Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Kerio mi segnala: carroll.uk6x.com

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Kerio mi segnala: carroll.uk6x.com

Postdi *~Hayabusa~* » 24/01/05 16:56

Raga da poco ho acceso il pc e mi sono subito collegato ad internet, appena collegato il kerio ha cominciato a segnalarmi questo:

Codice: Seleziona tutto
system
punto remoto: carroll.uk6x.com [213.121.24.85]
[24/01/2005 16.45.39]

Direzione: in entrata
Punto locale: 82.55.184.242
Dispositivo: USB ADSL
Punto remoto: carroll.uk6x.com [213.121.24.85]
Protocollo: 41

Percorso applicazione: System
Descrizione: system
Versione file:
Creato: N/A
Modificato: N/A
Ultimo accesso: N/A

RuleId = 201326613


Io nego ma subito dopo mi segnala altre 4/5 connessioni identiche che io puntualmente nego. Non ho trovato traccia nel dell'ip ne dell'indirizzo su internet usango google..Ho fatto una scansione con avg e mi ha tolto un file dall cache java.

Cosa mi consigliate di fare? Creo una regola e non gli permetto l'accesso a vita?

Pls rispondete se sapete qualcosa perchè mi escono ogni 10 secondi e sta diventando insopportabile..

TiA
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Sponsor
 

Postdi pjfry » 24/01/05 17:00

il log dice solo così? niente porta? prova a guardare se system sta ascoltando su porte strane...
intanto bloccalo, tanto la regola fai sempre in tempo a toglierla no?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 17:14

Solo quello dice, ora ho creato la regola per filtrare quell'ip..

Comunque ho dato netstat e vedo che sono collegato a vari
hostxyx-xyx.pool18255.interbusiness.it:xyzw
poi su varie porte del mio stesso pc :roll:, su yahoo e msn sicuramente con trillian e poi ad un certo 64.12.31.228:5190 che su una pagina in cache di google sembra essere sol-1.mao.kiev.ua..ma è anche possibile sia qualcosa per icq (sempre trillian). Se faccio ping -a 64.12.31.228 non mi restituisce nessun nome..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 17:24

usa tcpview per capire che programmi usano quelle connessioni ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 21:29

Ma tcpview non è un comando interno di win :-? ..vabbè comunque ne ho scaricato la versione 2.34 da html.it e ho visto che le connessioni sono di
trillian,
system:4 (che non so cosa sia),
svchost.exe (ne ha tante...),
kerio,
firefox,
freepops,
bluetooth anche se non ho capito perxhè..,
avg,
alg.exe,
admuncher (che è uno stoppa banner.)

Niente di strano quindi..cosa sarà stata quella richiesta? :-?
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 21:35

se sei sicuro che system stia ascoltando su porte normali niente di grave allora... magari era qualcuno che si era beccato un worm che si è fissato con te, boh!?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 21:54

Penso che sia tutto sicuro :undecided:
Comunque guarda qui, è il log di tcpview..

Se qualcuno sa qualcosa in più :roll:

Grazie Pj
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 22:02

azz... ce n'è di roba!! forse dovresti chiudere le cose che conosci e riprovare, tutte quelle connessioni sulla 135 (epmap) non suonano mica bene :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 22:27

azz... ce n'è di roba!!

:lol: Allora dopo te ne posto uno con emule in esecuzione :lol:

Pj ma io quei programmi li conosco :undecided: ..dovresti darmi qualcosa di più mirato su cui lavorare, per ora ho provato a terminare i processi e si chiudono senza errori..tranne alg che tiene su la baracca da quanto ho capito (gestisce la "skin" di winzozz per caso??)..

Le connessioni sull' epmap sono da parte di un svchost che è stato in passato usato da worm ma ne avg ne the cleaner riportano nulla..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 22:36

alg gestisce firewall e condivisione della connessione.
forse le connessioni da internet alla tua 135 dovresti bloccarle via firewall... effettivamente dovrebbero essere i worm degli altri che ti contattano, quindi c'è poco da fare :aaah
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 23:08

Ma quindi che i svchost.exe vadano su internet è normale?

Visto che non posso fare niente di più devo ritenermi protetto visto che avg è aggiornato, the cleaner è aggiornato e il winupdate l'ho fatto, o no?

Comunque rimango col dubbio di quella connessione, chissà cos'era

Ps. Ho letto della falla nella sun java, ho cercato aggiornamenti ma non me ne trova..mah..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 23:20

*~Hayabusa~* ha scritto:Ma quindi che i svchost.exe vadano su internet è normale?
svchost fa un casino di cose, è giusto che vada su internet... è meno giusto che accetti connessioni da internet, a meno di esigenze particolari... con kerio è facile fare una regola che gli impedisca di ricevere connessioni dall'esterno. Se non avessi avuto le patch tutte quelle connessioni alla 135 ti avrebbero fatto dei bei casini perchè il firewall non è configurato per bloccarle ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 24/01/05 23:25

8) win sempre ben patchato! Quantomeno aggiornando mi trovo in quel lasso di tempo tra "la scoperta della falla" e "l'utilizzo della falla" in cui vado più o meno sereno :lol:

svchost fa un casino di cose, è giusto che vada su internet...

quindi il firewall non deve bloccarlo...

Se non avessi avuto le patch tutte quelle connessioni alla 135 ti avrebbero fatto dei bei casini perchè il firewall non è configurato per bloccarle

quindi il firewall lo devo bloccare..

:-? che faccio, gli sego le gambine o no? :lol:
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 24/01/05 23:31

nelle regole di kerio puoi settare 'incoming' o 'outgoing' mi pare...
praticamente svchost dovrebbe essere libero per tutte le connessioni outgoing, e bloccato per le 'incoming'
va già bene così, cmq ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi *~Hayabusa~* » 25/01/05 00:56

Ok allora lascio così visto che questa è l'unica volta che mi è capitato, se ricapita provvediamo :D

Grazie pj, 'notte (vista l'ora)
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi Sergio1983 » 25/01/05 01:38

pjfry ha scritto:praticamente svchost dovrebbe essere libero per tutte le connessioni outgoing, e bloccato per le 'incoming'


Come mai? Io l'ho sempre autorizzato ad entrare e uscire come voleva... :P :evil: C'è una ragione specifica per limitarlo?
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi pjfry » 25/01/05 09:31

Sergio1983 ha scritto:
pjfry ha scritto:praticamente svchost dovrebbe essere libero per tutte le connessioni outgoing, e bloccato per le 'incoming'


Come mai? Io l'ho sempre autorizzato ad entrare e uscire come voleva... :P :evil: C'è una ragione specifica per limitarlo?

come ho detto sopra... non c'è nessun motivo utile per lasciarlo aperto a connessioni dall'esterno... e in + saresti coperto per il prossimo worm tipo blaster\sasser :D
inoltre, come si vede dal log di hayabusa, quelle connessioni estabilished non creeranno problemi ma come minimo rubano qualche risorsa, immagino :roll:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Sergio1983 » 25/01/05 13:40

pjfry ha scritto:
Sergio1983 ha scritto:
pjfry ha scritto:praticamente svchost dovrebbe essere libero per tutte le connessioni outgoing, e bloccato per le 'incoming'


Come mai? Io l'ho sempre autorizzato ad entrare e uscire come voleva... :P :evil: C'è una ragione specifica per limitarlo?

come ho detto sopra... non c'è nessun motivo utile per lasciarlo aperto a connessioni dall'esterno... e in + saresti coperto per il prossimo worm tipo blaster\sasser :D
inoltre, come si vede dal log di hayabusa, quelle connessioni estabilished non creeranno problemi ma come minimo rubano qualche risorsa, immagino :roll:


Bene, convincente! :D
E' meglio aver amato e perduto, piuttosto che non aver amato mai. (A. Tennyson)
Sergio1983
Utente Senior
 
Post: 2584
Iscritto il: 09/10/03 13:47
Località: Basso Piemonte

Postdi *~Hayabusa~* » 25/01/05 14:33

ma come minimo rubano qualche risorsa, immagino

Si infatti anche se è robetta ininfluente su una dsl..

Comunque pj, ho visto che se deseleziono l'opzione "show unconnected endpoints" la lista si riduce a 25 voci..

Vebbè io rimango in ascolto se avete info su quell'ip, sempre se non era uno zombie che tentava di infettarmi..
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pjfry » 25/01/05 14:38

*~Hayabusa~* ha scritto:
ma come minimo rubano qualche risorsa, immagino

Si infatti anche se è robetta ininfluente su una dsl..

si ma non parlo di banda, parlo di memoria e risorse sullo stack tcp\ip... cmq è ininfluente
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Kerio mi segnala: carroll.uk6x.com":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti