Aiuto con CurrPorts usando una differente connessione sospetta

[tekmanfixer777]

Ecco delle anomalie segnalate da VirusTotal in Autoruns
https://ibb.co/kDQ43dr
https://ibb.co/HxHJ9TD

[tekmanfixer777]

C'era un quarto utente in Autoruns: IIS. Che cos'è IIS?
Questo è da wireshark nella rete che corrompe gli HASH https://file.io/AXxeNdGB2POe

[tekmanfixer777]

https://ibb.co/ChYB7kc

[tekmanfixer777]

https://ibb.co/tm8wv7Z tcp retransmission 66 da wireshark

[Zigul]

Quelle due dll segnalate da VirusTotal probabilmente sono falsi positivi (come spesso accade quando il risultato è 1/74 o simili).
IIS è il servizio di gestione web server di Microsoft.
Mi permetto di segnalarti che Wireshark è un "giocattolo" che presuppone una certa competenza di base, sia nel suo utilizzo che, soprattutto, di networking; altrimenti si rischia di ritrovarsi in una cabina di un aereo e allarmarsi perché non si trova il pedale della frizione oppure chiedersi come mai non c'è l'airbag. Questo per dire che Wireshark conviene usarlo se si ha la giusta "patente", altrimenti non si arriva molto lontano. Ovviamente tutto si può imparare, ma è bene prima imparare e poi utilizzare lo strumento in autonomia; il contrario è dispersivo e poco efficace, almeno secondo me.

[tekmanfixer777]

Quindi secondo te quello che ho postato io sui due IP 192.168.1.33 e .46 che non sono miei dispositivi, sono inutili? e il resto?

[crazy.cat]

Quindi secondo te quello che ho postato io sui due IP 192.168.1.33 e .46 che non sono miei dispositivi, sono inutili? e il resto?

Perché dici che non sono tuoi dispositivi?
Fai una scansione della tua rete e vedi cosa sono https://www.majorgeeks.com/files/detail ... anner.html

[tekmanfixer777]

sì sono miei dispositivi, in quel momento forse non erano connessi e risultavano lo stesso in qualche modo con wireshark...fatto sta che usando il router wifi del cellulare sono riuscito a fare le scansioni con virustotal che non funzionano con la connessione di casa.

[tekmanfixer777]

https://ibb.co/wJzg91v

[tekmanfixer777]

CenturyLinks che ho contattato online mi ha scritto di chiamare il 8002441111 per avere il vero indirizzo IP che si è appoggiato a loro alle 16:21:51 per farmi l'attacco tcp port scan con l'IP 209.211.0.7

[tekmanfixer777]

non riesco a chiamarlo

[crazy.cat]

CenturyLinks che ho contattato online mi ha scritto di chiamare il 8002441111 per avere il vero indirizzo IP che si è appoggiato a loro alle 16:21:51 per farmi l'attacco tcp port scan con l'IP 209.211.0.7

Ma chi stai cercando di chiamare?
E' un numero straniero poi. https://www.truecaller.com/who-called-me/18002441111

[tekmanfixer777]

E' il numero dell'ISP provider americano da cui è arrivato il tcp port scan

[tekmanfixer777]

Sto facendo anche uno scan forzato di Windows Defender da prompt dei comandi perché qualcosa lo interrompe subito come si vede da Event Viewer

[tekmanfixer777]

https://www.abuseipdb.com/check/209.211.0.7

[tekmanfixer777]

In USA si possono avere senza un mandato, in Europa no, bisogna mettere la police in mezzo

C'è un dispositivo sconosciuto connesso in rete lan https://ibb.co/JKrqs3g

[tekmanfixer777]

https://ibb.co/JKrqs3g

[CUB3]

tekmanfixer777 mi dispiace vedere che stai andando in paranoia, vedendo segnali di compromissione e attacchi vari dove in realtà ci sono solo falsi positivi e scansioni automatiche fatte alla qualunque.
Adesso hai visto un dispositvico sconosciuto collegato... alla tua LAN! Si tratta di un dispositivo connesso via cavo al tuo router, dovresti risolvere il mistero molto velocemente!

Se sei convinto che il tuo sistema sia stato compromesso, non c'è bisogno di provare a telefonare ad un ISP americano o chiamare la polizia postale, c'è una sola cosa da fare.

Spero che ti renderai presto conto che stai lottando contro mulini a vento e che potrai presto tornare a goderti il tuo computer e la tua connessione

[tekmanfixer777]

Ah vai a vedere che qualcuno per errore ha attaccato la stampante al modem, ci scommetto. Comunque tranquillo, msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus e a quanto pare non è roba di Malwarebytes dato che sul loro forum c'è un thread in cui aiutano a rimuoverlo...

[tekmanfixer777]

C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

[crazy.cat]

C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

Staccalo e vedi se sparisce dai dispositivi rilevati

[Al3x]

C'è il telefono fisso collegato con il cavo grigio (non ethernet) al modem, è quello?

la porta cui è attaccato il telefono tradizionale dovrebbe essere una FXS che consente ad un apparecchio tradizionale di connettersi via IP ad un provider VoIP. In pratica è una sorta di interfaccia che potrebbe essere quella rilevata dalle tue scansioni

per chi volesse approfondire
https://www.3cx.it/voip-sip/fxs-fxo/

[Al3x]

Questo per esempio si chiama ATA (della Cisco) e serve per collegare un telefono analogico ad un PBX VoIP. Nel nostro caso li usavamo per collegare i vecchi fax alla rete dati

[CUB3]

msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus

Secondo me l'antivirus Windows Defender è disattivato per via dell'installazione di Karspesky ma se tu ritieni che sia un altro segnale di compromissione del tuo sistema non vedo perché attendere oltre a formattare e cambiare tutte le password

[tekmanfixer777]

msert ha trovato il virus windefender tampering restore che mi disattiva l'antivirus

Secondo me l'antivirus Windows Defender è disattivato per via dell'installazione di Karspesky ma se tu ritieni che sia un altro segnale di compromissione del tuo sistema non vedo perché attendere oltre a formattare e cambiare tutte le password

Avevo formattato tutto reinstallando pulito win 10, dubito sia Kaspersky.