| Autore |
 Discussione  |
|
|
Diana
Advanced Member
269 Messaggi |
 Inserito il - 21/08/2007 : 21:10:46
|
Analizzando il log di Outpost, mi sono accorta che tra i "Permessi" compare sempre una connessione (non so se in entrata o in uscita) al sito (lo scrivo staccato volutamente)
[www] . gmer . net
e con qualsiasi applicazione, dal browser all'antivirus!!
E' parecchio tempo che questo succede e la cosa mi è sempre sembrata sospetta, però finora ha sempre funzionato tutto e, diciamo per pigrizia, ma anche perchè non ho trovato nulla in rete al riguardo, ho lasciato correre.
Ora sto quasi per crashare, sicuramente anche per altri motivi...
Prima di passare ad una formattazione, vorrei però cercare di analizzare questo problema con voi.
Non chiedetemi di postare un log di hi_jackt_his perchè non compare nulla di sospetto, l'ho già analizzato io più volte! 
Al limite vi posto uno screenshot del log di Outpost, se è necessario, così magari vi rendete conto di quello che sto dicendo. Ditemi voi.
Faccio presente che ho attivato l'utility "Hosts" di SpyBot e inoltre ho inserito nel file Host l'ip e l'url del sito in questione. Ma niente da fare, nei log continua a comparire questa connessione a localhost. Che cavolo è????
|
Modificato da - Diana in Data 21/08/2007 21:13:50
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 22/08/2007 : 00:06:29
|
GMER è un programma di scansione che utilizziamo per la caccia ai maleware, quello pertanto è il sito da cui si scarica il programma.
Se vuoi eliminarlo dalle autorizzazioni di outpost:
vai su applicazioni, lo selezioni nell'elenco con tasto destro e click su remove\applica.
Se devi formattare il problema non sussiste perchè dovrai rifare i settaggi del firewall.
|
 |
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/08/2007 : 09:16:23
|
Lo so cos'è G_MER e il problema risale, più o meno, proprio a quando l'ho scaricato ma da altro sito perchè quello di g_mer era sotto attacco, ricordi? Oppure risale alla prima scansione che feci con l'applicazione stessa e mi trovò 4 rootkit (2 in netscape e 2 in WMP) però non rimovibili.
Ora, ho provato anche a mettere l'applicazione tra i "Bloccati" di Outpost, ma ugualmente niente da fare. Non è l'applicazione di per se a richiamare quel sito, ma qualcos'altro, e non ne capisco proprio il motivo... dovrebbe essere un sito al di sopra di ogni sospetto, no?
Se vedessi il log di Outpost, queste strane connessioni darebbero anche a te l'impressione di un continuo reindirizzamento e il bello (o il brutto) è che usa tutta una serie di porte locali in sequenza, tipo: 1504 - 1505 - 1506 - 1507.... e così via.
Insomma, non trovate la cosa piuttosto inquietante o quantomeno anomala?
(di formattare non ne avrei ancora molta voglia a dire il vero, vorrei vedere se risolvendo questo problema il computer diventi più stabile, in tal caso rimanderei la formattazione volentierissimo!)
Help! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 22/08/2007 : 13:00:33
|
potresti azzerare tutte le autorizzazioni e vedere chi si collega, normalmente si apre una finestra di richiesta in cui è specificato l'indirizzo IP e nome sito.
Puoi vedere anche di individuarlo nella sezione Allowed log di My internet.
|
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/08/2007 : 17:53:06
|
Scusa, potresti essere un po' più dettagliato, specialmente nella prima cosa che hai detto?
Non ho capito molto bene che intendi per "azzerare tutte le autorizzazioni"...
Nella sezione di cui parli ora ci vado a dare un'occhiata, ma se si tratta di una scansione che richiede l'installazione di qualche controllo ActiveX, allora ho seri dubbi di riuscirci. Quella antivirus è andata fallita proprio per questo motivo. (sarà colpa di SpywareBlaster? boh?!)
[edit] ma dove la vedi tu quella sezione? io non l'ho trovata... ariboh! |
Modificato da - Diana in data 22/08/2007 18:14:16 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 22/08/2007 : 19:39:46
|
dai prima un'occhiata qui e se c'è qualcosa che non ti è chiaro riposta:
htt*://web.tiscali.it/hotlinks/manuale_outpost/manuale_outpost.htm |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/08/2007 : 20:10:07
|
Scusa eh, michal, ma io ti chiedo una cosa specifica e tu mi posti il manuale di Outpost?
A parte che io non ho quella versione lì di Outpost, ma la pro (v. 2), e poi non ti ho chiesto come funziona il mio firewall, ti ho chiesto altro.
Se mi rispondessi a quelle due domande che ti ho fatto sopra, per esempio, mi sarebbe molto più utile. Grazie. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/08/2007 : 21:44:16
|
Ho fatto una scansione con l'antivirus su tutto il disco e tutte le partizioni: niente.
E poi ne ho fatta una con Sophos Anti-Rootkit, risultato: 8 hidden registry value!!! 
Però non sono rimovibili!!
1 è di IE
1 di Media Player (addirittura nella Sequenza di brani campione!! )
2 riguardano il link di Media Player di All Users
1 il nome del computer ( )
1 il numero seriale del volume (da non crederci!)
1 relativa ad un suffisso ivf (Netscape)
1 relativa sempre a Netscape e la chiave in questione è sempre x-ivf, però l'applicazione a cui sembra far riferimento è WMP
AIUTOOOOOOO!!!
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 24/08/2007 : 21:02:04
|
ti ho consigliato di dare uno sguardo al manuale perchè la mia risposta "azzerare le autorizzazioni" e My internet sono funzionalità basilari che dovresti conoscere per poter utilizzare il firewall.
Spiegarle in un post non è semplice.
Outpost è un software complesso (manuale oltre 30 pagine)
ma almeno un minimo di conoscenza bisogna averlo.
Azzerare le autorizzazioni significa eliminare tutti i programmi dalle liste (opzioni/applicazioni) bloccati/parzialmente permessi/permessi
log permessi (allowed log) si trova in opzioni/plug-ins /
Avendo la versione inglese free spero di averti tradotto in maniera corretta i termini.
htt*://freefilehosting.net/show/MTUxMDA=
Se hai ancora il programma Gmer fai una scansione rootkit e autostart postando i log.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 24/08/2007 : 21:39:18
|
scansiona con questi anti-rootkit:
- rootkitbuster (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
se ti trova problemi li evidenzi e clicca su remove selected items
- panda antirootkit (htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip) |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 25/08/2007 : 13:08:43
|
Citazione:
Messaggio inserito da michal
ti ho consigliato di dare uno sguardo al manuale perchè la mia risposta "azzerare le autorizzazioni" e My internet sono funzionalità basilari che dovresti conoscere per poter utilizzare il firewall.
Spiegarle in un post non è semplice.
Outpost è un software complesso (manuale oltre 30 pagine)
ma almeno un minimo di conoscenza bisogna averlo.
Azzerare le autorizzazioni significa eliminare tutti i programmi dalle liste (opzioni/applicazioni) bloccati/parzialmente permessi/permessi
log permessi (allowed log) si trova in opzioni/plug-ins /
Avendo la versione inglese free spero di averti tradotto in maniera corretta i termini.
htt*://freefilehosting.net/show/MTUxMDA=
Se hai ancora il programma Gmer fai una scansione rootkit e autostart postando i log.
Grazie per la traduzione (sempre molto apprezzata, almeno da me!).
Ok, ora ho capito cosa intendevi per azzerare le autorizzazioni... sapevo anche farlo... è solo una questione di linguaggio!
Per quanto riguarda My Internet, invece, non sono riuscita a trovare quella sezione... sarò proprio utonta?
Cmq, ho bloccato nel Plugin Content Filtering il sito in questione, così come l'ho infilato nel file Host. Ma niente da fare. Ovviamente h o azzerato tutte le autorizzazioni... senza molto successo evidentemente.
Il fatto è che dovrei studiarmi la questione delle porte un po' meglio. Se, per esempio, Outpost mi chiede un'autorizzazione di una chiamata in uscita o in ingresso e io non so interpretare la porta, è quasi inutile che il firewall me lo chieda, perchè io non so che fare in quel momento. L'unica cosa che intuisco è che se sto navigando e non sto facendo nient'altro, e il firewall mi segnala una chiamata, per giunta da bloccare, io la blocco. Tutto qui.
Ma se quando sto installando un'aplicazione, per esempio Skype, il rifewall comincia a chiedermi un migliaio di autorizzazioni, io vado in crisi nera e, se voglio installare, autorizzo tutto.
Intanto ecco i log di G-mer.
LogRootkit1.txt
LogAutorun.txt
Ti avverto che sono piuttosto lunghetti, soprattutto il primo. Fammi sapere se trovi qualcosa di strano o se è tutto ok.
Grazie
(edit): dimenticavo, ho scansionato con quei 2 tool, risultato zero... |
Modificato da - Diana in data 25/08/2007 13:10:10 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/08/2007 : 19:30:47
|
i log sono a posto, dobbiamo quindi capire chi e perchè sta dietro al collegamento sospetto e per fare questo dobbiamo utilizzare il firewall: dammi la versione del programma e dimmi se è in italiano.
Potrebbe avere funzioalità diverse dal mio. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 25/08/2007 : 20:06:40
|
Davvero sono apposto? Perchè così lunghi allora..? 
Cmq, la versione in italiano di Outpost è la 2.0.226.29.21 (290)... vecchiotta, lo so, ma la 4 l'ho trovata troppo invadente e ho rimesso questa che è una versione molto più leggera e ugualmente funzionante.
I plugin ad ogni modo sono gli stessi e ti dico questo: ho bloccato 'sto maledetto sito non soltanto nel filtro di Outpost, ma anche nel firewall del router.
NIENTE DA FARE!!! Continuano ad apparire nel log queste connessioni del cavolo! 
Ora, puoi togliermi una curiosità? Che significa "allow loopback" dalle porte più svariate su "localhost"?
|
|
|
| |
Discussione |
|
Outpost mi rivela strane connessioni
Forum Bloccato
