Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* ExPlorer: connessioni sospette
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
goldeniko
Comune mortale
Comune mortale


Registrato: 03/10/05 13:10
Messaggi: 4

MessaggioInviato: 06 Gen 2006 18:53    Oggetto: * ExPlorer: connessioni sospette Rispondi citando

Salve Ragazzi,
è da tanto che seguo le vostre discussioni ma non ho mai postato.
Bene oggi penso che non ne potrò fare a meno.
Voglio farvi presente una strana cosa che ho notato con explorer in questi ultimi giorni.
Premetto che ho windows xp sp2.
Ecco il problema.
Explorer in questo periodo cerca di stabilire una connessione tcp 3386 verso un dominio dal nome "leggermente" preoccupante:
fbiserver.shacknet.nu Shocked con ip 87.0.189.104
Naturalmente il mio firewall rileva tutto questo riuscendo quindi a tenere bloccata la connessione.
Quello che vi chiedo è questo..sapete che cosa stà succedendo?
Mica l'Fbi mi stà pedinando?...Grazie petutte le indicazioni che saprete darmi
Top
Profilo Invia messaggio privato
tas
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 03/10/05 09:59
Messaggi: 166
Residenza: Profondo nord

MessaggioInviato: 06 Gen 2006 20:12    Oggetto: Rispondi citando

Molto probabilmente hai "preso" una di quelle schifezze che infestano internet, tipo un trojan oppure uno spyware. Scaricati questi software:

Spy-Bot
Ad-Aware
Ewido

I primi due sono free, il terzo è a pagamento (con 15 giorni di prova gratuita).

Funzionano tutti all'incirca allo stesso modo: installa, scarica gli aggiornamenti, esegui la scansione, elimina le schifezze.

Buona disinfestazione!
Top
Profilo Invia messaggio privato HomePage
kingofworms
Moderatore Internet e Telefonia
Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01
Messaggi: 1719

MessaggioInviato: 07 Gen 2006 00:13    Oggetto: Rispondi citando

Tas ha ragione. Quanto all'FBI, non mi preoccuperei. Un veloce whois segnala che l'indirizzo appartiene a Telecom Italia

Citazione:

% Information related to '87.0.0.0 - 87.31.255.255'

inetnum: 87.0.0.0 - 87.31.255.255
org: ORG-TIN1-RIPE
netname: IT-TIN-20050713
descr: Telecom Italia Net
descr: Provider Local Registry
country: IT
admin-c: LV357-RIPE
tech-c: ES785-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: TIWS-MNT
mnt-routes: INTERB-MNT
source: RIPE # Filtered

organisation: ORG-TIN1-RIPE
org-name: Telecom Italia Net

[...]

% Information related to '87.0.0.0/16AS3269'

route: 87.0.0.0/16
descr: INTERBUSINESS
origin: AS3269
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
source: RIPE # Filtered


E, naturalmente, benvenuto - o, meglio, ben palesato - all'Olimpo!
Top
Profilo Invia messaggio privato
goldeniko
Comune mortale
Comune mortale


Registrato: 03/10/05 13:10
Messaggi: 4

MessaggioInviato: 07 Gen 2006 00:22    Oggetto: infatti.. Rispondi citando

Anche io con visual route ho trovato questa "stranezza"...
Ho pensatp...va a vedere che in fondo la Telecom è l'FbI?..cose da pazzi..
RAgazzi io ho provato a disinfestare sia con s&d ed ad-aware ma niente continua a rompere...forse perchè parte con l'explorer che è l'esecutivo principale di Windows??.. Confused
Dico uno cavolata..non è che devo sostituire l'explorer.exe?
Embarassed

P.s. Grazie per l'interesse siete grandi!!! Very Happy
Top
Profilo Invia messaggio privato
kingofworms
Moderatore Internet e Telefonia
Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01
Messaggi: 1719

MessaggioInviato: 07 Gen 2006 00:37    Oggetto: Rispondi citando

Immagino tu abbia già provato con un antivirus (quale?). Puoi provare con un altro o fare una scansione da un servizio online.
Dico questo perché una ricerca in rete non ha dato molto, se non il sospetto che possa trattarsi di un trojan. Qualcuno si è trovato un eseguibile dal nome ngrt.exe responsabile del guaio. La cosa curiosa è che gli infetti (anche stranieri) scovati da google puntavano tutti a degli indirizzi italiani (telecom o libero).
Puoi inoltre fare un controllo di quali task sono in esecuzione e - per citare ioSOLOio che cita holifay - postare il log di Hijackthis.
Top
Profilo Invia messaggio privato
goldeniko
Comune mortale
Comune mortale


Registrato: 03/10/05 13:10
Messaggi: 4

MessaggioInviato: 07 Gen 2006 00:54    Oggetto: Proverò Rispondi citando

Stò facendo una ricerca per vedere se esiste l'exe che mi hai citato..come antivirus ho Avast penso non dovrei avere problemi...
Alaa fine non succede niente solo il "fastidio" di dover avere una connessione automatica indesiderata...
Poi magari ti farò sapere..ciao!!!
Top
Profilo Invia messaggio privato
goldeniko
Comune mortale
Comune mortale


Registrato: 03/10/05 13:10
Messaggi: 4

MessaggioInviato: 08 Gen 2006 12:10    Oggetto: Niente da fare!!! Rispondi citando

Ciao ragazzi aggiornamento connessioni sospette:

L'outpost continua a visualizzarmi la voglia matta di connettersi via tcp tramite explorer...forse è il firewall troppo sensibile o è l'explorer.exe che è infettato?

Buongiorno!!!
Top
Profilo Invia messaggio privato
kingofworms
Moderatore Internet e Telefonia
Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01
Messaggi: 1719

MessaggioInviato: 09 Gen 2006 02:00    Oggetto: Rispondi citando

Una connessione del genere non dovrebbe esistere. Io proverei anche con qualche altro antivirus e farei passare utility come adaware e compagnia, come indicato da Tas. Qualche suggerimento, poi, lo puoi trovare qui.
Top
Profilo Invia messaggio privato
tas
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 03/10/05 09:59
Messaggi: 166
Residenza: Profondo nord

MessaggioInviato: 09 Gen 2006 10:04    Oggetto: Rispondi

Alcune ultime "schifezze" usano tecniche sopraffine per nascondersi, tanto che:
  • l'anti-spyware non sembra rilevare nulla, è lentissimo nella scansione e a volte addirittura si blocca
  • l'elenco dei task in esecuzione non mostra nulla di anomalo
  • HiJackThis non dice nulla di strano
  • il file hosts è a posto
  • i dns non sembrano alterati


Ti consiglio di usare Ewido in modalità provvisoria per capire il tipo di spyware, dopodichè facci sapere l'esito.
Top
Profilo Invia messaggio privato HomePage
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi