Sono stato hackerato...?

[master479]

Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

[Bugs Bunny]

eri collegato ad internet?
nessuno ha usato il tuo pc?
utilizzi un firewall?

[oasis90]

Quote:

Originariamente inviato da master479

Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

inquietante...

[Matrixbob]

Quote:

Originariamente inviato da master479

Ciao a tutti...
Ragazzi oggi mi è successa una cosa strana...
allora vi spiego:
Questa mattina sono stato sul mio pc dalle 10:00 alle 12:00 poi sono uscito... Ritornato verso le 16:00 mi sono trovato questo sfondo sul desktop
ps vi allego un immagine

è uno scherzo o la verità...?

Effettivamente quello è il tipico modo di firmare degli Haker.
Una volta mi hanno hackerato 1 forum.

[KingOfTheDark]

Quote:

Originariamente inviato da master479

è uno scherzo o la verità...?

non vedo come possa essere uno scherzo.... a meno che tu non abbia lasciato il tuo pc in mano ad altri (anke a tua insaputa) mi sembra ovvio che sia sia la verità...
quindi la domanda è questa:
qualcun altro ha usato il tuo pc mentre tu non c'eri? rispondendo a qst domanda rispndi anke a quanto hai chiesto tu stesso...

[c.m.g]

Quote:

Originariamente inviato da Bugs Bunny

eri collegato ad internet?
nessuno ha usato il tuo pc?
utilizzi un firewall?

siamo in attesa di risposte

[PnP]

Domanda.. ma dalle icone nel systray vedo solo avast.. come protezione non mi pare il massimo...

[c.m.g]

hai ragione per avast, ma potrebbe esserci nascosto l'icona del firewall dietro la freccia (anche se ne dubito).

[PnP]

Quote:

Originariamente inviato da c.m.g

hai ragione per avast, ma potrebbe esserci nascosto l'icona del firewall dietro la freccia (anche se ne dubito).

non vorrei essere critico.. ma è come se uno installa windows xp senza service pack e ci mette un antivirus giusto per controllare.. diciamo che è piu facile essere intercettati ecco tutto qua.. poi appunto se fosse attivo il firewall non sarebbe snascosto no? stiamo a vedere i suoi aggiornamenti..

[W.S.]

e ti lamenti? te l'ha pure detto! Pensa se avesse usato il tuo pc per farci quello che voleva senza farti accorgere di nulla!

cmq, rimaniamo in attesa di risposte:
- qualcun altro è entrato nella stanza dove tieni il pc mentre tu non c'eri?
- usi le protezioni?

[c.m.g]

Quote:

Originariamente inviato da PnP

non vorrei essere critico.. ma è come se uno installa windows xp senza service pack e ci mette un antivirus giusto per controllare.. diciamo che è piu facile essere intercettati ecco tutto qua.. poi appunto se fosse attivo il firewall non sarebbe snascosto no? stiamo a vedere i suoi aggiornamenti..

la tua osservazione è giusta, ma nn diamo niente per scontato!
è vero che se ha il service pack 2 ha anche il firewall attivo ma è come se non esistesse, infatti è il firewall più bypassabile del mondo.
non è vero che se un programma è attivo non possa nascondersi sotto la freccia, almeno credo!

[master479]

grazie per le risposte...
si stavo in internet
come firewall uso quello di windows xp....
comunque il pc nn lo ha toccato nessuno... anche perchè non c'era nessuno a casa...
quindi mi hanno hackerato...?
devo prendere qualke provvedimento?
io adesso ho paura di mettere password nel mio pc...
confido in voi...

[lucas84]

start>impostazioni>pannello di controllo>schermo>desktop>personalizza desktop>web
Pagina iniziale corrente clicca su Elimina
Conferma ed esci

Ciao

[Gianky....! :D :)]

L'unica cosa da fare è pulire il pc con kaspersky o bitdefender ed installare un firewall potente come ZONE ALARM FREE e tentare di sbattere la porta in faccia a questo hacker...
Ciao

[W.S.]

opzione A: pialla tutto, cambia qualsiasi password che avevi memorizzato nel sistema, reinstalla tutto e prima di attaccarti ad internet proteggi il pc adeguatamente.

opzione B: spera che l'attaccante non voglia fare chissachè (il fatto che si sia fatto scoprire è di buon auspicio) risana e proteggi a dovere il pc.

[raffree]

La soluzione:

1)Installare un antivirus potente ti consiglio Kaspersky oppure se lo vuoi freeware ti consiglio active virus shield

2)Installare i programmi antiadware e antispyware freeware: Ad-Aware se personal 1.06 e Spybot search&destroy 1.4

3)Installare un altro firewall e ti consiglio Zone Alarm freeware

4)Scaricare Hijackthis e postare un log qui

[master479]

Quote:

Originariamente inviato da raffree

La soluzione:

1)Installare un antivirus potente ti consiglio Kaspersky oppure se lo vuoi freeware ti consiglio active virus shield

2)Installare i programmi antiadware e antispyware freeware: Ad-Aware se personal 1.06 e Spybot search&destroy 1.4

3)Installare un altro firewall e ti consiglio Zone Alarm freeware

4)Scaricare Hijackthis e postare un log qui

ecco il log:




Logfile of HijackThis v1.99.1
Scan saved at 21.17.17, on 10/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\Tasks\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\isas\smss.exe
C:\WINDOWS\isas\services.exe
C:\WINDOWS\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\OutlookExpress.exe
G:\Programmi e Driver\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programmi\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [EPSON Product Si rammenta di effettuare la registrazione] C:\WINDOWS\Temp\RegModule.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LiveUpdate32] C:\WINDOWS\isas\services.exe
O4 - HKLM\..\Run: [LiveUpdate] C:\WINDOWS\isas\smss.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{21018159-3330-4BB6-8B77-A403C4F49D43}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{21018159-3330-4BB6-8B77-A403C4F49D43}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DirectX Service (DirectZivw) - Unknown owner - C:\WINDOWS\system32\directx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

[lucas84]

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso

Quote:

Files to delete:
C:\WINDOWS\isas\smss.exe
C:\WINDOWS\isas\services.exe
C:\WINDOWS\Tasks\explorer.exe
C:\WINDOWS\system32\directx.exe

Folders to delete:
C:\WINDOWS\isas

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | LiveUpdate32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | LiveUpdate

Drivers to unload:
DirectZivw

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Clicca su Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Al riavvio, posta il contenuto del file c:\avenger.exe

Ciao

[master479]

Quote:

Originariamente inviato da lucas84

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Clicca su Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Al riavvio, posta il contenuto del file c:\avenger.exe

Ciao

Ecco il log:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ityunygp

*******************

Script file located at: \??\C:\WINDOWS\rqoqvrqp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\isas\smss.exe deleted successfully.
File C:\WINDOWS\isas\services.exe deleted successfully.
File C:\WINDOWS\Tasks\explorer.exe deleted successfully.
File C:\WINDOWS\system32\directx.exe deleted successfully.
Folder C:\WINDOWS\isas deleted successfully.
Driver DirectZivw unloaded successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|LiveUpdate32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|LiveUpdate deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[lucas84]

Ciao, ti compare ancora il desktop "hackerato"?
Gentilmente e se vuoi potresti mandarmi il file c:\avenger\backup.zip? se me lo vuoi inviare, questa è la mia email lucass[at]suspectfile.com (sostituisci [at] con la @)

Ciao