Olimpo Informatico

[lonely 85]

Ciao a tutti sono nuova vorrei un aiutino...
Da 1 anno c'è una persona che si è appropiato del mio pc e cosi ha rubbato tutte le mie pass...
Vorrei cambiare codice ip ma non so se per cambiarlo bisogna comprare un nuovo pc o cambiare numero di telefono o di adsl...
Non so propio come fare...

Un saluto a tutti

[ioSOLOio]

[lonely 85]

Allora questa persona venne a casa mia e si rubbo il mio codice ip segnandolo da qualche parte...da allora non ho avuto più pace, scrive nei forum al posto mio dicendo cose bruttissime avevo dei forum e me li ha cancellati...e tutto risurta come se lo facessi io dal mio pc.
E' una cosa brutta sapere che qualcuno scrive al posto tuo......
Allora se cambio pc non serve a nulla ?


Grazie mille

[Benny]

[lonely 85]

Ho cambiato 1000 volte le password e lui le rintraccia.
e anche quando io non sono connessa lui agisce lo stesso, e a volte la freccietta del mause va da sola sotto i miei occhi, secondo me ha preso lui il controllo remoto....
Mi lascia pure dei messaggi sullo schermo del pc senza che io sia connessa.. scritti da lui e mi cambia pure immagini.
Come so io questa persona è un programmatore esperto.
Semba un ingubo...

[Benny]

Prova a scaricare hijackthis da questo sito (http://www.merijn.org/files/hijackthis.zip).

Lo estrai in una cartella a tua scelta (tipo C:\programmi\hijackthis), lo avvii e premi sul tasto "do a system scan and save a logfile".
Alla fine si aprirà il blocco note con il risultato della scansione.
Copialo e incollalo in questa discussione.

In questo modo ne sapremo di più sul tuo pc e vedremo se hai installato qualche malware che permetta il controllo remoto.

Può essere pure si tratti di programmi legali tipo winvnc, che permettono il controllo remoto di un pc grazie all'utilizzo degli indirizzi IP.

[lonely 85]

Ecco fatto:


Logfile of HijackThis v1.99.1
Scan saved at 16.06.27, on 10/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\elisa\Impostazioni locali\Temp\wz93d8\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll (file missing)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\SymProbe.exe -r "C:\Programmi\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{C642CCA5-B88C-4E21-9861-4B8E1B844565}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: UPnPService - Unknown owner - C:\Programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

[chemicalbit]

che tipo di connessione internet hai?

[lonely 85]

[Smjert]

Se è veramente un programmatore esperto ti avrà messo un Keylogger per registrare su un log tutti i tasti che schiacci e poi appena ti connetti ad internet esso viene mandato ad una sua mail.
Poi dici che anche se non sei connessa ti trovi messaggi vari... quello è alquanto impossibile se non ti connetti.. a meno che ti abbia ficcato un programmino creato da lui che ogni un tot cambia immagini e crea file vari (ma che spreco di tempo...).
Il fatto del vedere muovere il mouse capita solo quando sei connessa giusto? (nn ricordo se fa quell'effetto quando si usa il Desktop remoto).
A parte per il Keylogger che potrebbe essere riconosciuto come minaccia dagli antivirus, il resto (il presunto programmino) non verrebbe riconosciuto..
Quindi prima di tutto controlliamo che il Desktop Remoto sia disattivato:
Vai su Start->Impostazioni->Pannello di Controllo->Sistema->tab Connessione remota, controlla che la casellina sotto a Desktop remoto non sia spuntata, se lo è leva la spunta, dai Applica e poi Ok.
Dopodichè bisogna fare una scansione online con Panda che usa anche la tecnica euristica (prima il file viene analizzato e comparato con quelli presenti nel database del Panda e poi se non viene trovato vengono controllate le funzioni che richiama.. se c'è ne sono di particolari e che vengono chiamate molte volte lo segnala come possibile malware).
Alla fine della scansione posta il risultato (alla fine dovrebbe apparire un tasto Save che ti fa salvare il report in file chiamato ActiveScan.txt)

[chemicalbit]

e' un contratto ADSL normale, ho ha qualche caratteristica particolare (ad es. è aziendale, con collegato uno spazio web per fare hosting del sito dell'azienda, ecc.)?

Altrimenti i contratti ADSL prevedono normalmente che le connesisoni avvengano fornendo all'utente un indirizzo IP dinamico.

Questo vuol dire che ogni volta che ottieni la connessione non ti verrà fornito lo stesso indirizzo IP, e che l'indirizzo IP che ora stai usando prima poteva essere usato da un'altro utente e quando ti disconnetterai potrà essere usato da un altro ancora.



Difficile quindi che ti venga "rubato" qualcosa che non hai.

[lonely 85]

[Smjert]

Mmm solo cookie vari..
Era attivo il Desktop Remoto? l'hai disattivato?

Per rimuovere quei cookie spyware (e dare una pulizia generale al pc) scarica CCleaner, installalo.

Avvia CCleaner e vai su Opzioni->Avanzate, togli la spunta a "cancella file in windows temp solo se più vecchi di 48 ore",
torna su Cleaner e fai Analizza, quando ha finito clicca Avvia Cleaner.

[lonely 85]

[Smjert]

L'ip Lan (Start->Esegui->digita cmd, dai invio, digita nella finestra ipconfig e Indirizzo Ip è l'ip del tuo computer in Lan) è una cosa... e serve solo all'interno della Lan appunto (da Internet non serve a niente).
Se ha il tuo Mac Address (che è unico per ogni pc) so che può non essere simpatico (sinceramente non ho mai approfondito cosa puoi fare con un Mac Address.. ma credo funzioni anche questo solo in Lan e non attraverso Internet).
Come ti ho detto lui poteva connettersi da remoto, forse, solo grazie a Desktop Remoto.. non hai però risposto alla domanda di prima.
Era attivo? L'hai disattivato?

[lonely 85]

[Smjert]

Quindi molto probabilmente per gli scherzi del movimento mouse era usato il Desktop Remoto...

[lonely 85]

[Smjert]

Per sicurezza scarica GMER.

Decomprimi l'archivio sul desktop.

Avvia GMER e fai due scansioni (tasto Scan) una dal tab rootkit e l´altra dal tab autostart. Copiale tutte e due premendo il tasto Copy nei rispettivi tab e incollali in un file di testo che salverai.

Posta il contenuto di quel file di testo.

[lonely 85]