Pagina 3 di 4
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: lun nov 13, 2023 7:18 pm
da CUB3
Quando installi un antivirus diverso da Windows Defender quest'ultimo viene disattivato.
E il virus rilevato, in realtà segnala una configurazione non ottimane che previene il corretto funzionamento di Windows Defender (rilevazione corretta dato che è disattiva per l'installazione di Karspersky).
Però ti ripeto, se pensi che sia un segnale di compromissione, formatta, reinstalla tutto e quando vai ad installare Karspersky ricontrolla con msert la rivelazione del solito virus.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: lun nov 13, 2023 7:22 pm
da tekmanfixer777
Sto provando a fare una scansione dei settori di avvio con Bitdefender. Meglio di Kaspersky?
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 6:51 am
da tekmanfixer777
Non ha trovato nulla, ma per sicurezza ho disattivato AlternateShell e robe non riconosciute da Autoruns. Se non sono stato perseguitato, ditemi che senso ha fare una scheduled task sul pc di mio padre con attacchi ping of death...
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 7:29 am
da CUB3
Come ti ho spiegato nell'altro post, gli attacchi ping of death sfruttavano una vulnerabilità nel protocollo TCP/IP comune a tutti i sistemi operativi negli anni '90. Perseguitare qualcuno con questo tipo di attacco avrebbe veramente poco senso ma effettuare un attacco automatico a diversi IP contemporaneamente aiuterebbe a trovare sistemi non aggiornati e vulnerabili a molti altri tipi di attacco.
Dato che la scansione che hai fatto
non ti rimane che vivere sereno 
Al massimo puoi cambiare le password dei tuoi account e magari anche quella del router e del Wi-Fi e poi dovrai soltanto preoccuparti (ma non ossessivamente!) di tenere tutti i tuoi sistemi aggiornati 
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:02 am
da tekmanfixer777
E' sparito il dispositivo LAN!!! Il telefono è ancora lì...
Ho notato giorni fa che la mia voce non veniva sentita dall'altra persona
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:05 am
da tekmanfixer777
C'è un'altra cosa...da tre giorni ricevo attacchi riportati nel log di sicurezza del modem, di tipo tcp port scan mentre non sono al pc, solo mentre non sono al pc (di mattina prestissimo o notte tarda)
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:10 am
da CUB3
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 8:02 am
E' sparito il dispositivo LAN!!! Il telefono è ancora lì...
Ho notato giorni fa che la mia voce non veniva sentita dall'altra persona
Potrebbe essere il caso di cambiare telefono?
Oppure ci sono solo problemi sulla rete
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 8:05 am
C'è un'altra cosa...da tre giorni ricevo attacchi riportati nel log di sicurezza del modem, di tipo tcp port scan mentre non sono al pc, solo mentre non sono al pc (di mattina prestissimo o notte tarda)
Sono scansioni automatiche, nessuna persecuzione
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:11 am
da Al3x
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 8:05 am
C'è un'altra cosa...da tre giorni ricevo attacchi riportati nel log di sicurezza del modem, di tipo tcp port scan mentre non sono al pc, solo mentre non sono al pc (di mattina prestissimo o notte tarda)
forse chi attacca interi blocchi di range IP ha un fuso orario diverso dal tuo
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:40 am
da tekmanfixer777
Giusto...comunque se sono così convinto di essere stato perseguitato in generale è perché ho sentito il mio vicino di casa parecchie volte e non è un tipo tranquillo, con figli giovani di cui uno è bravo al pc ed ha amici bravi al pc
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:43 am
da tekmanfixer777
Ma i telefoni fissi hanno un indirizzo MAC?
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 8:48 am
da CUB3
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 8:40 am
Giusto...comunque se sono così convinto di essere stato perseguitato in generale è perché ho sentito il mio vicino di casa parecchie volte e non è un tipo tranquillo, con figli giovani di cui uno è bravo al pc ed ha amici bravi al pc
Possono essere bravi quanto vuoi ma se tieni tutti i dispositivi aggiornati e cambi periodicamente la password del tuo Wi-Fi (scegliendola sempre molto robusta!) non hanno speranza. Violare una rete protetta non è cosa che si fa in 30 secondi come si vede nei film!
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 9:55 am
da tekmanfixer777
Ma cos'è sta roba? prima non c'era, fino a 5 minuti fa...delete cached update binary e uninstall eccetera https://ibb.co/BKD8Fm5
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 9:59 am
da crazy.cat
Sono dei programmi in fase di disinstallazione che verranno tolti al prossimo riavvio del pc.
Ti agiti troppo per niente.
I telefoni voip, collegati a una rete, hanno un loro mac.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 10:30 am
da tekmanfixer777
E' OneDrive
Uninstall 21.220.1024.0005 Windows Command Processor (Verified) Microsoft Windows C:\Windows\system32\cmd.exe Tue Nov 14 08:20:47 2023
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 10:32 am
da tekmanfixer777
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 10:37 am
da tekmanfixer777
Poi scusate, io ho Windows 10 Home, cosa ci fa Remote Desktop Protocol clipboard?
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 11:32 am
da tekmanfixer777
Ho usato la fixlist presente in questo thread: https://www.bleepingcomputer.com/forums ... warebytes/
Mi ha ripristinato l'immagine di profilo dell'account Microsoft che prima non era visibile, magari aggiustando tanta roba.
Ho usato anche kprm.exe per ripristinare per sicurezza tutti i valori User Account Control.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 12:08 pm
da tekmanfixer777
2 Nov 14 11:21:57 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45568 DF PROTO=TCP SPT=58384 DPT=26 WINDOW=64240 RES=0x00 SYN URGP=0
3 Nov 14 11:21:57 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=59063 DF PROTO=TCP SPT=35570 DPT=2022 WINDOW=64240 RES=0x00 SYN URGP=0
4 Nov 14 11:21:57 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=18870 DF PROTO=TCP SPT=34870 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0
5 Nov 14 11:21:57 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=11965 DF PROTO=TCP SPT=41400 DPT=9000 WINDOW=64240 RES=0x00 SYN URGP=0
6 Nov 14 11:21:56 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=47226 DF PROTO=TCP SPT=53210 DPT=50000 WINDOW=64240 RES=0x00 SYN URGP=0
7 Nov 14 11:21:56 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=17828 DF PROTO=TCP SPT=56494 DPT=830 WINDOW=64240 RES=0x00 SYN URGP=0
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 3:59 pm
da CUB3
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 12:08 pm
2 Nov 14 11:21:57 kern alert attack kernel: SYN_FLOODING ATTACK:IN=ppp2 OUT= MAC= SRC=8.134.96.140 DST=151.56.245.61 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45568 DF PROTO=TCP SPT=58384 DPT=26 WINDOW=64240 RES=0x00 SYN URGP=0
3 Nov 14 11:21:57 kern alert attack kernel:….
Come già più volte ripetuto, sistemi automatici, innocui se si è aggiornati, colpiscono tutti a casaccio, nessuno ti sta perseguitando. Ce la faremo a convincerti prima o poi?
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 5:08 pm
da tekmanfixer777
Se non avessi saputo come si fanno gli attacchi dos per non essere identificati, sì ahaha
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 5:37 pm
da tekmanfixer777
E poi c'è sfc /scannow che periodicamente mi trova file corrotti di sistema
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 6:06 pm
da CUB3
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 5:08 pm
Se non avessi saputo come si fanno gli attacchi dos per non essere identificati, sì ahaha
Credo proprio che nemmeno te sai di cosa stai parlando…
tekmanfixer777 ha scritto: ↑mar nov 14, 2023 5:37 pm
E poi c'è sfc /scannow che periodicamente mi trova file corrotti di sistema
Fossi in te, cambierei il disco…
A questo punto, getto la spugna. Dato che, nonostante tutto, rimani convinto di essere sotto attacco, ti saluto informandoti che non interverrò più nelle tue discussioni e augurandoti di trovare presto la pace interiore.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 6:11 pm
da Zigul
Perdona se ti faccio notare quanto segue: fare segnalazioni pubbliche su un sito come abuseipdb.com è anzitutto una grande responsabilità verso tutta la comunità di utenti; se sei stato tu a segnalare quell'IP cinese come autore di "DDOS attack", ti chiedo se ti sei prima informato adeguatamente su cosa sia e come funzioni un DDOS. Sei sicuro che qualcuno "sprecherebbe" un DDOS con annessa botnet per un utente privato a caso e, semmai fosse vero, pensi saresti ancora in grado di utilizzare internet? Prima di diffondere certe informazioni, anche se a fin di bene, bisognerebbe documentarsi e studiare ciò di cui si parla.
Tutti gli altri utenti su quel sito hanno segnalato quell'indirizzo per "port scanning" e "ssh brute-force"; sai che assegnargli ora la responsabilità di un DDOS è incoerente e le segnalazioni incoerenti perdono di credibilità (quindi, tuo malgrado, stai facendo un favore a quell'indirizzo)?
Per inciso, il tuo log parla di "SYN flooding" e il sito abuseipdb.com ha una politica chiara in merito:
Immagine presa da qui: https://www.abuseipdb.com/faq.html
Ti chiedo dunque gentilmente di attenerti alla policy del sito e provare a rimuovere quella segnalazione; grazie.
Anche per "sfc /scannow" la soluzione è la stessa: studiare, capire esattamente come funziona, senza pensare subito che ogni anomalia del PC sia dovuta ad attacchi dalla Cina.
Ciò premesso, per risolvere i dubbi su connessioni di dispositivi anomali, ti sarà sufficiente impostare nel router una white-list che consente la connessione solo ai dispositivi di cui hai inserito il MAC address nella lista. Ci perdi un po' di tempo, ma poi stai tranquillo che altri dispositivi estranei non potranno connettersi alla tua rete.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 6:42 pm
da tekmanfixer777
Ho rimosso il report. Quindi così la policy conferma che la fonte reale non può essere individuata, ergo può essere un ip spoofing, una maschera che usa l'hacker per non farsi beccare.
Re: Aiuto con CurrPorts usando una differente connessione sospetta
Inviato: mar nov 14, 2023 6:48 pm
da tekmanfixer777
Infatti avevo letto dos attack...comunque stavo leggendo il file CBS.log e l'ho anche mandato all'assistenza di Unhackme se mai potrà essere utile...se volete lo condivido anche con voi. Ho usato Panda Cloud Cleaner con trusted boot scan per rimuovere i rootkit e mi ha pulito tutto il desktop eliminando un file .lnk che presumo fosse di OneDrive, in fase di avvio. Non so se fosse un problema malware...Io ho sempre pensato che fosse un rompiballe italiano, non cinese 