Il mio computer era controllato da remoto da qualcuno. Impossibile trovare virus

Naviga le tue risposte
0

Tornando al mio computer (Windows 10), ho notato che la scheda della cronologia del mio browser si era appena aperta senza che io la toccassi e ho pensato di vedere il mio cursore muoversi. Non ho avuto alcun controllo sul mio mouse fino a quando ho ctrl-alt-cancellato.

Quando sono tornato ho avuto più nuove schede aperte a cose come le carte di giochi digitali PS4 acquistate con il mio account e le e-mail di conferma che dicevano che avevo appena comprato qualche centinaio di dollari. Ho anche ricevuto un'email di conferma relativa a un account creato con la mia email su "gameflip.com". Non ho mai nemmeno sentito parlare di questo sito ma sembra che sia un posto dove puoi vendere roba. La società della mia carta di credito mi ha inviato un'e-mail per rilevare addebiti fraudolenti e l'ho risolta, quindi penso di essere bravo a tal fine. Inoltre, ho cambiato le mie password e tutto quel jazz.

Il problema è che non riesco a capire come hanno fatto questo. Ho scansionato il mio computer con Windows Defender, Malwarebytes e Malwarebytes Anti-Rootkit. Ho anche eseguito Malwarebytes in modalità sicura, ma non hanno trovato assolutamente nulla.

Qualcuno mi ha suggerito di andare su grc.com ed eseguire una scansione per vedere se avevo delle porte aperte, ma erano tutte in modalità stealth tranne 21 che erano in stato chiuso. Non sono molto esperto di tecnologia, quindi non sono sicuro che questo significhi qualcosa ma, per quanto posso dire, "chiuso" non dovrebbe essere davvero sbagliato, vero?

Se qualcuno avesse appena scoperto il numero della mia carta di credito e le password, allora, qualsiasi cosa sia, è facile risolverlo, ma come faccio a impedire che riprendano il controllo del mio computer?

    
posta Vaidd 09.09.2017 - 09:26
fonte

3 risposte

5

Ci sono un gran numero di utility per il controllo remoto.

VNC è solo uno di questi.

Il Virtual Network Computing è open source in modo che chiunque può copiare l'origine e includerla come payload di un trojan che organizzano per essere installato sul tuo computer.

Il software antivirus non vedrà necessariamente tutto. Qualcosa di nuovo o qualcosa che è stato creato per un singolo lavoro non sarà stato inserito nei file delle firme anti-virus yiour.

Inoltre, il software anti-virus non vedrà la parte VNC del software come un problema.

Se qualcuno ti inganna nell'installare del software incluso, sarà in grado di accedere al tuo computer in qualsiasi momento.

Chiudere le porte inutilizzate è sempre una buona idea, ma un trojan probabilmente userà una porta comunemente usata come la porta 80 che viene utilizzata per i browser Web e i server Web o cercherà una porta inutilizzata che è aperta. Un Trojan ben scritto potrebbe anche rispondere su una determinata porta in determinate condizioni impostate per impedirne il rilevamento.

Se un utente malintenzionato ha avuto il tempo di prendere il controllo del PC e ha effettuato una serie di acquisti tramite il browser Web utilizzando i dati della carta di credito e le e-mail di conferma elaborate, ha avuto abbastanza accesso e tempo per compromettere completamente il computer.

Penso che non ci sia un metodo efficace per ripulire tutto questo a meno di copiare tutti i dati su un'unità esterna sicura, pulendo il disco rigido e qualsiasi archivio dati connesso, incluso lo storage nel cloud che potrebbe contenere re software di infezione e reinstallare tutto da zero.

Assicurati che qualsiasi accesso all'unità di backup che contiene tutti i dati sia fatto in modo tale da non rischiare l'infezione.

Dovrai inoltre aggiornare le password su tutti gli account a cui l'utente malintenzionato ha avuto accesso e sostituire tutte le tue carte di credito.

    
risposta data 09.09.2017 - 11:07
fonte
1

I passaggi che prenderei per impedire il rientro.

  1. Nuke dall'orbita .
  2. Installa solo il software richiesto. Non installare software cracked / patched.
  3. Interrompi / disattiva i servizi non necessari.
  4. Aggiorna tutto il software (SO e programmi).
  5. Non utilizzare dongle USB non attendibili.
  6. Crea un account utente senza privilegi (nessun amministratore, nessun diritto di installazione) e usalo come account predefinito.

Incrocia le dita che l'attacco non è entrato nell'hardware, potresti considerare l'aggiornamento / il flashing dal firmware del fornitore.

Modifica: puoi anche prendere in considerazione l'idea di entrare in un sistema operativo più sicuro, protetto dall'isolamento. Non penso questo suggerimento come spam, ma ho usato un OS orientato alla VM, che separa le azioni regolari in diverse VM (personale / email, bancario, web-social, web-non attendibile, vault_passwords), quindi se vieni penetrato l'unica VM interessata potrebbe essere cancellato e ricreato senza problemi. Quel sistema operativo era Qubes, ce ne sono altri con un approccio simile, ma mi piaceva di più quello.

    
risposta data 25.09.2018 - 20:02
fonte
-2

Non è necessario installare nulla, se qualcuno ha / ha accesso alle impostazioni di configurazione di Windows e alla rete.

C'è una funzionalità chiamata "desktop remoto" (RDP) integrata in Windows che consente proprio questo: è sufficiente abilitarla e configurarla e chiunque conosca il nome utente e la password di un account utente configurato per essa può accedere esso. Se è stato usato, qualcuno deve conoscere la tua password (l'hai data a qualcuno?) O in qualche modo aver impostato un altro account utente (che lusrmgr.msc dovrebbe mostrarti).

La domanda più interessante è l'accesso alla rete: i risultati della scansione che descrivi sembrano tipici di un router / firewall NAT home non configurato per l'inoltro delle connessioni RDP. RDP non è progettato per invertire la connessione o simili, quindi ci sono quattro possibilità:

  1. qualcuno della tua rete ti sta facendo uno scherzo
  2. qualcuno ha installato qualcosa (ad esempio un client VPN) che può indirizzare il traffico attorno al tuo firewall / router
  3. il tuo router è stato manomesso
  4. è installato un altro software di accesso remoto (ad es. VNC, o effettivamente qualcosa di illecito)
risposta data 15.11.2017 - 14:07
fonte

Leggi altre domande sui tag

Mysterious IP Address [closed] Connessione di rete sospetta stabilita