Jump to content

Verificare se il pc è stato violato


unkn0wn

Recommended Posts

Stamattina il firewall di Windows 8 (8.1 per essere precisi) ha mandato un avviso di accesso ad una rete pubblica di Firefox e io ho rifiutato la richiesta. È possibile che qualcuno stesse provando a violare il computer?.

Per sicurezza ho chiuso la porta la porta 139 del netbios perché era aperta:

"TCP 10.3.0.1:139 0.0.0.0:0 LISTENING"

 

Ho eseguito una scansione con l'atntivirus e Malwarebytes e non è stato rilevato nulla di preoccupante.

 

Pochi minuti fa, però, Bitdefender ha bloccato il processo Explorer.exe:

"L'applicazione C:/Windows/Explorer.EXE è stata rilevata come potenzialmente dannosa. Active virus control ha bloccato questo processo sulle seguenti azioni: il comportamento dell'applicazione può danneggiare il computer".

 

È comparso anche un pop-up: "Disinfezione in corso. Le minacce rilevare sono in fase di eliminazione. Attendi il termine del processo".

 

Prima che accadesse questo, ho fatto un controllo con Keylogger detector ed è uscito fuori qualcosa.

 

 

KL-Detector has found some suspicious files:

C:WindowsSystem32LogFilesScmcbd3ef37-0e38-431a-a6e8-607c56893a63

C:Users123AppDataLocalMicrosoftWindowsSettingSync emotemetastorev1edb.chk

C:Users123AppDataLocalMicrosoftWindowsSettingSyncmetastoreedb.chk

C:WindowsSystem32LogFilesScme075ac73-7fc0-4acd-9f28-dd590c391c1c

C:Users123AppDataLocalMicrosoftWindowsSettingSync emotemetastorev1meta.edb

C:WindowsSystem32LogFilesScm

Edited by unkn0wn
Link to comment
Share on other sites

Teamviewer lo uso con lo smartphone ma non penso dipenda da questo perché ogni connessione viene notificata, me ne accorgerei se qualcuno si fosse collegato.

Ho letto che KM può portare dei Trojan ma è stato eliminato tutto con le analisi che ho fatto (erano per lo più cookie malevoli). Comunque adesso lo disinstallo per sicurezza.

Il pc l'ho fatto io, sia hardware che software, e non lo usa nessun altro.

Ho dimenticato di allegare nel primo post degli errori che ha dato Hijackthis all'apertura.

Il pc[ATTACH]5251[/ATTACH][ATTACH]5252[/ATTACH][ATTACH]5253[/ATTACH]

 

Edit

Ho rifatto la scansione con Hijackthis e sono usciti altri elementi

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:40:23, on 21/03/2015

Platform: Unknown Windows (WinNT 6.02.1008)

MSIE: Internet Explorer v11.0 (11.00.9600.17416)

Boot mode: Normal

 

Running processes:

C:Program Files (x86)NVIDIA CorporationUpdate CoreNvBackend.exe

C:Program Files (x86)TeamViewerVersion9TeamViewer.exe

C:Program Files (x86)DAEMON Tools LiteDTLite.exe

C:Program Files (x86)CanonIJ Network Scanner Selector EXCNMNSST.exe

C:Program Files (x86)Samsung MagicianSamsung Magician.exe

C:Program FilesKeylogger detector13KL-Detector.exe

C:Users123DesktopHiJackThis.exe

 

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = C:WindowsSysWOW64lank.htm

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll

O2 - BHO: Java? Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program Files (x86)Javajre1.8.0_31inssv.dll

O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:PROGRA~2MICROS~1Office15GROOVEEX.DLL

O2 - BHO: Java? Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Program Files (x86)Javajre1.8.0_31injp2ssv.dll

O3 - Toolbar: Portafoglio di Bitdefender - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:Program FilesBitdefenderBitdefender 2015Antispam32pmbxie.dll

O4 - HKLM..Run: [Adobe ARM] "C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe"

O4 - HKLM..Run: [switchBoard] C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe

O4 - HKLM..Run: [AdobeCS5ServiceManager] "C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe" -launchedbylogin

O4 - HKLM..Run: [iJNetworkScannerSelectorEX] C:Program Files (x86)CanonIJ Network Scanner Selector EXCNMNSST.exe /FORCE

O4 - HKCU..Run: [DAEMON Tools Lite] "C:Program Files (x86)DAEMON Tools LiteDTLite.exe" -autorun

O4 - HKCU..Run: [GoogleDriveSync] "C:Program Files (x86)GoogleDrivegoogledrivesync.exe" /autostart

O4 - HKCU..Run: [Agente del Portafoglio di Bitdefender] "C:Program FilesBitdefenderBitdefender 2015dwtxag.exe"

O4 - HKCU..Run: [sUPERAntiSpyware] C:Program FilesSUPERAntiSpywareSUPERAntiSpyware.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~1Office15EXCEL.EXE/3000

O8 - Extra context menu item: I&nvia a OneNote - res://C:PROGRA~1MICROS~1Office15ONBttnIE.dll/105

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIE.dll

O9 - Extra button: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll

O9 - Extra 'Tools' menuitem: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:Program Files (x86)Microsoft OfficeOffice15OCHelper.dll

O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:Program Files (x86)Microsoft OfficeOffice15ONBttnIELinkedNotes.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:Program Files (x86)Microsoft OfficeOffice15MSOSB.DLL

O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:Program Files (x86)Common FilesMicrosoft SharedOFFICE15MSOXMLMF.DLL

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:Program FilesSUPERAntiSpywareSASCORE64.EXE

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:Program Files (x86)Common FilesAdobeARM1.0armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:WindowsSysWOW64MacromedFlashFlashPlayerUpdateService.exe

O23 - Service: @%SystemRoot%system32Alg.exe,-112 (ALG) - Unknown owner - C:WindowsSystem32alg.exe (file missing)

O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:PROGRA~2APCPOWERC~1agentpbeagent.exe

O23 - Service: APC PBE Server (APCPBEServer) - APC - C:PROGRA~2APCPOWERC~1serverPBESER~1.EXE

O23 - Service: @%SystemRoot%system32efssvc.dll,-100 (EFS) - Unknown owner - C:WindowsSystem32lsass.exe (file missing)

O23 - Service: @%systemroot%system32fxsresm.dll,-118 (Fax) - Unknown owner - C:Windowssystem32fxssvc.exe (file missing)

O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:Program FilesNVIDIA CorporationGeForce Experience ServiceGfExperienceService.exe

O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:Program Files (x86)GoogleUpdateGoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:Program Files (x86)GoogleUpdateGoogleUpdate.exe

O23 - Service: @%SystemRoot%system32ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:Windowssystem32IEEtwCollector.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:Windowssystem32lsass.exe (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:Program Files (x86)Malwarebytes Anti-Malwarembamservice.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:WindowsSystem32msdtc.exe (file missing)

O23 - Service: @%SystemRoot%System32 etlogon.dll,-102 (Netlogon) - Unknown owner - C:Windowssystem32lsass.exe (file missing)

O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:Program Files (x86)NVIDIA CorporationNetServiceNvNetworkService.exe

O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:Program FilesNVIDIA CorporationNvStreamSrv vstreamsvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:Windowssystem32 vvsvc.exe (file missing)

O23 - Service: @%systemroot%system32Locator.exe,-2 (RpcLocator) - Unknown owner - C:Windowssystem32locator.exe (file missing)

O23 - Service: @%SystemRoot%system32samsrv.dll,-1 (SamSs) - Unknown owner - C:Windowssystem32lsass.exe (file missing)

O23 - Service: Samsung RAPID Mode Service (SamsungRapidSvc) - Unknown owner - C:Windowssystem32RAPIDSamsungRapidSvc.exe (file missing)

O23 - Service: @%SystemRoot%system32snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:WindowsSystem32snmptrap.exe (file missing)

O23 - Service: @%systemroot%system32spoolsv.exe,-1 (Spooler) - Unknown owner - C:WindowsSystem32spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%system32sppsvc.exe,-101 (sppsvc) - Unknown owner - C:Windowssystem32sppsvc.exe (file missing)

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:Program Files (x86)NVIDIA Corporation3D Vision vSCPAPISvr.exe

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe

O23 - Service: TeamViewer 9 (TeamViewer9) - TeamViewer GmbH - C:Program Files (x86)TeamViewerVersion9TeamViewer_Service.exe

O23 - Service: TunMirror - Unknown owner - C:WindowsTEMPTunMirror.exe

O23 - Service: @%SystemRoot%system32ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:Windowssystem32UI0Detect.exe (file missing)

O23 - Service: Bitdefender Desktop Update Service (UPDATESRV) - Bitdefender - C:Program FilesBitdefenderBitdefender 2015updatesrv.exe

O23 - Service: @%SystemRoot%system32vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:Windowssystem32lsass.exe (file missing)

O23 - Service: @%SystemRoot%system32vds.exe,-100 (vds) - Unknown owner - C:WindowsSystem32vds.exe (file missing)

O23 - Service: @%systemroot%system32vssvc.exe,-102 (VSS) - Unknown owner - C:Windowssystem32vssvc.exe (file missing)

O23 - Service: Bitdefender Virus Shield (VSSERV) - Bitdefender - C:Program FilesBitdefenderBitdefender 2015vsserv.exe

O23 - Service: @%systemroot%system32wbengine.exe,-104 (wbengine) - Unknown owner - C:Windowssystem32wbengine.exe (file missing)

O23 - Service: @%ProgramFiles%Windows DefenderMpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:Program Files (x86)Windows DefenderNisSrv.exe (file missing)

O23 - Service: @%ProgramFiles%Windows DefenderMpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:Program Files (x86)Windows DefenderMsMpEng.exe (file missing)

O23 - Service: @%Systemroot%system32wbemwmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:Windowssystem32wbemWmiApSrv.exe (file missing)

 

--

End of file - 9896 bytes

 

Edited by unkn0wn
Link to comment
Share on other sites

Non è tanto l'indirizzo IP il problema, dipende dal router (firewall) che in primis deve garantire la protezione e l'intrusione specialmente nelle reti wireless ma poi basta un piccolo file installato incosapevolmente nel pc che fa la stessa funzione es: di TeamViewer ma che tu non vedi e il gioco è fatto.

Link to comment
Share on other sites

Però per accedere al router serve comunque l'indirizzo ip. Dal firewall poi è arrivato un solo avviso, boh.

 

Ovvio, ma se hai un indirizzo ip dinamico basta riavviare il router che questo cambia e se non hai un file civetta nel pc è un po dura trovarti.

Intendevo il firewall del router non quello di windows

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...