Problema Virus assilante...

[Legolas84]

Da quando è uscito Sasser ho semsso di vivere....
L'avrò preso un casino casino di volte... allora mi sono stufato e ho formattato.
Ho reinstallato tutto e ho installato un Firewall: Sagate Personal Firewall, questo software mi chiede cosa lasciare passare e cosa no... ecco su questo vorrei un paio di consigli...
Vi elenco le voci (considerate che ho anche una Lan) che compaiono e voi ditemi se lasciarli passare o no

Sistema e Kernel NT
Esplora Risorse (che cerca di connetersi a un indirizzo stranissimo)
LSA Shell Export version
Generic Host Process For Win32 Service
Application Layer Gateway Service
IP Network Adress Translator
NDIS User Mode I/O Driver
Messenger
OutLook Express
Systemse.exe (questo mi sa che è un virus )
Internet Explorer
Client Server runtime Process

Bene ditemi cosa posso far passare e cosa devo bloccare
Poi in più ho notato che appena accendo il computer e mi collego a internet va tutto bene... dopo un pò mi si rallenta tutto.... peggio del 56k. a cosa può essere dovuto?

Grazie a tutti

[PixXelite]

http://fr.trendmicro-europe.com/ente...BOT.CC&VSect=T
per il processo Systemse.exe


per quanto riguarda le applicazioni da non far uscire io quelle che ho in comune con te ho bloccato :
Sistema e Kernel NT
Generic Host Process For Win32 Service

le altre non vorrei fuorviarti,anche se naturalmente Messenger, OutLook Express, Internet Explorer, le lascerai passare (ricorda che puoi negare che facciano da server)

CIAUZ

[Legolas84]

Ho capito.... voi che Firewall usate? credo che il mio problema sia li.

Quello che più mi crea fastidi è quando si genera Lag (dopo 2 ore di gioco circa) e l'unico modo per eliminarla è riavviare il PC....

[Legolas84]

Ho scaricato Avast4.... ho trovato il seguente visrus sul mio PC:

Win32;Korgo-H

che ha infettato questo file:

C:\Windows\system32\Ftpupd.exe

Ho provveduto alla rimozione del file....

La lag potrebbe dipendere da questo virus?

[PixXelite]

si potrebbe benissimo essere in quanto sto worm sta in ascolto sulle porte 113,3067 e ha funzionalità di backdoor, quindi potrebbe benissimo essere che intasi la rete, o magri la rete veniva intasata da quelli che si collegavano al tuo pc attraverso questo picchio !!!!

[Legolas84]

Oggi il Firewall mi ha dato questo messaggio:

Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 3127, 6129 and 139 have been scanned from 213.47.229.21.

Spero che abbia bloccato tutto almeno...

Visto che so l'ip posso fare qualcosa?

[ring]

Ecco quello che mi risulta dal IP che hai rilevato

chello213047229021.tirol.surfer.at è l'intestatario dell'IP.
Più sotto trovi vita, morte e miracoli della persona cui l'IP è intestato.

N.B.: Non so se i dati che ti ho scritto sono veritieri (presumibilmente sì) quindi Prendi tutto con le dovute cautele.



La persona risulta essere un certo Lorenz Glatz della Chello Broadband GmbH.
Abita in Erlachgasse al 116.
La città è Vienna in Austria.
Ti posso anche dare un numero di telefono: +43 1 96060

[Alieno]

Quote:

Originariamente inviato da ring
Ecco quello che mi risulta dal IP che hai rilevato

chello213047229021.tirol.surfer.at è l'intestatario dell'IP.
Più sotto trovi vita, morte e miracoli della persona cui l'IP è intestato.

N.B.: Non so se i dati che ti ho scritto sono veritieri (presumibilmente sì) quindi Prendi tutto con le dovute cautele.



La persona risulta essere un certo Lorenz Glatz della Chello Broadband GmbH.
Abita in Erlachgasse al 116.
La città è Vienna in Austria.
Ti posso anche dare un numero di telefono: +43 1 96060

Eh, sarebbe troppo facile...

[PixXelite]

Quote:

Originariamente inviato da ring
Ecco quello che mi risulta dal IP che hai rilevato

chello213047229021.tirol.surfer.at è l'intestatario dell'IP.
Più sotto trovi vita, morte e miracoli della persona cui l'IP è intestato.

N.B.: Non so se i dati che ti ho scritto sono veritieri (presumibilmente sì) quindi Prendi tutto con le dovute cautele.



La persona risulta essere un certo Lorenz Glatz della Chello Broadband GmbH.
Abita in Erlachgasse al 116.
La città è Vienna in Austria.
Ti posso anche dare un numero di telefono: +43 1 96060

azz, come hai fatto (un trace route?) ???
spiegalo anche ai meno bravi...cosi la prox volta non veniamo a romperti le scatole per avere info su altri ip!!!
GRAZIE mille

[PixXelite]

Quote:

Originariamente inviato da PixXelite
azz, come hai fatto (un trace route?) ???
spiegalo anche ai meno bravi...cosi la prox volta non veniamo a romperti le scatole per avere info su altri ip!!!
GRAZIE mille

ritiro tutto...ho capito...
hai usato sto sito o un'altro?
io ti posto quello usato da me
http://www.ripe.net/ripencc/pub-serv...ois/whois.html

il brutto è che quello dovrebbe essere (se ho ben capito il provider)
cioè al max puoi segnalere l'ip all'abuse,giusto?

[Legolas84]

Be ma come gli parlo in tedesco? io non so la lingua... certo sarebbe interessante sapere che voleva dal mio PC....

Ultimamente non faccio che essere attaccato... manco fossi un banca...

[Legolas84]

e poi cosa vuol dire scanned? che stava cercando di fare?

[PixXelite]

Quote:

Originariamente inviato da Legolas84
e poi cosa vuol dire scanned? che stava cercando di fare?

allora, scannerizzare un computer (ovvero quello che ha fatto quell'utonto) vuol dire vedere quali porte del computer hai aperte, semplicemnte con dei software tu gli dai l'indirizzo ip(o un range di indirizzi) a gli dici le porte che vuoi controllare e lui fa la scansione
esempio:
dico al programma che dall'indirizzo 80.183.70.0 all'indirizzo 80.183.70.250 voglio controllare le porte 113,445,1032

il programma vede tutti gli ip che sono inclusi in quel range e controlla le porte di quei computer

Quindi di per se uno scannig non è niente di dannoso (anche se magari fastidioso) perche sta solo ad indicare che uno ha visto che porte hai aperte.

Il brutto è che le porte dello scannig vengono decise in base a un semplice criterio:
se in un certo periodo 'va di moda' una backdoor che sfrutta la porta 3456 farai una scansione di ip con quella porta aperta(che sta ad indicare che ha la bacjkdoor aperta) e poi i computer con la porta aperta gli entri con facilità


spero di essermi spiegato bene.

[PixXelite]

volevo solo aggiungere che se subisci degli scanning non vuol dire che hai dei nemici che ti vogliono entrare, ma solo che sei ricaduto nel range di ip, che di solito è moolto grande

...cioè di solito chi lo fa mette un range moolto grande ma un numero ristretto di porte (4 o5) cosi la scansione risulta piu veloce

[PixXelite]

so' ancora mi...
... è che mi ricordo le cose a momenti...

Quote:

Oggi il Firewall mi ha dato questo messaggio:

Somebody is scanning your computer.
Your computer's TCP ports:
2745, 1025, 3127, 6129 and 139 have been scanned from 213.47.229.21.

Spero che abbia bloccato tutto almeno...

Visto che so l'ip posso fare qualcosa?

per vedere se è bloccato io uso due strade:
1. vedo i log del firewall(sygate) per vedere se lo ha fatto passare oppure no
2. con netstat(comando da prompt) vedo gli utonti collegati al mio pc e se c'è anche colui che mi ha scannerizzato vedo di far qualcosa

prova anche tu se vuoi, spero di averti detto tutto

CIAUZ

[ring]

a pixXelite

Per avere quelle info ho usato un software, Visualroute.
Purtroppo però, come ha fatto notare Alieno, non sempre le informazioni estrapolate corrispondono a verità.
E' comunque un buon programma.
Se ti interessa, ti do il sito dove l'ho scaricato.

Fammi sapere

Ciao

[PixXelite]

Quote:

Originariamente inviato da ring
a pixXelite

Per avere quelle info ho usato un software, Visualroute.
Purtroppo però, come ha fatto notare Alieno, non sempre le informazioni estrapolate corrispondono a verità.
E' comunque un buon programma.
Se ti interessa, ti do il sito dove l'ho scaricato.

Fammi sapere

Ciao

si grazie,se mi posti il link te ne sarò grato ... ...commozione e gratitudine

[ring]

QUI oltre a VisualRoute puoi trovare anche altri software interessanti!
Enjoy!

[PixXelite]

Quote:

Originariamente inviato da ring
QUI oltre a VisualRoute puoi trovare anche altri software interessanti!
Enjoy!

scaricato, grazie