• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Problema Intrusioni da internet.Quanto frequenti?

Undead

Nuovo utente
Autore del topic
6 Luglio 2009
6
0
Miglior risposta
0
Salve. Volevo chiedere quanto è probabile in linea di massima, l'aver ricevuto intrusioni a base di trafugazione di files attraverso internet. Ho un pc con win xp originale ed aggiornato ed avast. Non ho nessun programma di file sharing. Per qualche tempo ho posseduto dei files privati sul mio hd ( un paio di mesi ma spesso erano sulla penna usb e sul pc solo per modifiche) e volevo sapere quanto e se mi devo preoccupare!
 
Ultima modifica:
Non ho capito che centrano le intrusioni con il tuo pc. Ti hanno rubato dei file?
 
Salve. Volevo chiedere quanto è probabile in linea di massima, l'aver ricevuto intrusioni a base di trafugazione di files attraverso internet. Ho un pc con win xp originale ed aggiornato ed avast. Non ho nessun programma di file sharing. Per qualche tempo ho posseduto dei files privati sul mio hd ( un paio di mesi ma spesso erano sulla penna usb e sul pc solo per modifiche) e volevo sapere quanto e se mi devo preoccupare!
Non si può sapere, solitamente con un intrusione il pc viene infettato con trojan o virus vari, cosa che puoi scoprire con scansioni (ti consiglio di disinstallare avast e mettere avira) e postando un log del programma hijackthis.

Per evitarle basta installare un firewall, e ti posso consigliare Online Armor, grauito, si configura da solo e ottimo.
 
Mi spiego meglio: ho avuto per un pò di tempo (qualche mese fa) dei files privati sul pc. Ora non li ho più però mi chiedevo quanto è alta la probabilità che magari questi files possano essere entrate in mani altrui. Non ho (per fortuna) nessuna conferma di ciò...è uno scrupolo mio, diciamo...!!!


Ps: da qualche giorno ho installato avira ed anche un firewall (comodo). Ma ripeto i miei dubbi sono sul passato: avevo solo avast e tra le altre cose per un periodo mi segnalava anche degli attacchi dcom exploit...

Comunque ecco il log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.32.16, on 28/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\OSDCtrl.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\FinePixViewerS\QuickDCF2.exe
H:\CIS_Setup_3.9.95478.509_XP_Vista_x32.exe
C:\Programmi\COMODO\COMODO Internet Security\cfpconfg.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programmi\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Programmi\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programmi\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programmi\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
Perfavore, Entra oppure Registrati per vedere i Link!

O17 - HKLM\System\CCS\Services\Tcpip\..\{9FB533D5-DDE6-4753-8F7D-3296B108FB9F}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCB861D9-4913-444F-BFF0-5EEAEC66209E}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~1\sp_rsser.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 7320 bytes
 
Succede spesso che qualcuno ti entri nel pc tramite internet e ti rubi foto dati ecc. oppure no? Cioè sono io che sono paranoico oppure le mie paure hanno fondamenti solidi?
 
No non succede spesso
o almeno,non succede alla gente comune così tanto spesso.
Al massimo usano il tuo pc per costruire una botnet xD

Firewall (+HIPS),antivirus e antispyware uniti ad un po' di buonsenso ti rendono inattaccabile ^^
 
Succede spesso che qualcuno ti entri nel pc tramite internet e ti rubi foto dati ecc. oppure no? Cioè sono io che sono paranoico oppure le mie paure hanno fondamenti solidi?
Per rubarti qualcosa serve un trojan che avresti anche ora ipoteticamente. Come detto con un buon firewall ed un antivirus stai abbastanza al sicuro.
 
Beh si qualche "virussetto" c'è sempre come da routine. Comunque ora che ho messo il firewall (comodo) sto ore ed ore connesso e pare che non segnala niente di preoccupante. In teoria la siatuazione dovrebbe essere analoga a qualche mese fa visto che non ho mai formattato o cambiato impostazioni sostanziali al pc. L'utilizzo che faccio del Ciò, unito alle vostre parole mi rende più tranquillo. Per quanto riguarda l'utilizzo che faccio del mio pc : niente di diverso di ciò che ci combina chiunque altro :-)

Vi mando anche il log di Malwarebytes' Anti-Malware

C'è un bagle che ho preso solo qualche giorno fa, quindi con le mie preoccuazioni non ha niente a che fare. Magari è utile esaminare il resto.

Malwarebytes' Anti-Malware 1.38
Versione del database: 2283
Windows 5.1.2600 Service Pack 3

26/06/2009 16.16.59
mbam-log-2009-06-26 (16-16-40).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|H:\|)
Elementi scansionati: 180447
Tempo trascorso: 39 minute(s), 22 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 2
Elementi dato del registro infetti: 6
Cartelle infette: 1
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adsltaskbar (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
c:\documents and settings\papà\Dati applicazioni\drivers\downld (Worm.Bagle) -> No action taken.

File infetti:
c:\documents and settings\papà\Dati applicazioni\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wini101972.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Fonts\CopiaFonts.exe (Worm.Archive) -> No action taken.






Altra cosa: sono connesso ad internet tramite wireless ad un router... sul log eventi protezione ho riscontrato questi accessi anonimi...che roba è?


ipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso/fine sess.
ID evento: 540
Data: 06/05/2009
Ora: 18.42.11
Utente: NT AUTHORITY\ACCESSO ANONIMO
Computer: NOTEBOOK
Descrizione:
Accesso alla rete riuscito:
Nome utente:
Dominio:
ID accesso: (0x0,0x7BB3DB)
Tipo accesso: 3
Processo di accesso: NtLmSsp
Pacchetto di autenticazione: NTLM
Nome workstation: HWNL-EVOLUTION
GUID di accesso: -

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo
Perfavore, Entra oppure Registrati per vedere i Link!
.





Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso/fine sess.
ID evento: 538
Data: 08/06/2009
Ora: 20.16.21
Utente: NT AUTHORITY\ACCESSO ANONIMO
Computer: NOTEBOOK
Descrizione:
Fine sessione dell'utente:
Nome utente: ACCESSO ANONIMO
Dominio: NT AUTHORITY
ID di accesso: (0x0,0x17D8DE6)
Tipo di accesso: 3


Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo
Perfavore, Entra oppure Registrati per vedere i Link!
.






Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso/fine sess.
ID evento: 540
Data: 27/06/2009
Ora: 11.18.32
Utente: NT AUTHORITY\ACCESSO ANONIMO
Computer: NOTEBOOk
Descrizione:
Accesso alla rete riuscito:
Nome utente:
Dominio:
ID accesso: (0x0,0x38646)
Tipo accesso: 3
Processo di accesso: NtLmSsp
Pacchetto di autenticazione: NTLM
Nome workstation:
GUID di accesso: -

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo
Perfavore, Entra oppure Registrati per vedere i Link!
.
 
Esatto, cosa devo farne? Sono correlati al bagle oppure no?
 
Disabilita l'antivirus

Scarica
Perfavore, Entra oppure Registrati per vedere i Link!

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nel box bianco che si è aperto:
Files to delete:
c:\documents and settings\papà\Dati applicazioni\drivers\winupgro.exe
c:\WINDOWS\system32\wini101972.exe
c:\WINDOWS\Fonts\CopiaFonts.exe

Folders to delete:
c:\documents and settings\papà\Dati applicazioni\drivers\downld

Registry keys to delete :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adsltaskbar
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sK9Ou0s
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
Se non appare vai in C:\Avenger e troverai il log sotto forma di txt (Avenger.txt).


Dal report di malwarebytes vedo che il bagle ti ha disattivato (o sei stato tu) il centro di sicurezza di windows,non riattivarlo perchè è inutile.
 
Ultima modifica:
Non si può sapere, solitamente con un intrusione il pc viene infettato con trojan o virus vari, cosa che puoi scoprire con scansioni (ti consiglio di disinstallare avast e mettere avira) e postando un log del programma hijackthis.

Per evitarle basta installare un firewall, e ti posso consigliare Online Armor, grauito, si configura da solo e ottimo.

Na, secondo me il migliore è Zone Alarm, anche Online Armor non è malaccio, però sinceramente trovo migliore il primo ^_^, ad ogni modo, tu non puoi saperlo in quanti accedono al tuo pc, senza aver installato un firewall :emoji_slight_smile:

P.S. Il mio da un anno a questa parte ha bloccato 16 tentativi d'intrusione.
 
Non si può sapere, solitamente con un intrusione il pc viene infettato con trojan o virus vari, cosa che puoi scoprire con scansioni (ti consiglio di disinstallare avast e mettere avira) e postando un log del programma hijackthis.

Per evitarle basta installare un firewall, e ti posso consigliare Online Armor, grauito, si configura da solo e ottimo.

Allora
1)Quoto con lui e comunque dico al riferente quello che ha riferito il suo "problema" se non vai su quei siti o altre cose... I File Sharing si prendono se frequenti i lamer o altre persone se stai apposto con la tua coscienza che pensi che non frequenti siti o parli con persone lamer che frugano nel pc che ti sfondano una porta e ti inviano backdoor (Trojan) Non ti preoccupare stai al sicuro ;)
 
Na, secondo me il migliore è Zone Alarm, anche Online Armor non è malaccio, però sinceramente trovo migliore il primo ^_^, ad ogni modo, tu non puoi saperlo in quanti accedono al tuo pc, senza aver installato un firewall :emoji_slight_smile:

P.S. Il mio da un anno a questa parte ha bloccato 16 tentativi d'intrusione.
Comparativa firewall 2009
Perfavore, Entra oppure Registrati per vedere i Link!


 
Ho cancellato i files come ha detto Mikleman. Lolloso potresti spiegarti meglio? Non ho capito bene cosa vuoi dire! Cmq io non credo di frequentare lamer...più in dettaglio con il pc ci faccio cose normali : siti culturali, server per videogame, qualche volta scarico musica o altro ,qualche volta chatto, inoltre frequento come tutti siti porno ( chi non lo fa scagli la prima pietra)!!!

Cosa ne pensi/ ate?
 
Ultima modifica:
A me escono in continuazione quei messaggi...avast ferma tutti quegli " attacchi. Secondo me sono effettuati da macchine infette e i proprietari non se ne accorgono nemmeno...