 18:21:40.531 [BDFW] Filter attach to device 3 failed with code: c0000034.
2010/08/23 18:21:40.531 [BDFW] Filter attach to device 5 failed with code: c0000034.
2010/08/23 18:21:40.546 [BDFW] Driver init completed successfully.
2010/08/23 18:21:58.609 [BDFW] Ip 192.168.2.2 added to device {3173D457-F841-4AA9-933D-14383203BDED}.
2010/08/23 18:21:58.609 [BDFNDISF] Received address change notification: device="{3173D457-F841-4AA9-933D-14383203BDED}" address=192.168.2.2 added.
2010/08/23 18:23:29.218 [BDFDRVI] Socket creation for IPv6 address change notification failed: 10047
2010/08/23 18:23:29.421 [BDFDRVI] GetAddresses: Adapter name: {3173D457-F841-4AA9-933D-14383203BDED}
2010/08/23 18:23:29.421 [BDFDRVI] GetAddresses: Adapter description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Miniport dell'Utilità di pianificazione pacchetti
2010/08/23 18:23:29.421 [BDFDRVI] GetAddresses: Adapter friendly name: Connessione alla rete locale (LAN)
2010/08/23 18:23:29.421 [BDFDRVI] GetAddresses: Medium type: 1
2010/08/23 18:23:29.421 [BDFDRVI] GetAddresses: Address: 192.168.2.2. Mask: 120.
2010/08/23 18:23:29.421 [BDFDRVI] GetIpv4Gateways: Adapter name: {3173D457-F841-4AA9-933D-14383203BDED}. Gateway: 192.168.2.1.
2010/08/23 18:23:29.421 [BDFDRVI] Address manager initialised.
2010/08/23 18:23:29.421 [NDISLIB] Filter enabled.
2010/08/23 18:23:29.421 [BDFW] [DEVIO] Firewall enabled.
2010/08/23 18:23:29.421 [BDFDRVI] Settings changed: enabled 1, def action 5, monitor procs 1, ignore signed procs 1, ics 0, ids 1, wireless 1, block port scans 1

"

Saluti e ringraziamenti,

Fabrizio Dignani

hai il dhcp abilitato?

scusa, ma da cosa dici che la tua connessione viene rediretta? dal log sembrerebbe una normale procedura di assegnazione indirizzi con tanto di ID del device (che sono gli stessi che ritrovi nel registro relativi alla tua scheda di rete in HKEY-LOCAL-MACHINE\SYSTEM\currentcontrolset\services\Tcpip\parameters\Interfaces ed le cui impostazioni HW/driver si trovano nella sottocartella di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} che riporta la voce NetCfgInstanceId = {3173D457-F841-4AA9-933D-14383203BDED} sotto XP oppure
{7C71FD98-D24A-4033-AA71-330E28C5EAB4} da Vista)

scusa, ma da cosa dici che la tua connessione viene rediretta? dal log sembrerebbe una normale procedura di assegnazione indirizzi con tanto di ID del device (che sono gli stessi che ritrovi nel registro relativi alla tua scheda di rete in HKEY-LOCAL-MACHINE\SYSTEM\currentcontrolset\services\Tcpip\parameters\Interfaces ed le cui impostazioni HW/driver si trovano nella sottocartella di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} che riporta la voce NetCfgInstanceId = {3173D457-F841-4AA9-933D-14383203BDED} sotto XP oppure
{7C71FD98-D24A-4033-AA71-330E28C5EAB4} da Vista)

Hai anticipato, esattamernte, quello di cui volevo farlo rendere conto da solo, ovvero che non c'è nulla di strano in un normalissimo log di assegnazione dinamica dell' ip.

Il DHCP è abilitato.

In XP appare l' Icona del Modem Router "USR9110" WAN ed internet funziona bene. Esiste quindi una connessione in Wan tramite il Modem Router. Dopo circa 60 secondi tale icona non è più presente nemmeno in "Connessioni di Rete", oltre che nella barra dei processi ( appare solo la connessione in LAN ) ed Internet funziona malissimo.
Il PC appare controllato da remoto, come se fossi un client di un server che mi fa anche da Gateway, decidendo sul traffico Internet e sul funzionamento del PC.

Inoltre Bitdefender si attiva con ritardo.

Ti ringrazio.

Domani controllo i registri, ora sono su un portatile.

Poi ti faccio sapere cosa dicono.

Saluti,
Fabrizio

MITM in tempo reale
giusto per la cronaca un attacco MITM è sempre in tempo reale, altrimenti è un attacco playback (replay attack).

controllo sui MAC
il controllo più inutile che possa esistere nel mondo networking.

Il DHCP è abilitato.

In XP appare l' Icona del Modem Router "USR9110" WAN ed internet funziona bene. Esiste quindi una connessione in Wan tramite il Modem Router. Dopo circa 60 secondi tale icona non è più presente nemmeno in "Connessioni di Rete", oltre che nella barra dei processi ( appare solo la connessione in LAN ) ed Internet funziona malissimo.
Il PC appare controllato da remoto, come se fossi un client di un server che mi fa anche da Gateway, decidendo sul traffico Internet e sul funzionamento del PC.

Inoltre Bitdefender si attiva con ritardo.

Ti ringrazio.

Domani controllo i registri, ora sono su un portatile.

Poi ti faccio sapere cosa dicono.

Saluti,
Fabrizio

Che magari ci possa essere un virus sul pc, o un problema hardware/driver sull' adattatore è possibile, ma a livello di rete non vi è nulla di strano. Tutti i binding che appaiono nel log, non sono altro che passaggi dalla classe ip zeroconfig settata al boot, alla classe ip ottenuta al ricevimento della reply dhcp

OK.

Nei Log non trovate nulla di strano.
Speravo che Bitdefender 2010 registrasse qualcosa.

OK. E' evidente che MITM è sempre in tempo reale.

Nessun antivirus ha mai recentemente trovato un virus ( ho usato anche Kasperski 2011 ).

Domani guardo i registri, poi vi dico. Se vi viene qualche idea su chiavi da verificare o controllare fatemelo sapere.

Saluti,
Fabrizio

Perdona la franchezza, ma affermazioni di questo tipo
La connessione viene rediretta tramite la tecnica del MITM.
Non sono ragazzini. Sono criminali esperti.

su cosa si fondano?

Prima di tutto il Man in The Middle è una tecnica riferita all'intercettamento di connessioni Client-Server con sostituzione delle identità delle parti. Per fare un esempio banale, io faccio un attacco MITM quando (banalizzando) tu tenti di collegarti al sito della tua banca, e io intercettando la connessione, ti faccio connettere a tua insaputa ad un altro server.

Quello di cui parli tu quindi, a prescindere tutto, NON è un MITM attack

Se sono utili vi fornisco tutto quanto trovato nei registri di XP alla chiave

HKEY-LOCAL-MACHINE\SYSTEM\currentcontrolset\services\Tcpip\parameters\Interfaces

e relative sottocartelle :

"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{267C0BDB-7732-4071-880D-B5E2A5CDEE7E}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3173D457-F841-4AA9-933D-14383203BDED}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):30,78,30,30,30,30,30,30,30,32,00,00
"DhcpClassIdBin"=hex:
"DhcpServer"="192.168.2.1"
"Lease"=dword:0002a300
"LeaseObtainedTime"=dword:4c73ddac
"T1"=dword:4c752f2c
"T2"=dword:4c762c4c
"LeaseTerminatesTime"=dword:4c7680ac
"IPAutoconfigurationAddress"="0.0.0.0"
"IPAutoconfigurationMask"="255.255.0.0"
"IPAutoconfigurationSeed"=dword:00000000
"AddressType"=dword:00000000
"IsServerNapAware"=dword:00000000
"ActiveConfigurations"=hex(7):41,6c,74,65,72,6e,61,74,65,5f,7b,33,31,37,33,44,34,35,37,2d,46,\
38,34,31,2d,34,41,41,39,2d,39,33,33,44,2d,31,34,33,38,33,32,30,\
33,42,44,45,44,7d,00,00
"DhcpIPAddress"="192.168.2.2"
"DhcpSubnetMask"="255.255.255.0"
"DhcpRetryTime"=dword:0001517e
"DhcpRetryStatus"=dword:00000000
"DhcpNameServer"="192.168.2.1"
"DhcpDefaultGateway"=hex(7):31,39,32,2e,31,36,38,2e,32,2e,31,00,00
"DhcpSubnetMaskOpt"=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,30,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6CAFA986-2FDE-49E6-B915-D805D3D3E539}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6F0C18ED-3330-4F25-B02D-1D133724D75A}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):31,39,32,2e,31,36,38,2e,32,2e,34,00,00
"SubnetMask"=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,30,00,00
"DefaultGateway"=hex(7):31,39,32,2e,31,36,38,2e,32,2e,31,00,00
"DefaultGatewayMetric"=hex(7):30,00,00
"NameServer"="192.168.2.1"
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):00
"DhcpClassIdBin"=hex:
"DhcpServer"="255.255.255.255"
"Lease"=dword:00000e10
"LeaseObtainedTime"=dword:49b73d9b
"T1"=dword:49b744a3
"T2"=dword:49b749e9
"LeaseTerminatesTime"=dword:49b74bab
"IPAutoconfigurationAddress"="0.0.0.0"
"IPAutoconfigurationMask"="255.255.0.0"
"IPAutoconfigurationSeed"=dword:20f83391
"AddressType"=dword:00000000
"IsServerNapAware"=dword:00000000
"ActiveConfigurations"=hex(7):41,6c,74,65,72,6e,61,74,65,5f,7b,36,46,30,43,31,38,45,44,2d,33,\
33,33,30,2d,34,46,32,35,2d,42,30,32,44,2d,31,44,31,33,33,37,32,\
34,44,37,35,41,7d,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7177D83D-FC84-4BB8-BD50-EB6B69884962}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8F113F61-E50C-4FDD-8248-D65A59CA7F64}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B152181F-D60B-4465-87C6-8EB846A3DAFD}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B1F55771-438F-4AA6-9D70-8C039E6D0C0C}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):30,78,30,30,30,30,30,30,30,34,00,00
"DhcpClassIdBin"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F1155369-52C3-4425-81AC-EB7FBA371780}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000001
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"DefaultGatewayMetric"=hex(7):00
"NameServer"=""
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):00

".

Ciò che si ritiene è che il PC non veda direttamente il Modem Router USR9110 ma il traffico sia reidiretto ad un Server connesso al Modem Router USR9110.
Tale server utilizza USR9110 per andare in Internet o una sua linea ed indirizzi il traffico controllato di ritorno al PC :

MITM

Si noti :

USR9110 riporta solo i DHCP connessi;
talvolta è presente anche il Portatile sebbene spento;
tale Server potrebbe far credere al PC di essere 192.168.2.1 ed utilizzarne il relativo MAC.

In passato Kasperski mi rilevava un PDM.Keylogger ma non riusciva a dirmi dove era ed a eliminarlo.

Credetemi, non voglio polemizzare.
Sto solo cercando collaborazione per risolvere il problema.

Saluti e ringraziamenti,

Fabrizio

Vi mando anche la route PRINT che vede ora :

===========================================================================
Elenco interfacce
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 d4 aa ad 3a ...... Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Miniport dell'Utilità di pianificazione pacchetti
===========================================================================
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfac. Metric
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.2.2 192.168.2.2 20
192.168.2.0 255.255.255.0 192.168.2.2 192.168.2.2 10
192.168.2.2 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.2.255 255.255.255.255 192.168.2.2 192.168.2.2 10
224.0.0.0 240.0.0.0 192.168.2.2 192.168.2.2 10
255.255.255.255 255.255.255.255 192.168.2.2 192.168.2.2 1
Gateway predefinito: 192.168.2.1
===========================================================================
Route permanenti:
Nessuno



Aggiungo inoltre che mi dice che non ho i diritti per accedere al WORKGROUP di Windows, sebbene sono amministratore.

Sono disponibile a qualunque informazione :

posso usare "SoftPerfect Protocol Analizer" e dirvi cosa vede;
posso dirvi cosa vede il modem router USR9110.

Aggiungo che sanno che sto trasmettendo queste informazioni e che sto facendo con voi tali indagini.

Grazie per la collaborazione,

Saluti,

Fabrizio

La routing table di USR9110 vede :

"

USR9110 :

Flags Network Address Netmask Gateway Interface Metric

C 0.0.0.0 0.0.0.0 Directly ATM1 ---

C 192.168.2.0 255.255.255.0 Directly LAN ---

C 127.0.0.1 255.255.255.255 Directly Loopback ---

C 151.23.228.XXX 255.255.255.255 Directly ATM1 ---

C 151.68.0.0 255.255.0.0 Directly ATM1 ---


Flags :
C - directly connected, S - static, R - RIP, I - ICMP Redirect

Vi stavo sistemando la routing table di USR9110 affinchè fosse leggibile e formattata :

è stata inviata senza un mio comando così come la vedete; mi spiace per la leggibilità.

Saluti,
Fabrizio

Grazie comunque,

Saluti,

Fabrizio

non dico nulla su quello che hai scritto fino ad ora, ma prova prima questi passaggi :

Sul router/modem ADSL :

- Disabilita la voce UPNP se ce l'hai in qualche menù del router
- Verifica che nell'interfaccia WAN/ADSL del tuo router, l'impostazione per i DNS sia in automatico oppure imposta manualmente gli OPENDNS
- imposta una password di accesso al menù di configurazione del router diversa da quella di default

Sul tuo PC:

- Su VISTA : Se necessario togli la spunta dalla voce Protocollo internet TCP/IP versione6
- Su VISTA : Nel protocollo internet TCP/IP versione 4, se necessario imposta manualmente come DNS gli OPENDNS o quelli di google
- In passato Kasperski mi rilevava un PDM.Keylogger ma non riusciva a dirmi dove era ed a eliminarlo.

Indaga un po' di più su questo

- scarica e fai un'analisi con http://www.hijackthis.de/it

Grazie Hitman 80.

Al più presto verifico.

Saluti,
Fabrizio

Grazie per Hijackthis.

Ho postato i LOG dei 3 OS dei miei 2 PC su :

http://www.hijackthis-forum.de/english-help/46349-pcs-lan-remotely-controlled.html#post333181

Per la rete poi analizzo ed eseguo.

Saluti e ringraziamenti,

Fabrizio

Nel Modem Router, in DNS ho questi settaggi :

Domain Name Server (DNS) Address 193.70.152.15
Secondary DNS Address (optional) 0.0.0.0

Non li ho messi io. Forse l' ISP.

E' meglio modificarli e come ?

Saluti,
Fabrizio

Salve.

Volevo ringraziarVi.

Ringrazio quindi nuovoUtente86, spectrum7glr, mavelot, e hitman80 per avermi segnalato Hijackthis.de.

Il problema del controllo dei miei 3 PC, della mia LAN, della mia linea Internet permane. Purtroppo chi li controlla dispone di notevoli mezzi : informatici ( a basso livello di OS Windows ), telecomunicazionistici ( si connette ai Wireless ) e come si vede da Hijackthis.de riesce, senza linea, ad interdire l' hardware facendo ad esempio re-boot-are i computers a suo gusto o a far impiegare 48 ore per effettuare una scansione con GMer senza linea.

Io vi ringrazio veramente molto.

Fermo le mie ricerche sul MITM, per ora, qui.
Voi non eravate daccordo sul MITM. Ne prendo atto.

Torno a dirvi che vi ringrazio per l' aiuto, come sempre eccelente su hwupgrade.it.

Grazie mille e saluti,

Fabrizio

In tutto questo sei stato anche rapito dagli extraterrestri?

Chiudo la discussione.