Компютърът ми подлежи на атаки - windows user password !?

[striking]

Имам наистина сериозен проблем, който е следният. Някой (най-вероятно от моя блок, защото има IT "специалисти") се изявава като хакер и за втори път получавам парола на windows-a (и под safemode също). Оправям си проблема като давам windows repair, но днес ми се случи за втори път и започна да става дразнещо вече. Излязох за 10мин, прибирам се и какво да видя, променена резолюция на дисплея (смален екран) и имам парола на user-a. Направих същото както и предният път и си я махнах, но въпроса не е там. Имам антивирусна BitDefender 2010, (първият път нямах антивирусна, защото тъкмо бях направил преинсталация), след като сложих антивирусната, firewall-a засече на няколко пъти IP port scan и съответно блокира "атаката". Направих 2 пъти screenshot-ове, ,защото беше от различни IP-та. Молбата ми е, има ли някой от форума, който има желание да ми помогне. Как можете да ми помогнете, ами незнам. Може би windows съдържа някакви по-специфични log-ове или нещо друго. Не разбирам, за това моля за помощ.
EDIT: Така и най-интересното е, че докато се опитвам да си напиша поста във форума, лаптопа изпищя и тръгна да угасва (черен екран.... след което веднага дърпам интернета, появява се картина, влизам в user-a си и имаше отворен notepad и още нещо!) Пуснал съм virus scan (като съм почти сигурен, че нямам такъв, защото първият път като ми се случи, си бях преинсталирал лаптопа преди няколко дена и буквално не бях влизал почти никъде!) Сложих firewall-a на антивирусната на предпоследно ниво и вмомента ме побърка с "Alert-и" за почти всеки един опит да се свържа или получа пакети от някъде...
System information: Windows 7 Ultimate 64bit
Ако е нужна някаква информация за да ми помогнете, само кажете каква и ще ви я предоставя, но много държа да разбера от къде идат атаките.
Аз съм в София и ползвам интернет на Мегалан, чрез wireless рутер. Това най-вероятно има значение, за това го споменавам.
Наистина ще съм безкрайно благодарен, ако някой отдели от своето време и ми помогне да разбера от къде идат атаките и как да се защитя.

[FearMe]

сложи един ZoneAlarm и си свирукай (ако нещата са така, както си ги описал де )

[striking]

Ами да описал съм ги точно така, както са. Но имам голямото желание да разбера кой се опитва да си прави гъргара с мен Ако на теб ти правят такива номера (което най-вероятно няма как да стане) не би ли искал да разбереш кой е този така любезен "haker". (Мразя я тази дума вече, но незнам как да ги оприличавам подобни хора.) Намерил сигурно някой скрипт, има някакво елементарно понятие от това и онова, и "глей ся кво мога". Наистина, помогнете ми да разбера от къде идва атаката. Трябва ми IP, аз после ще отида до мегалан и ще намеря кой е "хакера".

[XIIID]

А да си оставил случайно Remote desktop / Remote assistance разрешени? И понижи правата на акаунта, забрани guest-a, спри remote registry услугата, тури парола на админа, такива ми ти работи...

[striking]

А да си оставил случайно Remote desktop / Remote assistance разрешени? И понижи правата на акаунта, забрани guest-a, спри remote registry услугата, тури парола на админа, такива ми ти работи...

спрях remote control=a, guest-a е off, само не разбирам какъв е този remote registry и къде се намира и за какво служи... леко пояснение би било полезно. Имам и няккакъв друг user, който се казва ASP.NET Machine Account ( standard user with password) незнам за какво служи, сигурно е системен. Но при remote control не е ли като при TeamViewer примерно, да виждаш, че някой е влязъл.
А някой знае ли къде мога да намеря логове за някакви "влизания" в системата...

[XIIID]

абе remote registry service си е услуга (service), даже таск-мениджърът на 7цата си ги показваше кои услуги работят (по спомени), иначе контролът им - през run -> services.msc както и в XP предполагам. но не е толкова страшна, нито е най-достъпния метод за нахлуване, особено от кварталния хакер.

(не съм ползвал remote desktop, но заподозрях, че именно при него "почернява" екрана). въобще, признавам си, че вече навлизам в зоната на догадките, пък логове за достъп къде се пазят никога не съм и търсил, аз и с един event viewer не се оправям като хората (потърси и там), абе нека помогне някой по-знаещ.

а изобщо е здравословна практика да сложиш собствени пароли на всички потребители, както и да не ползваш постоянно административен акаунт. виж и в local security policy изключи от раздадените права разните му екзотични акаунти с имена като support едикойси, гости и прочие. успех в борбата с дразнителя!

[ru-boy]

Ами да описал съм ги точно така, както са. Но имам голямото желание да разбера кой се опитва да си прави гъргара с мен Ако на теб ти правят такива номера (което най-вероятно няма как да стане) не би ли искал да разбереш кой е този така любезен "haker". (Мразя я тази дума вече, но незнам как да ги оприличавам подобни хора.) Намерил сигурно някой скрипт, има някакво елементарно понятие от това и онова, и "глей ся кво мога". Наистина, помогнете ми да разбера от къде идва атаката. Трябва ми IP, аз после ще отида до мегалан и ще намеря кой е "хакера".

Тази антивирусна дето я ползваш според мен е съмнителна, какво имам предвид, провери дали е читава, да не си я свалял от някой руски сайт (в което съм 65% сигурен) дали любезните руснаци не са пришили вирус и/или троянец, често срещана ситуация. Сложи си една безплатна антивисуна програма на първо време, примерно Аваст или каквато си харесаш друга, но да е от сайта на производителя свалена. Начина на възстановяване на системата ти ме навежда на мисълта, че ако имаш вирус и/или троян то възстановяваш и него това е 100% сигурно при твоята ситуация. При вирусите, троянците и другите производни буболечи е важно правилото, че който се зареди първи, командва парада, или ако бубилечка се зареди преди огнената стена и/или антивируса, после откриването е малко по трудно. Махни излишните неща от протоколите на мрежовата карта, махни всички ремоте истории, спри възстановяването на системата, ако не те мързи сканирай за вируси с он-лайн скенер на реномиран производител на антивирус. И си припони защо има много видове акаунти, не бачкай с администраторски акаунт ежедневната работа а с ограничен, администраторския е за друго, да не обяснявам в момента. Атаките по ИП, които си засякал доста често са измислени от защитната стена, тя е параноична особенно, ако е от трети производител. Има много вируси които се разхождат в мребата и търсят отворени портове и незащитени компютри и това се отчита, като атака от някой, който дори не знае, че компа му е заразен. Така и да имаш ИП то на някой, което не вярвам доставчика на нета да ти го даде, какво от това? Мисълта ми е, че ти искаш да се саморазправяш с някой, който не е сигурно дали е съпречастен към проблема ти, за който според мен сам си си виновен, но, разбира се, друго си е да има друг виновен. ;-)))))

[DLT]

Принципно, аз рядко пиша, но днес съм в добро настроение - така както описваш нещата при теб ми се струват малко като разграден двор. Ако този който те атакува знае какво прави, ще му разбереш IP то ама другият път (особено ако е в твоят мрежови сегмент). Принципно това което ти казва Good of War за паразитите е вярно, но само от финдаментална гледна точка. Ако махнем на страна сухата теория можем да кажем, че паразита обикновенно печели освен ако не е стар. Причините за това са много, но не искам да повдигам завесата толкова много. С Windows 7 не съм работил (за мен Vista е смотан Windows) но при всички Windows-и до преди него при Remote desktop-а не се затъмнява екрана и не се вижда какво се прави от локалният потребител. Мога само да ти дам най-общи съвети как да се защитиш, но не и как да разбереш кой те атакува, защото със втората задача няма да се справиш - личи си от това което си написал. Това което са ти казали е вярно - спри Remote desktop, Remote assistance Спри и Server. Firewall-a на Windows е по-добре от нищо, но само от нищо, иначе е трагикомичен. ZoneAlarm-a е добро решение - има и по-добри огнени стени от него, но за обикновен потребител е добър. Ако имаш пуснат file and print sharing спри го. Забрани всички account-и освен тези които ползваш. Ако администраторският ти account е със Default-ният си Username смени го. Сложи си дълга парола - 10 символа и нагоре и нека не са смислени думи. Да включва малки главни букви, цифри, и поне един друг символ. Wireless-а е много несигурен. НЕ ползвай еднаква парола навсякъде. Особено в wireless рутера си и като администратор. Сканирай си портовете примерно с nmap и виж какво ти казва. След като си с мобилна щайга това ще е лесно. Ако не можеш да се оправиш пиши какво е открил. Дори и след това имай едно на ум. Щом веднъж е влязъл сигурно има нещо на машината ти което да го улесни ако пак реши да идва.

[Mr.TECHNO]

Нека го кажа по друг начин
Ако не е активиран RDC-то в терминален режим , ще влезеш в компа без да те усетя ама друг път.
Най-лесно
намери как се сменя порта за RDC ( Remote Desktop Conection ) default е 3389 , направи го 9854( примерно) и да ги видим тия хакери после. Отделно махането на самата отметка за разрешаване на Remote Desktop затваря порта за комуникация и не можеш да влезеш в компа. ( по начина описан от мен освен порта трябва да знаят и акаунта за вход , който вече няма да е console ! )
Всичко описано ми намирисва на вирусче и то не елементарно.

ПП
admin акаунта на WIN 7 е по default неактивен, и ако не е пуснат- не може да го активираш от вън .

[emos]

Не ми стана ясно защо всички забихте към Remote Desktop COnnection - при всички версии на Windows при него няма затъмняване (каквото и да означава това), а просто смяна на екрана като при Switch User.
"лаптопа изпищя и тръгна да угасва (черен екран.... след което веднага дърпам интернета, появява се картина, влизам в user-a си и имаше отворен notepad и още нещо!" - това го виждам като подготовка за sleep режим.
От времето на Sasser насам осъзнах важността на ъпдейтите на операционната система. Вярно е, че става като параграф 22, ако ги нямаш локално, но какво да се прави... Slipstream дистрибуциите по тракерите, обновени допреди няколко седици изглеждат решение на проблема, но друго е да се работи с имиджи на MSDN.
Аз залагам на инсталация на такава "обновена" 7-ца, на работа с акаунт с администраторски права, неактивирана опция за Ctrl+Alt+Del за логване и на незащитена като хората безжична мрежа. За тези предположения обаче няма инфо, така, че си остават предположения...

...С Windows 7 не съм работил (за мен Vista е смотан Windows)....
Firewall-a на Windows е по-добре от нищо, но само от нищо, иначе е трагикомичен.

От първото изречение излиза, че си запознат само до Vista, и явно коментираш еднопосочния firewall на XP?!?

[DLT]

От първото изречение излиза, че си запознат само до Vista, и явно коментираш еднопосочния firewall на XP?!?

На практика да. Освен това Vista i 7 практически ги разглеждам като 1 защото 7 е просто една подверсия на Vista. Аз не съм се хвърлил на RDC просто изредих няколко неща които е добре да направи за да стане малко по-добре положението. Лично аз не смея да гадая - според мен има най-малко 5 основни сценария от това което човека беше написъл и огромен брой на възможни надградени атаки които биха могли да се използват - лично според мен дори и с мерките които споменах остава възможност за ефективна атака, но за целта вече отиваме на много по-високо ниво хакер. Поне така ще отсеем скрипт киди от хакер и е едно добро начало. Аааа и да не забравя - вирусите са програми които вмъкват собствено копие или модифицират други програми така, че последните да се държат като вируси. Знам, че напоследък червей, вирус, спайуер и какво ли не за хората е все едно, ама за мен не е и е обидно. Да напише червей може всеки малоумник който има подръка компютър, па речем делфи и елементарни познания. За кадърно написан компютърен вирус или троянец трябва много повече - добри познания на компютъра, време, Асемблер (или поне C за по-некадърните) и някакви познания за архитектура на ОС.

[ru-boy]

Има си програми за одит на сигурността. Дори има он-лайн такива, сещам се за поне три, които са на ниво.
Не всеки дори и напреднал потребител разбира от компютри и думата порт не му говори нищо, или му говори нещо, но не знае и не е сигурен точно какво. А програмирането пък е съвсем друга история, забелязал съм, че който разбира от програмиране, не разбира от компютри, ама това си е частно мнение.
За защита на компютър с ОС от ХР нагоре е достатъчно да се махнат2-4 отметки и толкова плюс надеждни пароли, нищо повече!

Другото е параноя.

Не са нужни магии, заклинания и сложен софтуер с много и неразгадаеми опции.

[Mr.TECHNO]

аз нещо по-различно ли казах ?

[DLT]

Има си програми за одит на сигурността. Дори има он-лайн такива, сещам се за поне три, които са на ниво.
Не всеки дори и напреднал потребител разбира от компютри и думата порт не му говори нищо, или му говори нещо, но не знае и не е сигурен точно какво. А програмирането пък е съвсем друга история, забелязал съм, че който разбира от програмиране, не разбира от компютри, ама това си е частно мнение.
За защита на компютър с ОС от ХР нагоре е достатъчно да се махнат2-4 отметки и толкова плюс надеждни пароли, нищо повече!

Другото е параноя.

Не са нужни магии, заклинания и сложен софтуер с много и неразгадаеми опции.

Good of War не съм съгласен с теб. 2-4 отметки ще ти гарантират известна защита, но само толкова. Тук не става дума за параноя, а познаване на компютрите. Програмите за одит на сигурнуста особено онлайн такива пък са тотален майтап. А това да кажеш, че програмистите не разбират от компютри е все едно да кажеш, че пилотите не разбират от летене. Да не забравяме, че операционната система коята палзваш е писана от програмисти, а се съмнявам някой "разбирач на компютри" който не програмира да разбира и 1 стотна от това което става под GUI-то. Съвсем друг е въпроса, че повечето програмисти пишат само на езици от високо ниво и те наистина не разбират от компютри. Да не говорим, че за мен човек който може само да пише на PHP или Delphi или смята че AJAX е върха за мен НЕ е програмист, а в най-добрият случай драскач.

[ru-boy]

Good of War не съм съгласен с теб. 2-4 отметки ще ти гарантират известна защита, но само толкова. Тук не става дума за параноя, а познаване на компютрите. Програмите за одит на сигурнуста особено онлайн такива пък са тотален майтап. А това да кажеш, че програмистите не разбират от компютри е все едно да кажеш, че пилотите не разбират от летене. Да не забравяме, че операционната система коята палзваш е писана от програмисти, а се съмнявам някой "разбирач на компютри" който не програмира да разбира и 1 стотна от това което става под GUI-то. Съвсем друг е въпроса, че повечето програмисти пишат само на езици от високо ниво и те наистина не разбират от компютри. Да не говорим, че за мен човек който може само да пише на PHP или Delphi или смята че AJAX е върха за мен НЕ е програмист, а в най-добрият случай драскач.

Не го приемай буквално, има и известна доза шега в изказването ми.