Mi Sono Entrati Nel Pc!?

kaktus

kaktus

Digital-Forum Senior Master
Registrato
24 Dicembre 2005
Messaggi
1.394
Località
Loreto (AN)
Accendendo stamattina il pc, mi veniva richiesto di cliccare sul mio account utente... Appena entrato sono andato nel pannello di controllo per ripristinare le cose, e con mia sorpresa ho trovato un altro account di cui non ricordo il nome, con un avatar di uno skater che mi sembra uno degli avatar base di msn; L'ho eliminato, salvando i files. Sono andato a vedere la cartella All users (anzichè quella col mio nome), e ci ho trovato le icone di alice adsl e di firefox....... Sono senza parole, ditemi voi qualcosa:eusa_think: PS, ieri pomeriggio avevo sentito un bib continuato di 3-4 secondi ed avevo pensato ad un dialer che ci provava...:eusa_think:
 
Che antivirus hai?hai ricevuto dei files via MSN?che firewall hai?quando hai sentito un bild di 3-4 sec avevi FF aperto?facci sapere controlando anche il tuo antivirus-firewll se trovi degli indirizi IP che hanno forzato l'entrata.
 
Dunque, uso avast professional, quando ho ricevuto il beep ero di sicuro on line (con firefox), il firewall è quello di windows, ora vedo come fare a vedere se ci sono rapporti di intrusioni, non so come fare, files da msn ne ricevo spesso.
 
Fai un bel controllo antivirus e mettimi il log sul forum dopo aver usato Questo programma.
 
Nella cartella "all users", oltra a desktop,menu d'avvio e programmi c'e un file che si chiama: NTUSER... e un doc. di testo:regf  ‚õ«UË)Ç      d S e t t i n g s \ A l l U s e r s \ N t U s e r . d a t }©x2DIRTÿÀ5á\ D e v i c e \ H a r d d i s k V o l u m e 1 \ D o c u m e n t s a n d S e t t i n g s \ A l l U s e r s \ n t u s e r . d a t ÿ Questo è il log:Logfile of HijackThis v1.99.1
Scan saved at 20.19.13, on 04/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\eMule Flux v0.47c CHD 0706\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Freddy\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166562961796
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8AB5BC5-7DF3-45FB-A818-C87B606F74BB}: NameServer = 85.37.17.46 85.38.28.84
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

:eusa_think:
 
Riguardo a Ntuser.dat è un file di sistema che contiene le impostazioni del registro utente.

Non va eliminato.

Info


Dopo controllo il log ;)
 
nn credo che hai avuto un'intrusione se mai hai aggiornato windows xp, il nuovo accanut si chiamava per caso ASP.NET ?

cmq il log nn presenta nulla di preoccupante
 
Xp l'ho aggiornato tutto una settimana fà, la cosa che mi intimoriva maggiormente è che l'avatar di questo "nuovo account" era praticamente uno di quelli "base" di msn (quello con lo skatebord).... il pc va bene, domani vedo se il problema si ripresenta (ora non posso spegnerlo che sto completando dei download), e magari faccio anche una scansione totale. Speriamo bene, vi ringrazio del supporto comunque, siete sempre grandi!
 
msn e xp hanno gli avatar uguali, se provi a cambiare il tuo avatar ti rendi conto che sono identici
 
Cmq il firewall di XP e melgio che tu non faccia afidamento,poi ricorda una cosa che sicuramente tu ricevi files via MSN dai tuoi amici...ma se tu ricevi files da sconosciuti con il tuo firewall attuale sarebbe molto faci entrare nel tuo PC.Dunque stai molto attento,magari non ti sono entrati nel PC ma cmq ti consiglio di attrezarti meglio con la sicurezza,usi il modem ADSL della TI?
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso