Trädvy Permalänk
Medlem
Registrerad
Jun 2014

Blir min dator fjärrstyrd?

Av viss anledning började jag fundera på om någon fjärrstyr min dator. Jag vet att en person varit ensam i mitt hem och haft tillgång till min dator.
Jag kollade inställningarna för fjärrstyrning och de visade sig att fjärrstyrning va på. Googlade en del och under tiden kom det upp en symbol nere i aktivitetsfältet, där visades ett tangentbord men som nu är borta igen.
Fjärrstyrningen är nu avstängd, men kan jag se någonstans om min dator kopplats ihop med någon annans?
Vore mycket tacksam för svar

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Jul 2013

Det säkraste du kan göra är att formatera, om du gör det är du helt säker

Microalus ı Phenom II 1090T ı GTX 680 ı 970M Pro ı Corsair HX750 ı Corsair XMS3 8GB ı TX3 Evo ı Toshiba HDD

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003

Kontrollera om din brandvägg har öppna inkommande portar. Alternativet är självklart att installera om allt.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Dec 2012

Enklast vore trots allt om du kunde berätta vad det var som gjorde att du började misstänka fjärrstyrning. Då kan andra med eventuell erfarenhet lättare guida dig vidare.

Trädvy Permalänk
Medlem
Plats
192.168.0.1
Registrerad
Jul 2007
Skrivet av Wille1504:

Det säkraste du kan göra är att formatera, om du gör det är du helt säker

Men ge dig för sjutton.. Formatering är inte lösning till alla "problem".

ont: TS, menar du att någon I DITT HEM, fjärrstyrt din dator, eller någon på ett trådlöst nätverk, från någon annan plats i sverige eller t.om världen fjärrstyrt datorn?

Såvitt jag vet kan du bara använda windows inbyggda fjärrhjälp över nätverket och om du stänger av det manuellt är det av helt enkelt. Annars om det nu är någon från utsidan så bör du börja kolla efter virus och liknande.

6700k @ 4.8GHz . 16GB @ 2666MHz . x2 1070 @ 2150/4600
360+240 rad custom loop
Flickr 500px

Trädvy Permalänk
Medlem
Registrerad
Jun 2014

Personen som haft tillgång till min dator har alla sina enheter fjärrstyrda i sitt hem, när jag kom hem en dag såg jag att datorn va använd och va tvungen att titta vad som gjorts i den. Gick in i loggboken och va mycket som va konstigt de klockslagen personen haft tillgång. I loggboken fanns "meddelanden" som verkade konstiga, de stod bla om fjärrstyrning.
Kollade sedan loggen i brandväggen och strax efter jag kommit hem och personen lämnat mitt hem kom de upp långa rader med varningar där de stod att filer försökts att öppnats. Dessa varningar kom upp fler gånger vid tidpunkter då jag vet att denne person hade tillgång till sin dator. Dessa varningar finns inte någonstans tidigare i loggen innan denne satt vid min dator.
Stängde av funktionen fjärrstyrning som tydligen va på och sedan dess har de inte kommit upp mer.

Och svar till Solomon, jag tänker att den som satt vid min dator kopplat samman min dator till sin och ser vad jag gör :/

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Aug 2004
Skrivet av mars1987:

Personen som haft tillgång till min dator har alla sina enheter fjärrstyrda i sitt hem, när jag kom hem en dag såg jag att datorn va använd och va tvungen att titta vad som gjorts i den. Gick in i loggboken och va mycket som va konstigt de klockslagen personen haft tillgång. I loggboken fanns "meddelanden" som verkade konstiga, de stod bla om fjärrstyrning.
Kollade sedan loggen i brandväggen och strax efter jag kommit hem och personen lämnat mitt hem kom de upp långa rader med varningar där de stod att filer försökts att öppnats. Dessa varningar kom upp fler gånger vid tidpunkter då jag vet att denne person hade tillgång till sin dator. Dessa varningar finns inte någonstans tidigare i loggen innan denne satt vid min dator.
Stängde av funktionen fjärrstyrning som tydligen va på och sedan dess har de inte kommit upp mer.

Och svar till Solomon, jag tänker att den som satt vid min dator kopplat samman min dator till sin och ser vad jag gör :/

Använder personen Windows fjärrskrivbord för att komma åt din dator så kommer du bli utloggad, man kan bara vara 1 åt gången på datorn med windows inbyggda. Han kanske har installerat något annat fjärrstyrningsprogram som VNC?

Varför skulle denna person vilja ha tillgång till din dator?

• Corsair Obsidian 750D • i5 4670K @ 4.5 Ghz • Corsair H110 • Windforce GTX780 • Asus Maximus VI Hero
• Corsair 4x4gb (16GB) • Corsair RM750 • Samsung 840 250GB • Windows 10 Pro

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2009
Skrivet av CusmaR:

Använder personen Windows fjärrskrivbord för att komma åt din dator så kommer du bli utloggad, man kan bara vara 1 åt gången på datorn med windows inbyggda. Han kanske har installerat något annat fjärrstyrningsprogram som VNC?

Varför skulle denna person vilja ha tillgång till din dator?

Nej, det stämmer inte. En enkel registerändring så kan flera vara inloggade samtidigt.

7900x @ 4,7ghz - 1080ti @ 2100

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2002

Svartsjuk pojkvän eller? Angående tangentbordsikonen så tror jag den kan dyka upp i vissa andra fall utan att någon är fjärrinloggad, du kanske t ex kom åt snabbkommandot för att växla språk eller dylikt. Jag antar att du kollat efter program som installerats nyligen efter dennes besök? Låter oavsett ganska konstigt varför någon skulle vilja övervaka dig.

Skrivet av celoz:

Nej, det stämmer inte. En enkel registerändring så kan flera vara inloggade samtidigt.

Åfan? På samma konto till och med?

..:: trickeh2k ::.. https://youtube.com/c/trickeh2k Windows 10 Pro - i7 8700k (delid) @ 5Ghz - ASUS Prime Z370-A - 16GB G.Skill Trident Z DDR4 CL14 3000Mhz - Corsair AX860i - EVGA GTX 1080Ti FTW3 Hydrocopper - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/SteelSeries Sensei RAW Rubberized - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, 3TB Seagate Barracuda - ASUS Xonar DX - ASUS Strix 7.1 Gaming Headset - Corsair 750D - Custom water loop

Trädvy Permalänk
Medlem
Registrerad
Jun 2014
Skrivet av CusmaR:

Använder personen Windows fjärrskrivbord för att komma åt din dator så kommer du bli utloggad, man kan bara vara 1 åt gången på datorn med windows inbyggda. Han kanske har installerat något annat fjärrstyrningsprogram som VNC?

Varför skulle denna person vilja ha tillgång till din dator?

Personen är nyfiken och verkar vara som besatt av att ha koll.
Förstår inte varför det visades ett tangentbord i aktivitetsfältet under ca en minut, datorn fungerade att använda som vanligt under tiden.

Försökte kolla netstat -b men det står att den begärda åtgärden kräver privilegiehöjning?

Trädvy Permalänk
Medlem
Registrerad
Jun 2014
Skrivet av trickysaer:

Svartsjuk pojkvän eller? Angående tangentbordsikonen så tror jag den kan dyka upp i vissa andra fall utan att någon är fjärrinloggad, du kanske t ex kom åt snabbkommandot för att växla språk eller dylikt. Jag antar att du kollat efter program som installerats nyligen efter dennes besök? Låter oavsett ganska konstigt varför någon skulle vilja övervaka dig.

Åfan? På samma konto till och med?

Vet att personen kollar i mobilen så fort tillfälle finns och verkar vilja ha koll till 100. Vet att denne har tillgång till andras datorer för att hjälpa till med support osv och kan ta sig in via både mobil och dator.
Har försökt kolla allt efter installerade program men vet inte om jag kollat på rätt ställe :/
Inställningar i virusprogrammet blev även uppdaterade den dag och tid denna satt vid datorn, men jag kan inte se inställningar som ändrats.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Aug 2004
Skrivet av celoz:

Nej, det stämmer inte. En enkel registerändring så kan flera vara inloggade samtidigt.

Jasså? jag har sökt efter en sådan lösning för att använda på arbetet då vi använder varandras datorer med fjärrskrivbord men bara hittat svar att det inte var möjligt utan då får man använda sig av något annat.

• Corsair Obsidian 750D • i5 4670K @ 4.5 Ghz • Corsair H110 • Windforce GTX780 • Asus Maximus VI Hero
• Corsair 4x4gb (16GB) • Corsair RM750 • Samsung 840 250GB • Windows 10 Pro

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Maj 2008
Skrivet av CusmaR:

Jasså? jag har sökt efter en sådan lösning för att använda på arbetet då vi använder varandras datorer med fjärrskrivbord men bara hittat svar att det inte var möjligt utan då får man använda sig av något annat.

En lösning kan ju vara att patcha Termsrv.dll, så går det att logga in flera samtidigt. Har dock inte testat om det går att vara inloggad på samma användare.

Länk om de finns intresse iallafall. http://windows7themes.net/en-us/termsrv-dll-patch-for-windows...

Imac 27" Retina 5k | 3x Dell P2715Q | Intel i7- 3820 @ 4.3 Ghz | Asus P9X79 DELUXE| G.Skill 24GB | Corsair HX 850W | EVGA GTX 1080 TI SLI | EVGA GTX 460 | Fractal Design Define R4 | Vortex POK3R RGB MX Nature White | W 10 Pro 64-bit | Arch Linux

Trädvy Permalänk
Medlem
Plats
Skivarp
Registrerad
Aug 2011

Öppna Eventviewer och klicka Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager -> Operational. Där kan du se RDP anslutningar och vilka IP de kommer ifrån.

Trädvy Permalänk
Medlem
Plats
Halmstad
Registrerad
Okt 2011
Skrivet av mars1987:

Personen är nyfiken och verkar vara som besatt av att ha koll.
Förstår inte varför det visades ett tangentbord i aktivitetsfältet under ca en minut, datorn fungerade att använda som vanligt under tiden.

Försökte kolla netstat -b men det står att den begärda åtgärden kräver privilegiehöjning?

Är du inte administratör på din egen dator? Annars handlar det om att du måste köra kommandoprompten som administratör (d.v.s. högerklicka och välj Kör som administratör).

Som en annan påpekade längre upp i tråden så kan endast en person vara inloggad med RDP (på samma konto) så enda sättet att han skulle kunna köra RDP samtidigt som du är inloggad är genom att skapa ett nytt konto på din dator, kan vara en idé att kolla igenom dina lokala användarkonton.

Rolig signatur

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2009
Skrivet av Ewelyn:

En lösning kan ju vara att patcha Termsrv.dll, så går det att logga in flera samtidigt. Har dock inte testat om det går att vara inloggad på samma användare.

Länk om de finns intresse iallafall. http://windows7themes.net/en-us/termsrv-dll-patch-for-windows...

Just det, patcha dll filen måste man göra, inte gjort det på ett tag.

7900x @ 4,7ghz - 1080ti @ 2100

Trädvy Permalänk
Medlem
Registrerad
Jun 2014

Jag har försökt göra som ni skriver men är svårt att göra för jag är inte så kunnig på datorer. Men jag är säker på att de är som jag trodde. Igår i brandväggens logg stod med "ansluten till ett delat nätverk" och jag vet att han då va vid sin dator.
Nu gick jag in och kollade "visa dolda mappar och filer" och "Delat skrivbord" kom då upp i halvskugga "senast ändrat" den dag han hade min dator och någonting inne i virusprogrammet är ändrat den dagen och tiden.
Stängde av fjärranslutning i förrgår och mitt närverk blev dela igår, vad ska jag göra för att få bort den här sk'ten?

Trädvy Permalänk
Medlem
Registrerad
Jun 2014

När jag kollar egenskaper i virusprogrammet finns det 5 "användare"
system
en med mitt namn (som jag antagligen alltid använder)
administratör (med ett rött kryss bredvid loggan)
administratörer
interaktiv

Där står vilka behörigheter som användarna har. Var går jag in i dator för att se alla användare, kanske kan se om någon ny skapades den dagen?

Trädvy Permalänk
Medlem
Registrerad
Aug 2012
Skrivet av mars1987:

När jag kollar egenskaper i virusprogrammet finns det 5 "användare"
system
en med mitt namn (som jag antagligen alltid använder)
administratör (med ett rött kryss bredvid loggan)
administratörer
interaktiv

Där står vilka behörigheter som användarna har. Var går jag in i dator för att se alla användare, kanske kan se om någon ny skapades den dagen?

Kontrollpanelen, användare

Gör en ipconfig -all i kommandotolken och klistra in resultatet här. Får vi ses om du har koppling mot andra nätverk/VPN koppling

Trädvy Permalänk
Medlem
Plats
Registrerad
Feb 2006
Skrivet av solomon:

Men ge dig för sjutton.. Formatering är inte lösning till alla "problem".

Vilken lösning förslår du då som garanterar att ingen dold/semi-dold fjärrstyrnings/övervakningsfunktion är installerad på TS dator?

Raid is not backup

Trädvy Permalänk
Medlem
Registrerad
Jun 2014
Skrivet av dabman:

Kontrollpanelen, användare

Gör en ipconfig -all i kommandotolken och klistra in resultatet här. Får vi ses om du har koppling mot andra nätverk/VPN koppling

Jag har fått upp ipconfig men jag lyckas inte att kopiera texten

Trädvy Permalänk
Medlem
Plats
El Skunko
Registrerad
Dec 2007
Skrivet av mars1987:

Jag har fått upp ipconfig men jag lyckas inte att kopiera texten

Högerklicka i fönstert och välj "Mark" sen markerar du bara och högerklickar på markeringen, sen har du det i "clipboard" och kan klistra in det var du vill.

/Peter

Trädvy Permalänk
Medlem
Registrerad
Jun 2014
Skrivet av Pete_79:

Högerklicka i fönstert och välj "Mark" sen markerar du bara och högerklickar på markeringen, sen har du det i "clipboard" och kan klistra in det var du vill.

/Peter

Tack, det funkade

Dabman, jag har pmat dig, vet inte om de va det rätt så ja våga inte lägga upp de direkt i tråden

Trädvy Permalänk
Medlem
Registrerad
Jan 2003

Formatera löser inte problemet om personen har installerat dold partition som inte syns
'de finns sätt att göra så man inte ser den dolda partitionen på några sätt'

Har en kund som vill övervaka de anställda för att förhindra företagsspionage
så de går både dölja installation av såna program och dölja
i själva trafiken också

Ny hårddisk är en lösning

Vid hantering av esd känsligt utr skall esd skydd användas som är monterad i själva hårdvaran. med handledsrem monterad i hårdvara /esd matta. De räcker inte att ta i ett element då har man inte fattat nåt !

Trädvy Permalänk
Avstängd
Plats
Malmö
Registrerad
Feb 2006
Skrivet av FoxOne:

Vilken lösning förslår du då som garanterar att ingen dold/semi-dold fjärrstyrnings/övervakningsfunktion är installerad på TS dator?

Lista alla program och tjänster som körs exempelvis, samt vilka portar som är öppna.

Trädvy Permalänk
Medlem
Plats
Östergötland
Registrerad
Apr 2012
Skrivet av sorce:

Formatera löser inte problemet om personen har installerat dold partition som inte syns
'de finns sätt att göra så man inte ser den dolda partitionen på några sätt'

Låter intressant, förklara gärna hur man sedan når och kan exekvera något från den dolda partitionen utan fysisk tillgång till datorn? Vid en omformatering försvinner ju eventuella tjänster/program som dels övervakar eller ansluter till den dolda partitionen. Det här var nytt för mig så jag vill gärna förstå hur det hänger ihop

Trädvy Permalänk
Medlem
Plats
Lilla Edet
Registrerad
Aug 2004
Skrivet av sorce:

Formatera löser inte problemet om personen har installerat dold partition som inte syns
'de finns sätt att göra så man inte ser den dolda partitionen på några sätt'

Har en kund som vill övervaka de anställda för att förhindra företagsspionage
så de går både dölja installation av såna program och dölja
i själva trafiken också

Ny hårddisk är en lösning

Skrivet av ClubT:

Låter intressant, förklara gärna hur man sedan når och kan exekvera något från den dolda partitionen utan fysisk tillgång till datorn? Vid en omformatering försvinner ju eventuella tjänster/program som dels övervakar eller ansluter till den dolda partitionen. Det här var nytt för mig så jag vill gärna förstå hur det hänger ihop

Har svårt att tro att en "dd" skulle råka missa en sådan partition.
Jag förespråkar också en ominstallation. Det finns en anledning till varför det finns enorma botnets. Malware etc är inte direkt gjorda för att vara uppenbart synliga.

WS: Asus P8Z77-I Deluxe mITX | Intel 3770K@4.6 | NH-U12P | Asus 780 GTX | Corsair 2x8GB 1600Mhz CL9 | Samsung 840 512GB | Ubuntu 16.04.3 x86_64 | Corsair AX750 | 2x Dell U2412M | Puppe.se | NAS: i7 860, 16GB DDR3, GA-P55M-UD4, FD Define R3, 8x2TB Samsung F4EG, Serveraid M1015, EVGA 750W G2 PSU, FreeBSD x64

Trädvy Permalänk
Medlem
Plats
Registrerad
Feb 2006
Skrivet av Killbom:

Lista alla program och tjänster som körs exempelvis, samt vilka portar som är öppna.

Och om mjukvara är så inpiskat lömsk att den använder sig av svchost eller tom en kapad instans av en annan process eller bara ett processnamn som liknar en annan process?
Om en port som normalt är öppen, ta tex 135 eller 445, tas över eller om den tjänsten som normalt svarar på den porten patchas för att svara på en knackning utifrån och sen öppna en valfri annan port för fjärrstyrning?

Idén är att en formatering/partitionsradering plockar bort det som man möjligen skulle kunna hitta mha en manuell inspektion. Vidare, om det nu är så att en lösning som finns kvar trots partitionsradering, (dock har jag väldigt svårt att inse hur det skulle genomföras), så kommer du garanterat inte att hitta det med manuell inspektion. Samt att tro att det är möjligt att genomföra en fullgod inspektion via ett forum med instruktioner till TS är närmast löjeväckande.

Raid is not backup

Trädvy Permalänk
Avstängd
Plats
Malmö
Registrerad
Feb 2006
Skrivet av FoxOne:

Och om mjukvara är så inpiskat lömsk att den använder sig av svchost eller tom en kapad instans av en annan process eller bara ett processnamn som liknar en annan process?
Om en port som normalt är öppen, ta tex 135 eller 445, tas över eller om den tjänsten som normalt svarar på den porten patchas för att svara på en knackning utifrån och sen öppna en valfri annan port för fjärrstyrning?

Idén är att en formatering/partitionsradering plockar bort det som man möjligen skulle kunna hitta mha en manuell inspektion. Vidare, om det nu är så att en lösning som finns kvar trots partitionsradering, (dock har jag väldigt svårt att inse hur det skulle genomföras), så kommer du garanterat inte att hitta det med manuell inspektion. Samt att tro att det är möjligt att genomföra en fullgod inspektion via ett forum med instruktioner till TS är närmast löjeväckande.

Du får ju även anta att om "hackern" som installerat program på TS dator är så elak har han nog lagt viruset i hårddiskens frimware, BIOS eller på något annat ställe. Troligtvis är inte det fallet och det kommer vara mycket enkelt att undersöka om det finns något program installerat som kommer kunna spionera på TS. Troligtvis är radmin installerat eller så är fjärrhjälp påslaget.

Det säkraste är helt enkelt att köpa ny dator efter att någon man inte känner använt den.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av mars1987:

Personen som haft tillgång till min dator har alla sina enheter fjärrstyrda i sitt hem, när jag kom hem en dag såg jag att datorn va använd och va tvungen att titta vad som gjorts i den. Gick in i loggboken och va mycket som va konstigt de klockslagen personen haft tillgång. I loggboken fanns "meddelanden" som verkade konstiga, de stod bla om fjärrstyrning.
Kollade sedan loggen i brandväggen och strax efter jag kommit hem och personen lämnat mitt hem kom de upp långa rader med varningar där de stod att filer försökts att öppnats. Dessa varningar kom upp fler gånger vid tidpunkter då jag vet att denne person hade tillgång till sin dator. Dessa varningar finns inte någonstans tidigare i loggen innan denne satt vid min dator.
Stängde av funktionen fjärrstyrning som tydligen va på och sedan dess har de inte kommit upp mer.

Och svar till Solomon, jag tänker att den som satt vid min dator kopplat samman min dator till sin och ser vad jag gör :/

Truecrypt

Kör inte alla det på windowsburkar?

ett gäng p4:or, nån gammal amd duo, c2duo, core2, gammelquad, i5 bärbar, 4770k, 4820k, rog, tuf, massa fläktlösa gpuer, ett gäng seasonic fläktlösa platinum/gold, ram i alla varianter och storlekar, noctuor som kylare, uteslutande nexusfläktar, ett gäng crapskärmar jag fått gratis, esi julia pci/pci-e, ni ak1, wd black så långt det går. jettegrym steerio med jettemycket bas och jettegrymma hörlurar. har även en eizo crt från framtiden