|
|||||||
|
|
|
 |
|
|
Strumenti |
23-08-2004, 18:14
|
#1 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
connesione che lavora anche se nn faccio niente
ho formattato da poco, e volendomi lasciare alle spalle norton internet security, ho installato sygate personal firewall+nod32.
ora, mi sono collegato, e anche se nn faccio niente la connesione invia e riceve ma nn riesco a capire che cosa e con chi!?! non mi pare di avere autorizzato applicazioni "sospette" ..possibile che sia windows che fa i "cavoli suoi"? ho disattivato pure gli aggiornamenti automatici... aiutatemi a trovare una risposta.. sono 20 minuti che invia e riceve... che sta facendo?? |
|
|
|
23-08-2004, 18:43
|
#2 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
c:\windows\system32\winsysi.exe che cos'è? è quello misà che usava la connessione, ora che l'ho bloccato non ci fa +
|
|
|
|
|
23-08-2004, 18:54
|
#3 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao M@arco, ci si incontra di nuovo
 Temo che il problema che riscontri sia ancora collegato a quello di prima... Forse converrebbe controllare il tuo sistema con hijackthis perchè temo che tu abbia parecchie cosette... Se scarichi hijackthis e posti il log magari ci diamo un'occhiata insieme
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
23-08-2004, 19:11
|
#4 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
ciao.
ecco il log. speriamo che i due file che ho eliminato prima non abbiano compagnia. grazie ancora Ultima modifica di M@arco_000 : 23-08-2004 alle 19:17. |
|
|
|
|
23-08-2004, 19:21
|
#5 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
ecco il log.. l'ho ripostato xchè in quell'altro avevo dimenticato una cosuccia aperta...
 ora l'ho rifatto  edit: ho analizzato il log con HijackThis, me ne trova uno abbastanza sospetto e uno sospetto: sospetto: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti mi consiglia di eliminarlo al volo. abbastanza sospetto: O17 - HKLM\System\CCS\Services\Tcpip\..\{3F7F9234-AE97-4319-876F-D4516B6D7391}: NameServer = '80.17.208.203' mi consiglia: Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '80.17.208.203 151.99.125.1 '? Se no, eliminate questo oggetto. li cancello entrambi? Ultima modifica di M@arco_000 : 23-08-2004 alle 19:29. |
|
|
|
|
23-08-2004, 19:28
|
#6 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Controlla un po' questo:
D:\Documenti\^INCOMING^\Sygate.Personal.Firewall.Pro.5.5.2525\Sygate.Personal.Firewall.Pro.v5.5.2525.Incl.Keygen- ROR\keygen.exe keygen.exe potrebbe far parte di 2 o 3 virus che si mimetizzano da crack per alcuni programmi a pagamento http://securityresponse.symantec.com....shower.l.html http://securityresponse.symantec.com....egar.int.html http://vil.nai.com/vil/content/Print101070.htm P.S. naturalmente devi eliminare tutti i file temporanei, i temporanei di internet e disattivare il system restore Ciao
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 23-08-2004 alle 19:30. |
|
|
|
|
23-08-2004, 19:32
|
#7 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
wgator scusa ma ho ripostato il log dopo che lo avevo scaricato xchè c'era appunto quel coso che mi ero scordato di chiudere...
potresi controllare il secondo log che ti ho postato? grazie ciao |
|
|
|
|
23-08-2004, 19:45
|
#8 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
 hehe, no, è tutto a posto... "collegamenti" lascialo stare è un bug di quel motore di verifica, lui si aspetta di trovare "link" anzichè collegamenti perchè non sa molto l'italiano.... L'indirizzo IP 80.17.208.203, è Interbusiness, se ti colleghi con un provider del gruppo Telecom Italia è regolare. Quel "coso" di prima, se non è in avvio automatico è ehm... regolare
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
23-08-2004, 19:51
|
#9 |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
ok grazie di tutto. a questo punto mi piacerebbe sapere come sono finiti nel pc quei 2 eseguibili.. forse insieme a qualcosa che ho scaricato... mi sembra la soluzione più verosimile, visto che ho firewall + antivirus (che non conosce i 2 file come dannosi o sospetti -ho fatto anche scansioni on-line) + antispyware vari (e ho formattato ieri) e poi di solito son prudente
ciao |
|
|
|
|
23-08-2004, 19:59
|
#10 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
come appassionato di "virus e affini" ho imparato che se un eseguibile non si riesce a trovare nè con Google nè con Altavista al 99% è un virus o un trojan. Naturalmente se non si trova con i motori di ricerca più potenti significa che probabilmente non è sul database dei virus dei produttori, quindi non viene rilevato. Ci sono parecchi trojan che cambiano nome continuamente (random) per non farsi beccare. Poi, tramite p2p non è difficile beccarsi qualcosa 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
23-08-2004, 20:29
|
#11 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
winsysi.exe è una backdoor IRC
Ho ricevuto ora l'e-mail di [email protected] il tempo di dare meglio un occhio all'eseguibile
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
23-08-2004, 20:39
|
#12 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
backdoor SDBot
Crea 'WindowsRegKeys update"="winsysi.exe' sotto "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" e "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices" Si connette ad un server IRC in attesa di comandi
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
23-08-2004, 20:58
|
#13 | |
|
Bannato
Iscritto dal: Mar 2004
Messaggi: 2762
|
Quote:
che dici avranno fatto danni in quei 15/20minuti prima che mi accorgessi della loro attività? ci sarà bisogno, ad esempio, di cambiare le password? |
|
|
|
|
|
23-08-2004, 21:01
|
#14 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
se togli la backdoor e non hai programmi che permettono l'accesso da remoto non vedo quali rischi tu possa correre
anche se secondo me manco t'hanno visto
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:10.
