|
|
|
|
Strumenti |
12-02-2013, 23:08 | #1 |
Member
Iscritto dal: Jan 2008
Messaggi: 40
|
Infezione Profonda - 31.170.178.2 - sniffing traffico in corso
Salve a tutti,
Credo (ne sono praticamente sicuro) di essere infettato da un malware, sono 2 settimane che cerco di liberarmene ma non ci riesco, come ultimo tentativo, faccio appello a qualche professionisti del settore per cercare di vincere questa sfida... Il mio traffico viene rediretto in Repub Ceca, me ne sono accorto guardando i banner pub nei siti che comparivano in lingua ceca ed avevo una connessione lentissima. Ho verificato con "netstat -anob" la presenza di porte anomale e con VisualRout ho verificato che 31.170.178.2 punta in Rep.Ceca. WHOIS Lookup result of 31.170.178.2 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '31.170.178.0 - 31.170.179.255' inetnum: 31.170.178.0 - 31.170.179.255 netname: GRANSY descr: Gransy s.r.o. country: CZ admin-c: MS1962-RIPE tech-c: DR4240-RIPE status: ASSIGNED PA mnt-by: MNT-2CONNECT source: RIPE # Filtered person: Daniel Rimal address: Vysokoskolska 142, Praha 6, 160 00 phone: +420 246083380 nic-hdl: DR4240-RIPE source: RIPE # Filtered mnt-by: MNT-2CONNECT person: Martin Semrad address: Nad Vypusti 142 address: Praha 4 address: 149 00 address: The Czech Republic phone: +420.246083111 nic-hdl: MS1962-RIPE mnt-by: MNT-2CONNECT source: RIPE # Filtered % Information related to '31.170.176.0/21AS35236' route: 31.170.176.0/21 descr: 2 connect a.s. origin: AS35236 mnt-by: MNT-2CONNECT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS1) Qualsiasi programma accede ad internet: Skype Chrome IE apre decine di connessioni. Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884 RpcSs [svchost.exe] TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP 0.0.0.0:902 0.0.0.0:0 LISTENING 2284 [vmware-authd.exe] TCP 0.0.0.0:912 0.0.0.0:0 LISTENING 2284 [vmware-authd.exe] TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1400 CryptSvc [svchost.exe] TCP 0.0.0.0:8081 0.0.0.0:0 LISTENING 1928 [FrameworkService.exe] TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 560 [wininit.exe] TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 1016 eventlog [svchost.exe] TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 1112 Schedule [svchost.exe] TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 608 [services.exe] TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 624 [lsass.exe] TCP 10.66.175.228:49503 74.125.134.125:5222 ESTABLISHED 4452 [googledrivesync.exe] TCP 10.66.175.228:49506 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:49516 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:51946 31.170.178.2:8080 CLOSE_WAIT 4452 [googledrivesync.exe] TCP 10.66.175.228:53724 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53725 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53727 31.170.178.2:8080 CLOSE_WAIT 6256 [iexplore.exe] TCP 10.66.175.228:53975 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53978 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53979 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53984 31.170.178.2:8080 CLOSE_WAIT 6276 [iexplore.exe] TCP 10.66.175.228:53992 31.170.178.2:8080 CLOSE_WAIT 3460 [GoogleCalendarSync.exe] TCP 10.66.175.228:54042 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54043 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54045 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54046 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54047 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54048 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54049 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54050 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54051 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54054 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54055 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54058 31.170.179.179:80 TIME_WAIT 0 TCP 10.66.175.228:54059 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54060 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54061 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54062 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54063 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54064 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54065 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54066 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54067 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54068 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 10.66.175.228:54069 31.170.178.2:8080 ESTABLISHED 1220 [chrome.exe] TCP 192.168.32.1:139 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP 192.168.219.1:139 0.0.0.0:0 LISTENING 4 Can not obtain ownership information TCP [::]:135 [::]:0 LISTENING 884 RpcSs Ad-Aware, Malwarebyte, McAfee, Panda (online) e qualcun altro che non ricordo non hanno trovato niente. L'analisi con Wireshark mi mostra il traffico in uscita/ingresso verso questo ip ma non ne riesco a trarre elementi utili per capire come intervenire. Il punto di ripristino di windows ad una data antecedente al problema non ha risolto la questione. Il firewall di windows è corrotto e la funzione di ripristino non funziona. A questo punto...ditemi voi... Grazie Saluti Ultima modifica di Chill-Out : 13-02-2013 alle 16:27. Motivo: Log rimosso non conforme alle regole di sezione |
12-02-2013, 23:12 | #2 |
Member
Iscritto dal: Jan 2008
Messaggi: 40
|
Aggiungo:
Che dopo l'aggiornamento di Java, quello critico anticipato da Oracle, avevo avuto l'impressione che il problema si fosse risolto, invece no... |
12-02-2013, 23:19 | #3 |
Member
Iscritto dal: Jan 2008
Messaggi: 40
|
Aggiungo:
spesso ricevo da google il messaggio: Google siamo spiacenti… ma il tuo computer o la tua rete potrebbe inviare query automatiche |
13-02-2013, 16:28 | #4 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Fai un controllo con HitmanPro >> Vedi http://www.hwupgrade.it/forum/showthread.php?t=2539794
>>> Come allegare un log http://www.hwupgrade.it/forum/showthread.php?t=1751598
__________________
Try again and you will be luckier.
|
13-02-2013, 22:38 | #5 |
Member
Iscritto dal: Jan 2008
Messaggi: 40
|
Fatto....nessuna minaccia trovata...
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:05.