Log Connessioni Internet

[Pelo82]

Ciao a tutti.

Volevo sapere come posso fare per controllare se il mio pc è sotto controllo per quanto riguarda le connessioni internet.

Sono abbastanza sicuro che qualcosa sia stato fatto in quanto un venerdi sera io ed i miei colleghi abbiamo avuto l'ordine di lasciare i computer accesi.

Veniamo a qualche dettaglio.

Di certo so che è stato preso nota dell'IP di ogni macchina. Ho infatti trovato il comando CMD digitato come ultimo comando nel menù START-ESEGUI:

Il pc in questione (come quello di tutti i miei colleghi), fa parte di una rete aziendale.

Ho provato a cercare dei file di log sia localmente, sia sul server.. non ho trovato nulla...

eppure se le informazioni sul mio pc vanno da qualche parte, vuol dire che dal mio pc devono partire..o sbaglio?

Come faccio a sapere se ho il mio pc sotto controllo per quanto riguarda internet?

[nelsonblu]

Trova in rete un programmino che si chiama hijackthis (è solo un eseguibile, non si installa) fai lo scan e poi copia-incolla qui del log. E ti dico se sei controllato.

[Pelo82]

Logfile of HijackThis v1.99.1
Scan saved at 8.42.43, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\gtwatch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\RightFax\Client\Italian\FaxCtrl.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Pando Networks\Pando\Pando.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\3M\PSNotes\PSNOTES.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Jasc Software Inc\Paint Shop Pro 8\Paint Shop Pro.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Cristian2.COMEDIL\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comedil.it/ita/Loginclienti.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - (no file)
O1 - Hosts: 213.26.174.13 www.comedil.it
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Programmi\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RightFAX Print-to-Fax Driver] C:\Programmi\RightFax\Client\Italian\FaxCtrl.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando] "C:\Programmi\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: EPSON Scanner Monitor.lnk = C:\WINDOWS\TWAIN_32\EPEM\EPSONEM.EXE
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Post-it® Software Notes.lnk = C:\Programmi\3M\PSNotes\PSNOTES.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://pelo82.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1159948800125
O16 - DPF: {7BABCBE7-ECFF-4EA0-A344-1DC32458A6ED} (NTR Plugin 1.2.4) - http://www.inquiero.com/inquiero/mod...ugin124_28.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://pelo82.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/inquiero/mod...ivex118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comedil.it
O17 - HKLM\Software\..\Telephony: DomainName = comedil.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comedil.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = comedil.it
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

[nelsonblu]

Non c'è nessun programma (keylogger e simili) che agisce in backgound per controllare il pc. Puoi stare tranquillo. Quindi per la privacy "standard" ti consiglio di affidarti a software che cancellano la cache dei browser, i file recenti, la cartella TEMP, etc etc
Wincleaner oppure Windows Doctor o simili per intenderci

[Pelo82]

Sono sicuro che stanno controllando perchè un mio collega è stato ripresto per questo

Ora non dico che hanno qualcosa che dica che sito visiti, ma almeno il tempo di connessione c'è di sicuro...

volevo sapere se ci sono modi (oltre ai programmi specifici che tracciano le connessioni), di creare un semplice file (tipo un txt), che segni il tempo della connessione, una volta che uno sa l'ip di una macchina..

esempio, la mia macchina è 123.123.123.1

è possibile per un amministratore di rete, creare un batch dove compaia, l'ip del "chiamante" e la durata della "chiamata", utilizzando i normali strumenti di amministrazione del server, senza usare programmmi specifici??

Se si come? Vorrei controllare anche questa possibilità...

[Pelo82]

ho trovato nel percorso:

c:/windows/system32/MsDtc/Trace

un file batch (l'unico del mio pc)

sarà mica quello che penso io vero???

download file batch

[nelsonblu]

Il file batch che ho appena visto usa come eseguibile un file di windows che si chaima tracerpt.exe.
Questo scrive nei file presenti nella stessa cartella:
rem define variables for parameters to be passed to tracerpt
set TRACEDIR=%WINDIR%\system32\msdtc\trace
set TRACEFILE1=%TRACEDIR%\dtctrace.log
set TRACEFILE2=%TRACEDIR%\tracetx.log
set MOFFILE=%TRACEDIR%\msdtctr.mof
set ERRORFILE=%TRACEDIR%\errortrace.txt
set OUTPUTFILE=%TRACEDIR%\trace

Purtroppo dalla analisi di hijackthis tracerpt.exe non è attivo. Quindi se c'è qualcosa non è lui.
Per renderti conto di cosa può fare l'amministratore con gli strumenti di Windows vai nel pannello di controllo, Strumenti di amministrazione, Visualizzatore eventi.
Ti ricordo che con il tasto destro puoi cancellare qualsiasi evento.

Se ti connetti ad internet in una rete con un modem-router, ti ricordo che esiste la possibilità del log anche da parte di questo con tutti gli ip che si connettono, quando lo fanno e per quanto tempo. Il file viene salvato nella memoria del router.

[Pelo82]

Se ti connetti ad internet in una rete con un modem-router, ti ricordo che esiste la possibilità del log anche da parte di questo con tutti gli ip che si connettono, quando lo fanno e per quanto tempo. Il file viene salvato nella memoria del router.

credo che il mio caso sia questo...ho la pass di accesso del router, ma non ho l'indirizzo ip del router...come posso trovarlo???

per quanto riguarda gli eventi..

noti nulla di strano?

[nelsonblu]

Se al router sei connesso via LAN, vai in risorse di rete e "Visualizza icone per periferiche UPnP in rete". Uscira l'icona del router e trovi l'IP nelle proprietà (tasto destro sull'icona).
Se sei connesso via wireless si complica.
Però sappi che puoi sapere la classe di indirizzi a cui appartiene il router.
Mi spiego:
Doppio clic sull'icone in basso della connessione
Supporto - Dettagli
Sai ora il TUO indirizzo IP. Es: 192.168.1.34

Allora sicuramente l'ip del router apparterrà alla stessa classe 192.168.1.X dove X è un numero da 1 a 254. In pratica i primi tre numeri devono essere uguali.
Di solito i router, a meno di interventi manuali mirati, hanno il primo o l'ultimo del range, cioè X=1 oppure X=254. Puoi fare dei tentativi.

Niente di anormale nella foto, telnet ha a che fare con protocolli di accesso remoto, nel dubbio cancellali.
Per tranquillizzarti puoi sapere chi ti attacca in tempo reale mettendoti in ascolto sulle porte del tuo PC con programmini tipo http://download.sysinternals.com/Files/TcpView.zip.
Saprai chi è e qual'è il suo IP, sia locale che remoto.