www.MegaLab.it

[Zagorakis]

Ciao a tutti.
Mi possono rubare un file via internet?
Questo eccesso di preoccupazione (in termini tecnici si chiama cagotto) mi è venuta per 2 motivi principali. Sono stato tutta la notte collegato ad emule adunanza e il firewall Comodo mi dava errore nello stato di controllo del firewall.
le condizioni sono le seguenti:
-S.O. windows 7 home premium
-Connessione fastweb fibra
-antivirus Comodo che, nella cartella "generale" diceva che c'era un problema con firewall successivamente risolto con l'apposito tasto "risolvi problema" nel giro di pochi secondi, mentre le voci "difesa virus" e "difesa network" davano tutto ok.
-il file in questione si trova in una cartella utente
-la scansione fatta poco fa con Spybot non ha segnalato problemi
-non ho mai avuto sentore di problemi o presenza di virus o spyware di alcun tipo
-sono l'unico che mette le mani su questo laptop.

Secondo voi si cono comunque possibilità che il file in questione possa essere uscito dal pc in modo improprio?
Thanks!

[Pct]

Non so rispondere alla tua domanda diretta , anche se magari è più probabile che il file sia stato cancellato (dipende da che file è) , però ti posso dire che l'errore del firewall di Comodo, quando lo provai , lo dava anche a me, e parecchie volte, senza che il pc fosse infetto , soprattutto quando cambiavo utente, quindi per quello non ti devi preoccupare.

Per sicurezza posta un Log di Hijackthis, così possiamo vedere se c'è qualche infezione in giro.

[Zagorakis]

ecco il file generato da Hijackthis.
ti premetto che tutto quello che è keylogger, tipo KGB o altro, è opera mia, quindi è da non considerare...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.56.05, on 26/08/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Hotspot Shield\bin\openvpntray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Luca\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.ask.com?o=15003&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DigitalPersona Personal Extension - {395610AE-C624-4f58-B89E-23733EA00F9A} - C:\Program Files\DigitalPersona\Bin\DpOtsPluginIe8.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GR469A~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E2B3133-4262-4F2E-B2B8-1288FA49BB3C}: NameServer = 10.8.56.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GRA32A~1.DLL
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_b8cef5f1d6fff385\aestsrv.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: @C:\Program Files\DigitalPersona\Bin\DpHostW.exe,-128 (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard - C:\Windows\system32\Hpservice.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files\Hotspot Shield\bin\hsswd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_b8cef5f1d6fff385\STacSV.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe
--
End of file - 8122 bytes

[Zagorakis]

attenzione, forse mi sono spiegato male, il file non è stato cancellato o manomesso.E' stato rimosso da me questa mattina e messo su una chiavetta. era su questo PC temporaneamente. Chiaramente non era dentro una cartella condivisa,per esempio di emule, ma era in una cartella dentro il mio profilo utente.

[Pct]

Il log mi sembra pulito. La prossima volta allegalo seguendo queste regole : topic45943.html

Guarda, mi sembra davvero improbabile che ti rubino un file via internet, può succedere magari con qualche virus, ma tu non sembri infetto ; ti direi di stare tranquillo .

Se vuoi, aspetta il parere degli espertoni come Crazy.cat, ste_95, Amantide,Uomo_senza_sonno,Farbix89,stevens e via discorrendo che senz'altro ne sanno più di me in materia

[Zagorakis]

ok ti ringrazio. Scusate non sapevo della regola per allegare il log.
Spero comunque che gli espertoni possano confermare quanto hai detto perché è una cosa che, forse impropriamente, mi sta angosciando parecchio....

[The Doctor]

ok ti ringrazio. Scusate non sapevo della regola per allegare il log.

Non ti preoccupare lo edito io il messaggio e lo sistemo

Spero comunque che gli espertoni possano confermare quanto hai detto perché è una cosa che, forse impropriamente, mi sta angosciando parecchio....

Il mio modesto parere è che ci sono più possibilità di fare 6 al superenalotto piuttosto che qualcuno ti abbia rubato quel file

[Zagorakis]

il problema è che io ne ho già vinti 2 di 6 al superenalotto!!!
ahah....magari....se cosi fosse ecchisenefrega del file! come ripeto la mia è solo una paura che mi ha preso senza in realtà nulla di concreto e tangibile....mi ha fatto solo pensare male il fatto di essere stato collegato a emule per tanto tempo....who knows...

[Zagorakis]

Doctor, grazie di aver corretto il mio errore...

[Palpas]

Ciao, dipende se il file è condiviso da emule. Per vederlo apri emule e clicca su File condivisi....e vedi se è presente; anche se fosse, è quasi impossibile che qualcuno l'abbia preso (ammenochè non abbia un nome che stimola la curiosità)
Comunque nel caso fosse condiviso, toglilo dalla condivisione

[Zagorakis]

ciao. No, certo che non era nei files condivisi. Chiedevo se era passibile che tramite emule qualcuno potesse andare a cercare files al di fuori della cartella condivisa e se fosse possibile che qualcuno, anche indipendentemente da emule, possa essere entrato nel mio pc tramite credo, trojan o simili. Per questo ho postato il file log che Pct ha detto sembrar pulito...

[Al3x]

chi usa fastweb in un certo modo potrebbe essere a rischio rispetto a chi usa un ISP che richiede un router adsl per la connessione.
Lancia il comando net share dal terminale per fare una rapida verifica delle condivisioni attive
Puoi copiare questo comando ed incollarlo in Start\Cerca

Codice: Seleziona tutto

cmd /k net share

Posta qui il risultato

Se hai un amico che ha fastweb prova a fare un test, ti fai comunicare il suo indirizzo ip e dopo che avrà abbassato temporaneamente il proprio firewall, potresti pingarlo per capire quanto siete o meno raggiugibili (lui può fare altrettanto)
Se il ping non da richiesta scaduta ma invece risponde, significa che nel caso le vostre difese siano disattivate e esistano delle cartelle condivise, queste potrebbero essere visibili e/o rilevabili dagli altri utenti fastweb.
Soluzione? anteporre un router non adsl tra HAG e PC
http://tuttofastweb.info/hag

Rispondendo quindi alla domanda iniziale del post, direi che è possibile (ma non certo) se dalle verifiche che farai, i pc dei diversi utenti fastweb dovessero "vedersi" tra loro

[Zagorakis]

ecco, spero di averlo incollato nel modo giusto.
Quindi dice che se c'è stata un intrusione, può essere avvenuta solo da utenti fastweb?

Nome cond. Risorsa Nota

-----------------------------------------------------------------------------
ADMIN$ C:\Windows Amministrazione remota
C$ C:\ Condivisione predefinita
D$ D:\ Condivisione predefinita
F$ F:\ Condivisione predefinita
G$ G:\ Condivisione predefinita
IPC$ IPC remoto
print$ C:\Windows\system32\spool\drivers
Driver della stampante
SharedDocs C:\USERS\PUBLIC\DOCUMENTS
Users C:\Users
WCProInbox C:\ProgramData\Xerox\WCProWIA
PDFCreator PDFCreator: Spooler eDoc Printer
Esecuzione comando riuscita.

[Al3x]

non ho fastweb e se non effettui quanto ti ho suggerito

Se hai un amico che ha fastweb prova a fare un test, ti fai comunicare il suo indirizzo ip e dopo che avrà abbassato temporaneamente il proprio firewall, potresti pingarlo per capire quanto siete o meno raggiugibili (lui può fare altrettanto)
Se il ping non da richiesta scaduta ma invece risponde, significa che nel caso le vostre difese siano disattivate e esistano delle cartelle condivise, queste potrebbero essere visibili e/o rilevabili dagli altri utenti fastweb.

non sono in grado di darti una risposta certa

queste due cartelle sembrano essere condivise

Codice: Seleziona tutto

SharedDocs C:\USERS\PUBLIC\DOCUMENTS
Users C:\Users

[Zagorakis]

tanta pazienza per cosa?
purtroppo non conosco nessuno che abbia fastweb con cui fare quella prova....dal log cosa si deduce?

[Al3x]

tanta pazienza per cosa?

è la mia firma

[Zagorakis]

scusa, mi avevi risposto già sotto e non avevo visto...

[Al3x]

non avevo visto...

ho editato il messaggio in un secondo tempo quindi non potevi aver visto

per il ping, aspettiamo che qualche utente volenteroso del forum effettui la prova per noi

[Zagorakis]

ok, immagino comunque che non ci sia modo di vedere sul mio pc, nel caso questi altri utenti fastweb avessero avuto accesso a queste cartelle condivise, se ciò è avvenuto e se hanno scaricato files da me?

[Zagorakis]

Se hai un amico che ha fastweb prova a fare un test, ti fai comunicare il suo indirizzo ip e dopo che avrà abbassato temporaneamente il proprio firewall, potresti pingarlo per capire quanto siete o meno raggiugibili (lui può fare altrettanto)
Se il ping non da richiesta scaduta ma invece risponde, significa che nel caso le vostre difese siano disattivate e esistano delle cartelle condivise, queste potrebbero essere visibili e/o rilevabili dagli altri utenti fastweb.

Ma questo presuppone che qualcuno conoscesse esattamente il mio indirizzo ip, oppure può essere anche qualcuno digiti un indirizzo ip a caso, e che casualmente posso essere io o un altro? sempre nel caso di riposta e difese abbassate...