Olimpo Informatico

goldeniko · Comune mortale Registrato: 03/10/05 13:10 Messaggi: 4

Salve Ragazzi,
è da tanto che seguo le vostre discussioni ma non ho mai postato.
Bene oggi penso che non ne potrò fare a meno.
Voglio farvi presente una strana cosa che ho notato con explorer in questi ultimi giorni.
Premetto che ho windows xp sp2.
Ecco il problema.
Explorer in questo periodo cerca di stabilire una connessione tcp 3386 verso un dominio dal nome "leggermente" preoccupante:
fbiserver.shacknet.nu Shocked

con ip 87.0.189.104
Naturalmente il mio firewall rileva tutto questo riuscendo quindi a tenere bloccata la connessione.
Quello che vi chiedo è questo..sapete che cosa stà succedendo?
Mica l'Fbi mi stà pedinando?...Grazie petutte le indicazioni che saprete darmi

tas

Molto probabilmente hai "preso" una di quelle schifezze che infestano internet, tipo un trojan oppure uno spyware. Scaricati questi software:

Spy-Bot
Ad-Aware
Ewido

I primi due sono free, il terzo è a pagamento (con 15 giorni di prova gratuita).

Funzionano tutti all'incirca allo stesso modo: installa, scarica gli aggiornamenti, esegui la scansione, elimina le schifezze.

Buona disinfestazione!

kingofworms · Moderatore Internet e Telefonia Registrato: 13/09/03 00:01 Messaggi: 1719

Tas ha ragione. Quanto all'FBI, non mi preoccuperei. Un veloce whois segnala che l'indirizzo appartiene a Telecom Italia

goldeniko · Comune mortale Registrato: 03/10/05 13:10 Messaggi: 4

Anche io con visual route ho trovato questa "stranezza"...
Ho pensatp...va a vedere che in fondo la Telecom è l'FbI?..cose da pazzi..
RAgazzi io ho provato a disinfestare sia con s&d ed ad-aware ma niente continua a rompere...forse perchè parte con l'explorer che è l'esecutivo principale di Windows??.. Confused

Dico uno cavolata..non è che devo sostituire l'explorer.exe?
Embarassed

P.s. Grazie per l'interesse siete grandi!!! Very Happy

kingofworms · Moderatore Internet e Telefonia Registrato: 13/09/03 00:01 Messaggi: 1719

Immagino tu abbia già provato con un antivirus (quale?). Puoi provare con un altro o fare una scansione da un servizio online.
Dico questo perché una ricerca in rete non ha dato molto, se non il sospetto che possa trattarsi di un trojan. Qualcuno si è trovato un eseguibile dal nome ngrt.exe responsabile del guaio. La cosa curiosa è che gli infetti (anche stranieri) scovati da google puntavano tutti a degli indirizzi italiani (telecom o libero).
Puoi inoltre fare un controllo di quali task sono in esecuzione e - per citare ioSOLOio che cita holifay - postare il log di Hijackthis.

goldeniko · Comune mortale Registrato: 03/10/05 13:10 Messaggi: 4

Stò facendo una ricerca per vedere se esiste l'exe che mi hai citato..come antivirus ho Avast penso non dovrei avere problemi...
Alaa fine non succede niente solo il "fastidio" di dover avere una connessione automatica indesiderata...
Poi magari ti farò sapere..ciao!!!

goldeniko · Comune mortale Registrato: 03/10/05 13:10 Messaggi: 4

Ciao ragazzi aggiornamento connessioni sospette:

L'outpost continua a visualizzarmi la voglia matta di connettersi via tcp tramite explorer...forse è il firewall troppo sensibile o è l'explorer.exe che è infettato?

Buongiorno!!!

kingofworms · Moderatore Internet e Telefonia Registrato: 13/09/03 00:01 Messaggi: 1719

Una connessione del genere non dovrebbe esistere. Io proverei anche con qualche altro antivirus e farei passare utility come adaware e compagnia, come indicato da Tas. Qualche suggerimento, poi, lo puoi trovare qui.

tas

Alcune ultime "schifezze" usano tecniche sopraffine per nascondersi, tanto che:

l'anti-spyware non sembra rilevare nulla, è lentissimo nella scansione e a volte addirittura si blocca
l'elenco dei task in esecuzione non mostra nulla di anomalo
HiJackThis non dice nulla di strano
il file hosts è a posto
i dns non sembrano alterati

Ti consiglio di usare Ewido in modalità provvisoria per capire il tipo di spyware, dopodichè facci sapere l'esito.