allarme troiani in giro...

[Kurosawa]

Codice: Seleziona tutto

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
1260  TASKMNGR       ->  113   TCP   C:\winnt\system32\TASKMNGR.EXE
372   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
660   win            ->  1026  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
872   MSTask         ->  1027  TCP   C:\WINNT\system32\MSTask.exe 
1032  win            ->  1029  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
8     System         ->  1361  TCP                                 
1308  ccApp          ->  1619  TCP   C:\Programmi\File comuni\Symantec Shared\ccApp.exe
712   NETDDEE        ->  2122  TCP   c:\winnt\system32\dllcache\I386\system32\NETDDEE.EXE
1260  TASKMNGR       ->  2372  TCP   C:\winnt\system32\TASKMNGR.EXE
660   win            ->  2373  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1032  win            ->  2375  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1088  WinVNC         ->  5800  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
1088  WinVNC         ->  5900  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
712   NETDDEE        ->  9776  TCP   c:\winnt\system32\dllcache\I386\system32\NETDDEE.EXE
928   tlntsvr        ->  16693 TCP   C:\WINNT\system32\tlntsvr.exe
1260  TASKMNGR       ->  60969 TCP   C:\winnt\system32\TASKMNGR.EXE

372   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
220   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
208   services       ->  1168  UDP   C:\WINNT\system32\services.exe



e dopo poco

Codice: Seleziona tutto

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
380   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
652   spoolsv        ->  1029  TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\spoolsv.exe
652   spoolsv        ->  1135  TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\spoolsv.exe
8     System         ->  2857  TCP                                 
1416  ccApp          ->  3337  TCP   C:\Programmi\File comuni\Symantec Shared\ccApp.exe
1444  svchost        ->  4444  TCP   C:\winnt\system32\config\svchost.exe
1140  win            ->  4983  TCP   c:\winnt\system32\dllcache\I386\system\win.exe
1192  WinVNC         ->  5800  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
1192  WinVNC         ->  5900  TCP   C:\Programmi\ORL\VNC\WinVNC.exe
644   DWRCS          ->  6129  TCP   C:\WINNT\SYSTEM32\DWRCS.EXE   
1060  tlntsvr        ->  16693 TCP   C:\WINNT\system32\tlntsvr.exe
284   svchost        ->  43958 TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\svchost.exe
284   svchost        ->  54666 TCP   C:\SYSTEM~1\S-1-5-21-1645522239-527237240-725345543-1004\ect\passwd\svchost.exe
1012  System         ->  55555 TCP   C:\WINNT\System.exe           

380   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
220   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
208   services       ->  1840  UDP   C:\WINNT\system32\services.exe



il netstat mi da questo risultato:

Codice: Seleziona tutto

Connessioni attive

  Proto  Indirizzo locale       Indirizzo remoto       Stato
  TCP    ISTGIU:1029            relic.wildabar.net:6667  ESTABLISHED
  TCP    ISTGIU:4760            64.246.23.248:6666     SYN_SENT


il nav2003 continua a segnalare la presenza di un trojan dicendo che nega l'accesso al file. Non c'è modo di liberarsi di quel messaggio.
Qualcuno è in grado di interpretarmi e/o spiegarmi i due fport e il netstat di cui sopra?
per un po' sono anche in icq...
ciao ragazzi

[cobra9]

potrebbe essere lo stesso virus del post sotto "problema di intrusione nel mio pc"
dai un occhio a quello che ho scritto attenzione perchè il norton che avevo io aggiornato non lo rilevava una delle porte che usa è appunto la 6667
e anche la 440
leggi bene l'ultimo messaggio ciao

[Nicola]

Allora:

Codice: Seleziona tutto

  TCP    ISTGIU:1029            relic.wildabar.net:6667  ESTABLISHED


Questa e` una connessione ad un server IRC.. non falso ma funzionante.. mi sono connesso e funziona.. piu` precisamente e` RelicNET

Il secondo invece non risponde.. forse e` un IRC.Trojan? Cmq che OS hai? Che filesystem hai?

[Kurosawa]

il sistema operativo è win2000
come posso eventualmente segarla?
altre idee?

[BianConiglio]

a quanto pare era dameware, ma se te l'hanno installato in remoto hai anche un trojanino...vedi di debellarlo

[piercing]

Codice: Seleziona tutto

1140  win            ->  4983  TCP   c:\winnt\system32\dllcache\I386\system\win.exe

che roba è???? win.exe è uno dei nomi più classici dove si nasconde qualcosa... in quanto (se non mi sono ancora del tutto rimbecillito) non esiste un eseguibile "ufficiale" con quel nome...

[Nicola]

su 9x mi pare che esista ma su 2k forse no...

[Maurizio74]

non vorrei sbagliarmi ... ma a me sembra tanto una variante di w32/klez
hai provato ad avviare in modalità provvisoria ed effettuare la scansione ?

[Frengo78]

Se maurizio ha visto giusto e non e' improbabile allora puoi andare sul sito di symantec leggerti le caratteristiche di klez e scaricare il tool di rimozione per Klez

[Kurosawa]

ragazzi credo di aver debellato il trojano, non senza l'aiuto di rebol però... perchè sto cazzarola di eseguibile partiva al'avvio del sistema operativo e non c'era modo di metterlo a nanna. Ma tra le modalità provvisorie ce ne è una che non fa avviare il sistema e il gioco è fatto. Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "ma io non ho niente da nascondere" o "no poi me la scordo" o "mettine una facile facile eh" o ancora "ma io sono un uomo di scienza che me ne frega"....

eppoi ti rompono le scatole...

[cobra9]

Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "

anche io ho windows 2000 e non riesco a metterla perchè non sono capace
ho provato da generale sistema a mettere la pass ma quando il sistema riparte mi dice che la pass non è valida
come poso fare?

[Nicola]

Resta da capire come è che c'è gente in giro senza password di administrator ai quali consigli di metterla e ti dicono "

anche io ho windows 2000 e non riesco a metterla perchè non sono capace
ho provato da generale sistema a mettere la pass ma quando il sistema riparte mi dice che la pass non è valida
come poso fare?

hai usato caratteri `speciali` ? di quanti caratteri e` ?

Ciao

[cobra9]

hai usato caratteri `speciali` ? di quanti caratteri e` ?

sono riuscito sono 11 lettere e 4 numeri LOL!!!!
sono pazzo

[ddcwork]

Ho tentato di seguirvi nel discorso, ma ancora nn ci arrivo. Non capisco a cosa servirebbe. Ma se mettere una PW è una cosa buona voprrei poterlo fare. Mi date quache dritta ?(vi prego siate semplici)