Attività di rete sospette: il mio sistema è stato compromesso?

2

Quando si utilizza Firefox per aprire una pagina vuota, ho una strana connessione di rete che viene visualizzata in Attività di rete in Monitor risorse (Windows 7).

L'indirizzo è: insiders-guide.pacedev.com . Uno screenshot:

Che diamine è questo? Non ho mai visitato il loro sito prima di oggi. da dove viene? Come faccio a liberarmene?

    
posta Disgustipated 05.05.2016 - 05:38
fonte

2 risposte

1

Ho avuto questo stesso problema circa 2-3 settimane fa, con lo stesso sito in arrivo dopo aver eseguito diverse scansioni con Roguekiller.

Prima i browser si bloccavano o funzionavano molto a intermittenza, (Firefox, Chrome, Edge, IE, Opera, ecc.) Utilizzando un browser web in un gioco, l'esecuzione di una VM o Tor funzionava, ma anche Tor si bloccava dopo un'ora.

Questo era su Win 10 a 64 bit, con malwarebytes (completo), Sophos home e malwarebytes anti-exploit in esecuzione. Nessun Java o flash installato, origini Ublock e Noscript installato per Firefox, flash incorporato disattivato in Edge.

Disinstallare i browser e reimpostare IE, quindi reinstallare altri browser funzionerebbe forse per un giorno prima che si verificasse il problema. (Anche rimuovendo IE e utilizzando altri browser su nuove installazioni, lo stesso problema!)

Malwarebytes ha bloccato i tentativi di connessione al PC 5+ volte al giorno mentre questo stava succedendo, dopo che roguekiller ha preso i ganci e le chiavi di reg, niente più problemi;)

Nulla è stato rilevato nelle scansioni (MB, Sophos o roguekiller) fino all'aggiornamento più recente per roguekiller! Mi ha fatto impazzire, ho finito per fare dei cd live da cui partire per navigare. I browser hanno funzionato in modalità provvisoria btw.

Ho presunto che la compagnia immobiliare fosse stata violata o che fosse solo un falso quando ho visto anche l'indirizzo.

    
risposta data 05.05.2016 - 10:59
fonte
0

È difficile dire solo sulla base di questo. Sarebbero necessarie ulteriori informazioni per trarre conclusioni solide.

Se vuoi veramente sapere se è compromesso; riavviare il sistema, utilizzare netstat per visualizzare le connessioni attive. Se è installato un rootkit, dovresti vedere una connessione non riconosciuta. La parte difficile è eliminare questa connessione tra tutte le connessioni standard a Microsoft (queste connessioni controllano gli aggiornamenti all'avvio, ecc.)

Ho fatto un po 'di curiosità e non ho trovato il nome di dominio da nessuna parte. Dopo aver provato ping, traceroutes e usando nslookup, non riesco a trovarlo. È possibile controllare la cache DNS per assicurarsi che il nome di dominio non sia impostato staticamente per contattare un server su Internet.

Sebbene questa attività sia davvero sospetta, non penso sia sufficiente per contrassegnare il sistema come compromesso. Se ti senti all'altezza, prendi le precauzioni sopra elencate ed esegui alcune scansioni antivirus (non è una soluzione perfetta, ma se un rootkit è in esecuzione senza privilegi a livello di sistema di quanto non dovrebbe essere così difficile da trovare).

NOTA: se questa attività è solo legata al tuo browser, il tuo browser potrebbe essere stato agganciato da qualche parte su Internet. Per risolvere questo problema, basta cancellare tutte le impostazioni del browser. Pulisci tutto e anche il gancio incriminato dovrebbe essere cancellato.

    
risposta data 05.05.2016 - 06:24
fonte

Leggi altre domande sui tag