PDA

Visualizza versione completa : Aiuto: attacco hacker sul mio pc?


Shambler
02-06-2005, 00.29.47
Aiuto. Mi spegne il pc da solo , anche quando sono off line.
Il Pc si spegne non in modo brusco ma come una normale procedura . Ho zoneallarm e tutto il resto ma

non cambia nulla; ho aperto il visualizzatore evente e mi da dei segnali strani, che non riesco a decifrare.
Datemi una mano.
Ecco alcuni messaggi

Tipo evento: Informazioni
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7035
Data: 01/06/2005
Ora: 23.58.37
Utente: NT AUTHORITY\SYSTEM
Computer: MAINUSER
Descrizione:
Invio di un controllo avvio da parte del servizio Servizi terminal riuscito.

Per ulteriori informazioni,

consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Tipo evento: Informazioni
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7035
Data: 01/06/2005
Ora: 23.58.50
Utente: NT AUTHORITY\SYSTEM
Computer: MAINUSER
Descrizione:
Invio di un controllo avvio da parte del servizio Compatibilità di Cambio rapido utente riuscito.

Per

ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo

http://go.microsoft.com/fwlink/events.asp.


Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Evento di sistema
ID evento: 515
Data: 01/06/2005
Ora: 23.57.17
Utente: NT AUTHORITY\SYSTEM
Computer: MAINUSER
Descrizione:
Un processo di accesso attendibile ha effettuato la registrazione presso l'autorità di protezione locale.

Questo processo di accesso verrà considerato attendibile per l'accettazione delle richieste di accesso.

Nome del processo di accesso: RASMAN che cazzo è questo?Per ulteriori informazioni, consultare la Guida in linea e

supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso/fine sess.
ID evento: 540
Data: 01/06/2005
Ora: 23.57.16
Utente: NT AUTHORITY\ACCESSO ANONIMO
Computer: MAINUSER
Descrizione:
Accesso alla rete riuscito:
Nome utente:
Dominio:
ID accesso: (0x0,0xFC4A)
Tipo accesso: 3
Processo di accesso: NtLmSsp
Pacchetto di autenticazione: NTLM
Nome workstation:
GUID di accesso: {00000000-0000-0000-0000-000000000000}

Per ulteriori informazioni,

consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Tipo evento: Informazioni
Origine evento: EL2000
Categoria evento: Nessuno
ID evento: 83
Data: 01/06/2005
Ora: 23.56.58
Utente: N/D
Computer: MAINUSER
Descrizione:
Port A is down
Dati:
0000: 00 00 00 00 02 00 56 00 ......V.
0008: 00 00 00 00 53 00 07 60 ....S..`
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 .......

Lionsquid
02-06-2005, 00.35.21
molto probabilmente hai il virus Sasser ....

scarica Stinger http://vil.nai.com/vil/stinger/ e riavvia in modalità provvisoria per fare la scansione.... (anche se avrai delle difficoltà a scaricarlo visti i tempi molto brevi tra i riavvii)

poi puoi fare delle scansioni online da qui > http://www.wintricks.it/news1/article.php?ID=1

Shambler
02-06-2005, 00.38.33
Ma si spegne "normalmente" senza quel messaggio strano che si vedeva due anni fa...cosa vogliono dire quei log secondo te? ora lo provo.:)

Lionsquid
02-06-2005, 00.53.41
ah... niente messaggi

allora probabilmente ho preso un'abbaglio :)


si spegne o si riavvia???

controlla, dal BIOS, temperature e tensioni ... di solito c'ò accade quando l'alimentatore ha problemi o per un falso contatto sul connettore ATX

Shambler
02-06-2005, 01.02.18
Non è che si spenga bruscamente: si spegne normalmente (non si riavvia) solo che non sono io che lo spengo!!
Dopo un intervallo di un'ora circa.

Lionsquid
02-06-2005, 01.09.39
oltre ai controlli HW che ti ho suggerito... verifica se non ci sono task pianificati, fai anche un controllo malware, ...

il log degli eventi purtroppo non mi aiuta a capire di cosa si tratta... dovremo indagare in altre direzioni

Shambler
02-06-2005, 01.18.40
cliccando su operazione pianificate vedo solo "aggiungi operazione" non ne vedo altre , è stata la prima voce che ho controllato.
C'era un comando che permette di vedere se altri utenti sono collegati mi pare ma non me ricordo. Non il task manager.
Dimenticavo: ho fatto partire anche ad aware con la scansione completa.
Una cosa strana. Non mi parte sygate ( ho zone allarm però). Nel senso che ci clicco sopra ma non vedo l'icona. :confused:

Lionsquid
02-06-2005, 01.26.20
come mai usi 2 firewall contemporaneamente???

mai farlo... non sai mai chi comanda e chi no... e potrebbero ostacolarsi a vicenda.... cmq, non credo che il problema sia lì....


cominciamo dall'HW.... verifica tensioni e temperature.. poi andiamo a caccia di altro

Shambler
02-06-2005, 01.37.45
mmmmmmm
no veramente uso solo zoneallarm. Per stare sicuro avevo provato ad accedere anche l'altro ma senza risultato.
Sto guardando con asus probe ma sembra tutto normale.
fffffffff
Adesso vado a dormire, grazie dell'aiuto. Domani faccio partire stinger
Però mi sembra strano che sia l'alimentazione , non c'erano task o programmi particolari quando si spegneva.
Come faccio a vedere gli utenti?
Oltre al task manager intendo. C'era una voce da esegui su star ma non ricordo quale.

TomasMilian
02-06-2005, 13.34.31
Per quanto riguarda i firewall, fai attenzione a non attivarli tutti e due contemporaneamente altrimenti il pc può dare problemi. A me è successo proprio con Sygate e Zone Alarm: il pc non mi partiva più e ho dovuto disabilitarne uno da modalità provvisoria.

TomasMilian
05-06-2005, 01.13.52
Originariamente inviato da Shambler
Come faccio a vedere gli utenti?

Se parli degli utenti del pc, fai tasto destro su Risorse del Computer e poi Gestione: si aprirà una console dove dovrai espandere la voce Utenti e gruppi locali e poi devi cliccare su Users; sulla destra ora puoi vedere tutti gli utenti presenti sul computer, abilitati e non.

Shambler
05-06-2005, 12.37.01
Ci sono ma non trovo la voce users. :mad: :confused:

TomasMilian
05-06-2005, 16.48.59
Guarda l'immagine...

Shambler
07-06-2005, 12.57.49
Non ho quella voce nel menu.
http://s05.imagehost.org/1180/vocemenu.JPG

TomasMilian
07-06-2005, 17.05.24
Strana cosa... non vorrei che la gestione utenti sia disabilitata...
Proviamo con un altro percorso:
Start->Impostazioni->Pannello di controllo->Utenti e password apri la scheda Avanzate e clicca sul pulsante Avanzate... ora si dovrebbe aprire il pannello di gestione degli utenti.

Forse anche in questo modo non funzionerà, però tentar non nuoce... io intanto cerco qualche altra soluzione...

Shambler
08-06-2005, 01.10.02
c'è un account utente asp.net machine..

Shambler
08-06-2005, 01.13.52
Non l'ho messo io. gli ho cambiato la password.
C'è account utente nel pannello di controllo (entro come amministratore) non Utenti e password.
Se è disabilitato, dove devo andare per abilitarlo di nuovo?