Precedente :: Successivo |
Autore |
Messaggio |
goldeniko Comune mortale

Registrato: 03/10/05 13:10 Messaggi: 4
|
Inviato: 06 Gen 2006 18:53 Oggetto: * ExPlorer: connessioni sospette |
|
|
Salve Ragazzi,
è da tanto che seguo le vostre discussioni ma non ho mai postato.
Bene oggi penso che non ne potrò fare a meno.
Voglio farvi presente una strana cosa che ho notato con explorer in questi ultimi giorni.
Premetto che ho windows xp sp2.
Ecco il problema.
Explorer in questo periodo cerca di stabilire una connessione tcp 3386 verso un dominio dal nome "leggermente" preoccupante:
fbiserver.shacknet.nu con ip 87.0.189.104
Naturalmente il mio firewall rileva tutto questo riuscendo quindi a tenere bloccata la connessione.
Quello che vi chiedo è questo..sapete che cosa stà succedendo?
Mica l'Fbi mi stà pedinando?...Grazie petutte le indicazioni che saprete darmi |
|
Top |
|
 |
tas Eroe in grazia degli dei


Registrato: 03/10/05 09:59 Messaggi: 166 Residenza: Profondo nord
|
Inviato: 06 Gen 2006 20:12 Oggetto: |
|
|
Molto probabilmente hai "preso" una di quelle schifezze che infestano internet, tipo un trojan oppure uno spyware. Scaricati questi software:
Spy-Bot
Ad-Aware
Ewido
I primi due sono free, il terzo è a pagamento (con 15 giorni di prova gratuita).
Funzionano tutti all'incirca allo stesso modo: installa, scarica gli aggiornamenti, esegui la scansione, elimina le schifezze.
Buona disinfestazione! |
|
Top |
|
 |
kingofworms Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01 Messaggi: 1719
|
Inviato: 07 Gen 2006 00:13 Oggetto: |
|
|
Tas ha ragione. Quanto all'FBI, non mi preoccuperei. Un veloce whois segnala che l'indirizzo appartiene a Telecom Italia
Citazione: |
% Information related to '87.0.0.0 - 87.31.255.255'
inetnum: 87.0.0.0 - 87.31.255.255
org: ORG-TIN1-RIPE
netname: IT-TIN-20050713
descr: Telecom Italia Net
descr: Provider Local Registry
country: IT
admin-c: LV357-RIPE
tech-c: ES785-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: TIWS-MNT
mnt-routes: INTERB-MNT
source: RIPE # Filtered
organisation: ORG-TIN1-RIPE
org-name: Telecom Italia Net
[...]
% Information related to '87.0.0.0/16AS3269'
route: 87.0.0.0/16
descr: INTERBUSINESS
origin: AS3269
mnt-by: TIWS-MNT
mnt-routes: INTERB-MNT
source: RIPE # Filtered
|
E, naturalmente, benvenuto - o, meglio, ben palesato - all'Olimpo! |
|
Top |
|
 |
goldeniko Comune mortale

Registrato: 03/10/05 13:10 Messaggi: 4
|
Inviato: 07 Gen 2006 00:22 Oggetto: infatti.. |
|
|
Anche io con visual route ho trovato questa "stranezza"...
Ho pensatp...va a vedere che in fondo la Telecom è l'FbI?..cose da pazzi..
RAgazzi io ho provato a disinfestare sia con s&d ed ad-aware ma niente continua a rompere...forse perchè parte con l'explorer che è l'esecutivo principale di Windows??..
Dico uno cavolata..non è che devo sostituire l'explorer.exe?
P.s. Grazie per l'interesse siete grandi!!!  |
|
Top |
|
 |
kingofworms Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01 Messaggi: 1719
|
Inviato: 07 Gen 2006 00:37 Oggetto: |
|
|
Immagino tu abbia già provato con un antivirus (quale?). Puoi provare con un altro o fare una scansione da un servizio online.
Dico questo perché una ricerca in rete non ha dato molto, se non il sospetto che possa trattarsi di un trojan. Qualcuno si è trovato un eseguibile dal nome ngrt.exe responsabile del guaio. La cosa curiosa è che gli infetti (anche stranieri) scovati da google puntavano tutti a degli indirizzi italiani (telecom o libero).
Puoi inoltre fare un controllo di quali task sono in esecuzione e - per citare ioSOLOio che cita holifay - postare il log di Hijackthis. |
|
Top |
|
 |
goldeniko Comune mortale

Registrato: 03/10/05 13:10 Messaggi: 4
|
Inviato: 07 Gen 2006 00:54 Oggetto: Proverò |
|
|
Stò facendo una ricerca per vedere se esiste l'exe che mi hai citato..come antivirus ho Avast penso non dovrei avere problemi...
Alaa fine non succede niente solo il "fastidio" di dover avere una connessione automatica indesiderata...
Poi magari ti farò sapere..ciao!!! |
|
Top |
|
 |
goldeniko Comune mortale

Registrato: 03/10/05 13:10 Messaggi: 4
|
Inviato: 08 Gen 2006 12:10 Oggetto: Niente da fare!!! |
|
|
Ciao ragazzi aggiornamento connessioni sospette:
L'outpost continua a visualizzarmi la voglia matta di connettersi via tcp tramite explorer...forse è il firewall troppo sensibile o è l'explorer.exe che è infettato?
Buongiorno!!! |
|
Top |
|
 |
kingofworms Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01 Messaggi: 1719
|
Inviato: 09 Gen 2006 02:00 Oggetto: |
|
|
Una connessione del genere non dovrebbe esistere. Io proverei anche con qualche altro antivirus e farei passare utility come adaware e compagnia, come indicato da Tas. Qualche suggerimento, poi, lo puoi trovare qui. |
|
Top |
|
 |
tas Eroe in grazia degli dei


Registrato: 03/10/05 09:59 Messaggi: 166 Residenza: Profondo nord
|
Inviato: 09 Gen 2006 10:04 Oggetto: |
|
|
Alcune ultime "schifezze" usano tecniche sopraffine per nascondersi, tanto che:
- l'anti-spyware non sembra rilevare nulla, è lentissimo nella scansione e a volte addirittura si blocca
- l'elenco dei task in esecuzione non mostra nulla di anomalo
- HiJackThis non dice nulla di strano
- il file hosts è a posto
- i dns non sembrano alterati
Ti consiglio di usare Ewido in modalità provvisoria per capire il tipo di spyware, dopodichè facci sapere l'esito. |
|
Top |
|
 |
|