Condividi:        

allarme troiani in giro...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

allarme troiani in giro...

Postdi Kurosawa » 15/07/03 09:11

Codice: Seleziona tutto
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
1260  TASKMNGR       ->  113   TCP   C:\winnt\system32\TASKMNGR.EXE
372   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
660   win            ->  1026  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
872   MSTask         ->  1027  TCP   C:\WINNT\system32\MSTask.exe 
1032  win            ->  1029  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
8     System         ->  1361  TCP                                 
1308  ccApp          ->  1619  TCP   C:\Programmi\File comuni\Symantec Shared\ccApp.exe
712   NETDDEE        ->  2122  TCP   c:\winnt\system32\dllcache\I386\system32\NETDDEE.EXE
1260  TASKMNGR       ->  2372  TCP   C:\winnt\system32\TASKMNGR.EXE
660   win            ->  2373  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1032  win            ->  2375  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1088  WinVNC         ->  5800  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
1088  WinVNC         ->  5900  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
712   NETDDEE        ->  9776  TCP   c:\winnt\system32\dllcache\I386\system32\NETDDEE.EXE
928   tlntsvr        ->  16693 TCP   C:\WINNT\system32\tlntsvr.exe
1260  TASKMNGR       ->  60969 TCP   C:\winnt\system32\TASKMNGR.EXE

372   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
220   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
208   services       ->  1168  UDP   C:\WINNT\system32\services.exe



e dopo poco
Codice: Seleziona tutto
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
380   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
652   spoolsv        ->  1029  TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\spoolsv.exe
652   spoolsv        ->  1135  TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\spoolsv.exe
8     System         ->  2857  TCP                                 
1416  ccApp          ->  3337  TCP   C:\Programmi\File comuni\Symantec Shared\ccApp.exe
1444  svchost        ->  4444  TCP   C:\winnt\system32\config\svchost.exe
1140  win            ->  4983  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1192  WinVNC         ->  5800  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
1192  WinVNC         ->  5900  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
644   DWRCS          ->  6129  TCP   C:\WINNT\SYSTEM32\DWRCS.EXE   
1060  tlntsvr        ->  16693 TCP   C:\WINNT\system32\tlntsvr.exe
284   svchost        ->  43958 TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\svchost.exe
284   svchost        ->  54666 TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\svchost.exe
1012  System         ->  55555 TCP   C:\WINNT\System.exe           

380   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
220   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
208   services       ->  1840  UDP   C:\WINNT\system32\services.exe


il netstat mi da questo risultato:
Codice: Seleziona tutto
Connessioni attive

  Proto  Indirizzo locale       Indirizzo remoto       Stato
  TCP    ISTGIU:1029            relic.wildabar.net:6667  ESTABLISHED
  TCP    ISTGIU:4760            64.246.23.248:6666     SYN_SENT


il nav2003 continua a segnalare la presenza di un trojan dicendo che nega l'accesso al file. Non c'è modo di liberarsi di quel messaggio.
Qualcuno è in grado di interpretarmi e/o spiegarmi i due fport e il netstat di cui sopra?
per un po' sono anche in icq...
ciao ragazzi
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Sponsor
 

Postdi cobra9 » 15/07/03 10:12

potrebbe essere lo stesso virus del post sotto "problema di intrusione nel mio pc"
dai un occhio a quello che ho scritto attenzione perchè il norton che avevo io aggiornato non lo rilevava una delle porte che usa è appunto la 6667
e anche la 440
leggi bene l'ultimo messaggio ciao :roll:
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

Postdi Nicola » 15/07/03 10:46

Allora:

Codice: Seleziona tutto
  TCP    ISTGIU:1029            relic.wildabar.net:6667  ESTABLISHED


Questa e` una connessione ad un server IRC.. non falso ma funzionante.. mi sono connesso e funziona.. piu` precisamente e` RelicNET

Il secondo invece non risponde.. forse e` un IRC.Trojan? Cmq che OS hai? Che filesystem hai?
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Kurosawa » 15/07/03 11:22

il sistema operativo è win2000
come posso eventualmente segarla?
altre idee?
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi BianConiglio » 15/07/03 12:55

a quanto pare era dameware, ma se te l'hanno installato in remoto hai anche un trojanino...vedi di debellarlo ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi piercing » 15/07/03 14:34

Codice: Seleziona tutto
1140  win            ->  4983  TCP   c:\winnt\system32\dllcache\I386\system\win.exe


:eeh: :?:

che roba è???? win.exe è uno dei nomi più classici dove si nasconde qualcosa... in quanto (se non mi sono ancora del tutto rimbecillito) non esiste un eseguibile "ufficiale" con quel nome...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Nicola » 15/07/03 14:45

su 9x mi pare che esista ma su 2k forse no...
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Maurizio74 » 15/07/03 14:53

non vorrei sbagliarmi :mmmh: ... ma a me sembra tanto una variante di w32/klez
hai provato ad avviare in modalità provvisoria ed effettuare la scansione ? :?:
Avatar utente
Maurizio74
Utente Senior
 
Post: 885
Iscritto il: 19/01/03 16:35
Località: Roma

Postdi Frengo78 » 15/07/03 14:56

Se maurizio ha visto giusto e non e' improbabile allora puoi andare sul sito di symantec leggerti le caratteristiche di klez e scaricare il tool di rimozione per Klez
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Kurosawa » 16/07/03 07:55

ragazzi credo di aver debellato il trojano, non senza l'aiuto di rebol però... perchè sto cazzarola di eseguibile partiva al'avvio del sistema operativo e non c'era modo di metterlo a nanna. Ma tra le modalità provvisorie ce ne è una che non fa avviare il sistema e il gioco è fatto. Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "ma io non ho niente da nascondere" o "no poi me la scordo" o "mettine una facile facile eh" o ancora "ma io sono un uomo di scienza che me ne frega"....

eppoi ti rompono le scatole...
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi cobra9 » 16/07/03 08:42

Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "

anche io ho windows 2000 e non riesco a metterla perchè non sono capace
ho provato da generale sistema a mettere la pass ma quando il sistema riparte mi dice che la pass non è valida
come poso fare?
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

Postdi Nicola » 16/07/03 11:25

cobra9 ha scritto:
Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "

anche io ho windows 2000 e non riesco a metterla perchè non sono capace
ho provato da generale sistema a mettere la pass ma quando il sistema riparte mi dice che la pass non è valida
come poso fare?


hai usato caratteri `speciali` ? di quanti caratteri e` ?

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi cobra9 » 16/07/03 14:56

hai usato caratteri `speciali` ? di quanti caratteri e` ?

sono riuscito sono 11 lettere e 4 numeri LOL!!!! :D
sono pazzo
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

A cosa servono le PW?

Postdi ddcwork » 22/07/03 22:04

Ho tentato di seguirvi nel discorso, ma ancora nn ci arrivo. Non capisco a cosa servirebbe. Ma se mettere una PW è una cosa buona voprrei poterlo fare. Mi date quache dritta ?(vi prego siate semplici) :undecided:
Sei insoddisfatto del tuo lavoro? CAMBIALO e vieni con noi!!
ddcwork
Utente Junior
 
Post: 16
Iscritto il: 07/04/03 00:29


Torna a Sicurezza e Privacy


Topic correlati a "allarme troiani in giro...":

Allarme
Autore: blusamp
Forum: Applicazioni Office Windows
Risposte: 8
ALLARME VIRUS
Autore: mauri1974
Forum: Sicurezza e Privacy
Risposte: 19

Chi c’è in linea

Visitano il forum: Nessuno e 42 ospiti