Salute a tutti,

la mia domanda e` la seguente:
in ufficio diversi computers hanno attivo il firewall di xp e una pwd di administrator proprietaria, ma nonostante cio' da remoto qualcuno e` riuscito comunque a collezionare info sul computer in questione (ad esempio il tipo di sysop etc).
Come e` possibile? Ho provato a fare scansioni con software tipo Gfi languard ma senza esito.
mi spiegate l`arcano?
ciao e grazie

Originariamente inviato da Jena73
Salute a tutti,

la mia domanda e` la seguente:
in ufficio diversi computers hanno attivo il firewall di xp e una pwd di administrator proprietaria, ma nonostante cio' da remoto qualcuno e` riuscito comunque a collezionare info sul computer in questione (ad esempio il tipo di sysop etc).
Come e` possibile? Ho provato a fare scansioni con software tipo Gfi languard ma senza esito.
mi spiegate l`arcano?
ciao e grazie

Uhm...hai ricevuto e per caso aperto e-mail con allegati?oppure hai scaricato qualcosa dalla rete?(un file per esempio)
Come primo impatto con il problema..mi viene in mente un backdoor....uhm.....ma bisognerebbe avere lo pc sottomano per verificare.
Cmq cambia firewall......quello di Xp fa soltanto scena....praticamente non protegge nulla......installa anche un antivirus(se non lo hai gia fatto).
Ciao!:)
p.s usa ad aware e spybot e copia e incolla un log di hijackthis!!

Originariamente inviato da Jena73
Salute a tutti,

la mia domanda e` la seguente:
in ufficio diversi computers hanno attivo il firewall di xp e una pwd di administrator proprietaria, ma nonostante cio' da remoto qualcuno e` riuscito comunque a collezionare info sul computer in questione (ad esempio il tipo di sysop etc).
Come e` possibile? Ho provato a fare scansioni con software tipo Gfi languard ma senza esito.
mi spiegate l`arcano?
ciao e grazie

Elimina le condivisioni e disabilita netbios.. .. dopo installa un firewall serio e pratico..blocca tutto quello che devi bloccare e blocca anche ActiveX e JavaScript..
così dovrebbe andare meglio.
Ciao.

grazie per le risposte.

-Come posso disabilitare il netbios? Se lo disabilitò potrò comunque collegarmi a cartelle sharate in lan?

-Un antivirus c'è già.

-Il firewall di xp anche se misero dovrebbe fare il proprio lavoro... backdoor non ne ho

-esiste un software che ti scansiona la rete e ti fornisce info sui pc presenti anche se questi ultimi hanno una pwd di admin sconosciuta e un firewall?

-Appena riesco vi posto il log di hijackthis ma porcate varie non ne ho installate..


grazie a tutti

Originariamente inviato da Jena73
grazie per le risposte.

-Come posso disabilitare il netbios? Se lo disabilitò potrò comunque collegarmi a cartelle sharate in lan?

-Un antivirus c'è già.

-Il firewall di xp anche se misero dovrebbe fare il proprio lavoro... backdoor non ne ho

-esiste un software che ti scansiona la rete e ti fornisce info sui pc presenti anche se questi ultimi hanno una pwd di admin sconosciuta e un firewall?

-Appena riesco vi posto il log di hijackthis ma porcate varie non ne ho installate..


grazie a tutti

Per disabilitare netbios: Proprietà su Risorse di rete..Proprietà sulle connessioni..poi clicca rete(Dipende se hai fatto proprietà su una connessione o su altro)..poi seleziona tcp/ip e clicca proprietà..poi clicca avanzate..poi Wins..e nella finestra che si apre puoi eleminare netbios.
Installa un firewall hardware se vuoi una buona protezione.. oppure installa zonealarm PRO 4.5.... ma non è la stessa cosa..meglio quello hardware.
I software che dici tu esistono.. ..esistono tante cose..
Ciao e buon divertimento.

Ecco il log... c'è qualcosa di strano? mi pare tutto ok...
e che software sono che ti permettono determinate scansioni senza avere credenziali sul pc remoto?

Logfile of HijackThis v1.97.7
Scan saved at 14.32.09, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\DameWare Development\DameWare NT Utilities\DWRCC.exe
C:\Documents and Settings\root\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://osmmival01/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://osmmival01/officescan/clientinstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://osmmival01/officescan/clientinstall/setup.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://osmmival01/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38124.0901967593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D7BDAED-53A2-4E97-A43C-A661CE9DD903}: NameServer =
O17 - HKLM\System\CS1\Services\Tcpip\..\{8D7BDAED-53A2-4E97-A43C-A661CE9DD903}: NameServer =

ciao,
hai disabilitato tutti gli account che winzoz ha di default?
Per farlo vai su pannello di controllo-->strumenti di amministrazione-->gestione computer-->Utenti e gruppi locali-->users e disabilita tutti gli account di help; guest;support etc... sarebbe meglio eliminarli ma purtroppo winzoz non te lo permette(almeno a me).
Ti dico questo perche so che c'e il modo di prendere un account (tra quelli che ti ho elencato) e farsi dire delle info sul sistema...prova

CIAUX

grazie per l'info... provo... ho puire rinominato administrator... è corretto? se qualcuno tenta di accedere come account "administrator" dovrebbe ricevere un messaggio di errore.. giusto?

riceve un errore si.
Io avrei fatto diversamente(dopo a te sta la scelta) avrei fatto un account limitato e super loggato con nome administrator;avrei fatto un account root con un nome comune. In questo modo il falso account administrator farebbe da esca in quanto chiunque tentasse l'accesso in quell'account sarebbe il malintenzionato, preticamente un account-trappola.

In ogni caso sii sicuro di mettere sull'account con privilegi da root una pwd sicura (alfanumerica con simboli) e lunga

CIAUX