Salve,


Come sempre vi ringrazio in anticipo per eventuali risposte. E mi scuso per la lunghezza del messaggio e la probabile banalità di alcune domande.


Vorrei capire se qualcuno sta utilizzando/ha utilizzato Teamviewer (anche indirettente) per accedere al mio comupter. Il tutto è nato da una segnalazione di 360 total security che mi chiedeva di bloccarlo perché aveva modificato il certificato del produttore.*


Vi metto qui un po' di domande che ho, e poi di seguito una descrizione più dettagliata del problema, nel caso voleste avere il quadro completo.


1) si può accedere ad un PC se spento? E se acceso, ma non connesso ad internet?

2) è possibile che qualcuno sia entrato nel mio pc anche se poi nella pratica non ho subito alcun danno (furto numeri carta, furto file, etc.)?

3) se teamviewer non mi serve più devo cancellarlo? O rischio di eliminare tracce per capire se il pc è stato violato?

4) se sia 360 total security che malware bytes non rilevano nulla di pericoloso, posso effettivamente stare tranquillo?

5) Ammesso che qualcuno sia entrato, si può capire cosa è stato fatto?


Tempo fa (da ingenuo) avevo installato Teamviewer 10 su due pc differenti per poter accedere da remoto a quello che avevo spesso più lontano (trovandomi spesso all'estero). Premetto che il pc cui accedeva non aveva dati sensibili.*


Per facilitare il tutto avevo addirittura tolto la password d'accesso a Windows e messo autostart e autospegnimento ad orari stabiliti al pc cui accedere. E credo anche di aver disabilitato la procedura del codice temporaneo, perché se no, non avrei potuto immetterlo a distanza. Poi non ne ho fatto molto utilizzo.*


Ad ogni modo, vorrei essere sicuro che non ci siano stati accessi non autorizzati su nessuno dei due pc.*

Ho letto il log degli accessi e ci sono diverse stringhe negli ultimi giorni. Quando io non accedo da anni (o almeno mesi).*

Inoltre, ormai da mesi, ho notato comportamenti strani sul PC da cui gestivo Teamviewer (non quello lontano).*

In particolar modo quasi ogni volta che lo riaccendo trovo data ed ora indietro di qualche giorno/ora (la batteria però e' completamente andata e funziona solo da attaccato alla presa - è un portatile)

Oppure è molto lento (ma il pc è molto vecchio. 2012. Mai stato formattato e fino a circa due anni fa, ci installavo di tutto).*

Infine, molto raramente, in alto a sinistra compare come una finestra di trasferimento file, ma solo per una frazione di secondo. Tanto da non riuscire a leggere cosa c'è scritto.*

Ho anche letto che un anno fa hanno forse rubato tutti i dati d'accesso degli utenti teamviewer. Il che mi ha ovviamente preoccupato.*


Fatemi sapere se avete qualche idea. Scusate ancora per il messaggio estremamente lungo ma ho cercato di darvi più elementi possibili.*


Grazie mille!!

1) si può accedere ad un PC se spento? E se acceso, ma non connesso ad internet?
2) è possibile che qualcuno sia entrato nel mio pc anche se poi nella pratica non ho subito alcun danno (furto numeri carta, furto file, etc.)?
3) se teamviewer non mi serve più devo cancellarlo? O rischio di eliminare tracce per capire se il pc è stato violato?
4) se sia 360 total security che malware bytes non rilevano nulla di pericoloso, posso effettivamente stare tranquillo?
5) Ammesso che qualcuno sia entrato, si può capire cosa è stato fatto?

1 no e no, come potrebbe fare del resto? se il pc non è visibile dall'esterno perchè fuori dalla rete (e intendo tutte le reti) è invisibile. Se poi è spento neanche mandrake :D
2. non credo, per accedere ci vuole un codice no? senza quello.... Ma tu in effetti stai operando senza codici
3. se non ti serve che lo tieni a fare? sarebbe come chiedere se vale la pena tenere Doom3 installato se non ci giochi più da mesi e sai che non ci giocherai più
4. ni, nel senso che la certezza al 100% non esiste, diciamo che se oltre a quei due hai fatto scansioni con altri 4-5 prodotti antivirus/malware e nessuno ha trovato nulla (manco un cookie) allora sei ragionevolmente sicuro di poter stare tranquillo
5. ni, ci vorrebbe un logger installato, ma installarne uno (fatto da altri) è un rischio (rischi di aprire una porta verso chissà chi) o comunque un programma che indicizzi e verifichi la data dell'ultimo accesso a tutti i files del pc. In questo modo impostando la ricerca per quella data X vedi quali files sono stati consultati in quella data. Ovviamente non saprai da chi. Nella sostanza, no, non c'è modo

Ho letto il log degli accessi e ci sono diverse stringhe negli ultimi giorni. Quando io non accedo da anni (o almeno mesi).*

cosa c'è scritto in queste stringhe?

Inoltre, ormai da mesi, ho notato comportamenti strani sul PC da cui gestivo Teamviewer (non quello lontano).*

vale il discorso che si ripete a tutti in questa sezione: inizia a fare scansioni secondo guida http://www.hwupgrade.it/forum/showthread.php?t=1599737 ;)

In particolar modo quasi ogni volta che lo riaccendo trovo data ed ora indietro di qualche giorno/ora (la batteria però e' completamente andata e funziona solo da attaccato alla presa - è un portatile)

inconcludente, 99,9% è colpa della batteria

Oppure è molto lento (ma il pc è molto vecchio. 2012. Mai stato formattato e fino a circa due anni fa, ci installavo di tutto).*

idem con l'aggravante di averci installato di tutto, ribadisco il consiglio delle scansioni secondo guida

Infine, molto raramente, in alto a sinistra compare come una finestra di trasferimento file, ma solo per una frazione di secondo. Tanto da non riuscire a leggere cosa c'è scritto.*

com'è fatta questa finestra di trasferimento files? ri-ribadisco il consiglio bla bla bla

Ho anche letto che un anno fa hanno forse rubato tutti i dati d'accesso degli utenti teamviewer. Il che mi ha ovviamente preoccupato.*

eh, l'ho letta anch'io, di solito quando si leggono queste cose la prima cosa che si fa è cambiare codici, ma tanto tu non ne usavi :)

Fatemi sapere se avete qualche idea. Scusate ancora per il messaggio estremamente lungo ma ho cercato di darvi più elementi possibili.*

hai fatto benissimo :mano:

intanto... beh, immagino che tu abbia capito cosa sto per consigliarti... :sofico:

ciao ciao

Ciao Aled. Grazie mille davvero per la pronta risposta. L'ho letta subito e mi sono tranquillizzato... almeno un po'. Purtroppo posso rispondere solo ora.

Sicuramente effetteuerò la scansione secondo guida.

La finestra di trasferimento è la classica finestrella di trasferimento file con cartellina marroncina e barra di completamento del trasferimento file. Compare in alto a sinistra sul desktop e dura una frazione di secondo - quindi non riesco a leggere di cosa si tratta. Ioltre è molto raro che accada (o forse me ne accorgo raramente).

Per le stringhe:

1) innanzi tutto, sono spesso ripetute a blocchi e avvengono nell'arco di un minuto o due. Pero' i blocchi si susseguono anche per diverso tempo (probabilmente per il periodo in cui il PC è acceso). Sembrano anche partire con l'avvio del PC.

2) Posso copiare e incollare le parti (che sembrano) rilevanti, ma sono molto lunghe. Altrimenti posso allegare direttamente il file? Se sì, ci sono info che devo cancellare prima di postarlo?

3) metto comunque un "breve" esempio qui sotto, che mi sembra il più sospetto (anche se in realtà cronologicamente è l'ultima serie di stringhe della sessione loggata, e a guardare la data sembra appartenere già alla sessione successiva - che viene poi loggata a parte più nel dettaglio). Premetto che continuo a non usare teamviewer. Quindi ogni attività o è automatica, o non è mia. infine, quando posso, lavoro offline.

Grazie!!

- dal log del pc controllante:

2017/05/27 21:15:31.509 5436 1876 G1!! NetWatchdog: Port 80 proxy search failed! No working setting found.
2017/05/27 21:15:40.052 5436 1876 G1!! NetWatchdog: Port 443 proxy search failed! No working setting found.
2017/05/27 21:15:40.055 5436 1876 G1!! HttpQueryInfoNum(19) failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.056 5436 1876 G1!! HttpQueryInfo(20) size failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! HttpQueryInfoNum(19) failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! HttpQueryInfo(20) size failed with error 12019, Errorcode=12019
2017/05/27 21:15:40.058 5436 1876 G1!! NetWatchdog: Port 80 proxy search failed! No working setting found.2017/05/27 21:15:47.849 5436 5604 G1 CMainWindow::InitCloseTV(): Prepare to close TeamViewer
2017/05/27 21:15:47.852 5436 5604 G1 Chat::Stop: Stopping chat
2017/05/27 21:15:47.853 5436 5604 G1 Chat::Stop: Cancelling of Start
2017/05/27 21:15:47.853 5436 2468 G1!! ChatRoomManagerLauncher::Factory[successCb]: IncomingChatCommandRegistration failed
2017/05/27 21:15:47.859 5436 5604 G1 CMainWindow::OnDestroy(): Closing TeamViewer
2017/05/27 21:15:47.939 5436 5604 G1 ~MachineHooks: refcount = 0
2017/05/27 21:15:47.940 5436 5604 G1 MachineHooks: Stopping Loaders!
2017/05/27 21:15:47.943 1856 2532 L64 Exit
2017/05/27 21:15:47.943 5720 6072 L32 Exit
2017/05/27 21:15:47.982 5436 6824 G1 CInterProcessNetwork: Received DisconnectIPC from processID 5436 (ProcessType: 2 in Session 1) with reason 1
2017/05/27 21:15:47.982 5436 6824 G1 Process 5436 in session 1 has terminated
2017/05/27 21:15:47.987 5436 6824 G1! InterProcessBase::EventFunctionInternal(): IPC-Connection Closed
2017/05/27 21:15:47.988 5436 6824 G1 CInterProcessNetwork::NewInterProcessDataAvailable(): ConnectionClosed session=1 ptype=2
2017/05/27 21:15:47.988 5436 1256 G1 TeamViewer is going offline!
2017/05/27 21:15:47.988 5436 1256 G1 Offline() StopListening.WT
2017/05/27 21:15:48.063 5436 1876 G1 KeepAliveThread ended
2017/05/27 21:15:48.072 5436 1256 G1 MainApp.Shutdown.GWS.Disconnect n=0
2017/05/27 21:15:48.072 5436 1256 G1 Offline() CT.Terminate
2017/05/27 21:15:48.073 5436 1256 G1 Offline() Shutdown.WT
2017/05/27 21:15:48.086 5436 5604 G1 SHMR: Destroying shared memory
2017/05/27 21:15:48.086 5436 6824 G1 CAcceptServer::HandleAccept: socket closed
2017/05/27 21:15:48.097 5436 5604 G1 interprocessbase::SecureNetwork destroyed
2017/05/30 00:44:19.961 1140 5072 G1 Logger started.
2017/05/30 00:44:25.741 1140 5072 G1 InterProcessBase::SecureNetwork created
2017/05/30 00:44:25.761 1140 5072 G1 Monitors: Generic PnP Monitor, \\.\DISPLAY1, 1366x768 (0,0), flags=3, dpi=96
2017/05/30 00:44:26.232 1140 5072 G1 CMain::LoadResourceDLLs(): No custom resource dll found
2017/05/30 00:44:26.240 1140 5072 G1! Service is installed but not running
2017/05/30 00:45:03.463 1140 5072 G1!! ElevateIfRequired() exception: ProcessWin::ElevateProcess(): ShellExecuteEx, Errorcode=1223, Errorcode=183
2017/05/30 00:45:03.499 1140 5072 G1 UpdateOnlineState newOnlineValue 0
2017/05/30 00:45:03.517 1140 5072 G1!! MachineSettings::LoadAll() Couldn't delete temp folder. exception: CStorageRegistry::DeleteKey(): RegDeleteKey failed, Errorcode=6, Errorcode=183
2017/05/30 00:45:03.815 1140 5072 G1!! QueryVPNRegKey: RegOpenKeyEx: SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\Properties, Errorcode=2
2017/05/30 00:45:03.984 1140 5072 G1 MachineHooks: Initialized Shm
2017/05/30 00:45:03.984 1140 5072 G1 MachineHooks: refcount = 1
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: x64 Machine detected
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: w32 Loader is starting
2017/05/30 00:45:03.985 1140 5072 G1 MachineHooks: x64 Loader is starting

Finisce così. Poi c'è log di sessione successiva (del 5/30 - che però comincia già nella sessione di log precedente, come mostrano le stringhe sopra).

Scusa di nuovo... mi sono dimenticato di scrivere una cosa importante, da cui sono nati tutti i dubbi.

360 total security ogni tanto mi dà il warning:

Registry protection - modifying certificate publisher

Program: cartella Temp\teamviewer\7.hta

Source C:\Windows\SysWOW64\mshta.exe

Target: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\... E poi una serie sterminata di numeri e lettere a gruppi, con un certo punto la parola "blob" tra parentesi quadre. ...succede quando chiudo Teamviewer (che mi parte per ora ancora in automatico con Windows)
..Per ora scelgo l'opzione blocca ogni volta che lo fa..

Proabilmente non vuol dire niente, ma volevo essere sicuro che non ci fosse un problema.
Scusa tanto l'ignoranza e il rompimento! ..E grazie mille!!!

guarda, io nel dubbio

1. rimuoverei teamviewer

2. farei tutta una serie di scansioni

se poi dovesse servirti nuovamente, reinstallerei TV utilizzando però il sistema delle password, ma mi pare di capire che sia già da un po' che non ti serve più :)

ciao ciao