TurboLab.it

Inviato: **dom nov 12, 2023 11:07 am**

Ecco delle anomalie segnalate da VirusTotal in Autoruns
https://ibb.co/kDQ43dr
https://ibb.co/HxHJ9TD

Inviato: **dom nov 12, 2023 11:45 am**

C'era un quarto utente in Autoruns: IIS. Che cos'è IIS?
Questo è da wireshark nella rete che corrompe gli HASH https://file.io/AXxeNdGB2POe

Inviato: **dom nov 12, 2023 12:24 pm**

https://ibb.co/ChYB7kc

Inviato: **dom nov 12, 2023 12:44 pm**

https://ibb.co/tm8wv7Z tcp retransmission 66 da wireshark

Inviato: **dom nov 12, 2023 1:02 pm**

Quelle due dll segnalate da VirusTotal probabilmente sono falsi positivi (come spesso accade quando il risultato è 1/74 o simili).
IIS è il servizio di gestione web server di Microsoft.
Mi permetto di segnalarti che Wireshark è un "giocattolo" che presuppone una certa competenza di base, sia nel suo utilizzo che, soprattutto, di networking; altrimenti si rischia di ritrovarsi in una cabina di un aereo e allarmarsi perché non si trova il pedale della frizione oppure chiedersi come mai non c'è l'airbag. Questo per dire che Wireshark conviene usarlo se si ha la giusta "patente", altrimenti non si arriva molto lontano. Ovviamente tutto si può imparare, ma è bene prima imparare e poi utilizzare lo strumento in autonomia; il contrario è dispersivo e poco efficace, almeno secondo me.

Inviato: **dom nov 12, 2023 1:10 pm**

Quindi secondo te quello che ho postato io sui due IP 192.168.1.33 e .46 che non sono miei dispositivi, sono inutili? e il resto?

Inviato: **dom nov 12, 2023 2:38 pm**

tekmanfixer777 ha scritto: ↑dom nov 12, 2023 1:10 pm Quindi secondo te quello che ho postato io sui due IP 192.168.1.33 e .46 che non sono miei dispositivi, sono inutili? e il resto?

Perché dici che non sono tuoi dispositivi?
Fai una scansione della tua rete e vedi cosa sono https://www.majorgeeks.com/files/detail ... anner.html

Inviato: **dom nov 12, 2023 3:56 pm**

sì sono miei dispositivi, in quel momento forse non erano connessi e risultavano lo stesso in qualche modo con wireshark...fatto sta che usando il router wifi del cellulare sono riuscito a fare le scansioni con virustotal che non funzionano con la connessione di casa.

Inviato: **dom nov 12, 2023 4:12 pm**

https://ibb.co/wJzg91v

Inviato: **dom nov 12, 2023 6:26 pm**

CenturyLinks che ho contattato online mi ha scritto di chiamare il 8002441111 per avere il vero indirizzo IP che si è appoggiato a loro alle 16:21:51 per farmi l'attacco tcp port scan con l'IP 209.211.0.7

Inviato: **dom nov 12, 2023 6:43 pm**

non riesco a chiamarlo

Inviato: **dom nov 12, 2023 6:56 pm**

tekmanfixer777 ha scritto: ↑dom nov 12, 2023 6:26 pm CenturyLinks che ho contattato online mi ha scritto di chiamare il 8002441111 per avere il vero indirizzo IP che si è appoggiato a loro alle 16:21:51 per farmi l'attacco tcp port scan con l'IP 209.211.0.7

Ma chi stai cercando di chiamare?
E' un numero straniero poi. https://www.truecaller.com/who-called-me/18002441111

Inviato: **dom nov 12, 2023 8:25 pm**

E' il numero dell'ISP provider americano da cui è arrivato il tcp port scan

Inviato: **dom nov 12, 2023 8:35 pm**

Sto facendo anche uno scan forzato di Windows Defender da prompt dei comandi perché qualcosa lo interrompe subito come si vede da Event Viewer

Inviato: **dom nov 12, 2023 8:48 pm**

https://www.abuseipdb.com/check/209.211.0.7

Inviato: **lun nov 13, 2023 2:56 pm**

In USA si possono avere senza un mandato, in Europa no, bisogna mettere la police in mezzo

C'è un dispositivo sconosciuto connesso in rete lan https://ibb.co/JKrqs3g

Inviato: **lun nov 13, 2023 4:15 pm**

https://ibb.co/JKrqs3g

Inviato: **lun nov 13, 2023 4:21 pm**

tekmanfixer777 mi dispiace vedere che stai andando in paranoia, vedendo segnali di compromissione e attacchi vari dove in realtà ci sono solo falsi positivi e scansioni automatiche fatte alla qualunque.
Adesso hai visto un dispositvico sconosciuto collegato... alla tua LAN! Si tratta di un dispositivo connesso via cavo al tuo router, dovresti risolvere il mistero molto velocemente!

Se sei convinto che il tuo sistema sia stato compromesso, non c'è bisogno di provare a telefonare ad un ISP americano o chiamare la polizia postale, c'è una sola cosa da fare.

Spero che ti renderai presto conto che stai lottando contro mulini a vento e che potrai presto tornare a goderti il tuo computer e la tua connessione

Inviato: **lun nov 13, 2023 4:46 pm**

Ah vai a vedere che qualcuno per errore ha attaccato la stampante al modem, ci scommetto. Comunque tranquillo, msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus e a quanto pare non è roba di Malwarebytes dato che sul loro forum c'è un thread in cui aiutano a rimuoverlo...

Inviato: **lun nov 13, 2023 4:52 pm**

C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

Inviato: **lun nov 13, 2023 4:55 pm**

tekmanfixer777 ha scritto: ↑lun nov 13, 2023 4:52 pm C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

Staccalo e vedi se sparisce dai dispositivi rilevati

Inviato: **lun nov 13, 2023 5:07 pm**

tekmanfixer777 ha scritto: ↑lun nov 13, 2023 4:52 pm C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

la porta cui è attaccato il telefono tradizionale dovrebbe essere una FXS che consente ad un apparecchio tradizionale di connettersi via IP ad un provider VoIP. In pratica è una sorta di interfaccia che potrebbe essere quella rilevata dalle tue scansioni

per chi volesse approfondire
https://www.3cx.it/voip-sip/fxs-fxo/

Inviato: **lun nov 13, 2023 5:19 pm**

Questo per esempio si chiama ATA (della Cisco) e serve per collegare un telefono analogico ad un PBX VoIP. Nel nostro caso li usavamo per collegare i vecchi fax alla rete dati

Questo contenuto è nascosto, ma senza JavaScript non puoi gestirlo correttamente. Passa con il mouse sopra a questo testo per visualizzarlo!

Inviato: **lun nov 13, 2023 6:18 pm**

tekmanfixer777 ha scritto: ↑lun nov 13, 2023 4:46 pm msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus

Secondo me l'antivirus Windows Defender è disattivato per via dell'installazione di Karspesky ma se tu ritieni che sia un altro segnale di compromissione del tuo sistema non vedo perché attendere oltre a formattare e cambiare tutte le password

Inviato: **lun nov 13, 2023 6:56 pm**

CUB3 ha scritto: ↑lun nov 13, 2023 6:18 pm
tekmanfixer777 ha scritto: ↑lun nov 13, 2023 4:46 pm msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus
Secondo me l'antivirus Windows Defender è disattivato per via dell'installazione di Karspesky ma se tu ritieni che sia un altro segnale di compromissione del tuo sistema non vedo perché attendere oltre a formattare e cambiare tutte le password

Avevo formattato tutto reinstallando pulito win 10, dubito sia Kaspersky.

TurboLab.it

Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta

Re: Aiuto con CurrPorts usando una differente connessione sospetta