Problemi ma antivirus e firewall non rilevano nulla

[abarb4]

Ciao a tutti.

Sono quasi disperato.

Ho due computer: Win 2000 server e Nt4 workstation.
Installati Norton Antivirus e firewall sempre aggiornati.

Nt4 Mi é stato messo KO da qualcosa ha tentato di svuotare la memoria. Da due settimane dava segni di stranezze mai viste tipo che la freccina del mouse faceva quello che voleva tentando di spegnere il computer, aprendo finestre ecc,
Oggi ho verificato i primi stessi sintomi sul 2000 e sicuramente tra 2 settimane sarà KO pure quello.

Cosa sta succedendo?? Visto che firewall e antivirus non servono a nulla dove vado a risolvere il problema manualmente?

grazie a chiunque mi possa dare indicazioni

[Dwarf]

Prova a fare un controllo con un antitrojan tipo questo: http://software.hwupgrade.it/articoli/843/1.html e a fare un controllo on-line delle porte: http://security.symantec.com/sscv6/d...d=it&venid=sym

[abarb4]

Prima di tutto grazie per i suggerimenti.

Ho provato tutto,istallato tutto, ma di cio che mi hai suggerito nulla mi ha indicato qualcosa di strano.

poi tra i link che mi hai dato è saltato fuori spybot che mi ha dato il risultato che puoi vedere qui
http://ciccio1281.interfree.it

A parte gli hitbox, le altre cose non le conosco e non ho ancora avuto modo di approfondirle, per cui ho velocemente immunizzato tutto (magari sbagliando)

Secondo te tra le cose scansionate può esserci la causa dei problemi che ho riscontrato?

[abarb4]

Il problema persiste nonostante tutte le contromisure prese.

Anzi, ora non riesco neanche ad avviare IIS.

Ogni volta che ci provo una finestra mi avverte che non si può fare un' "operazione Socket su non socket"

cosa posso fare a parte reistallare tutto?

[Habanero]

Da quello che dici sembrerebbe che sia stata installata una backdoor. Strano però che il firewall non segnali nulla.
Per cosa le usi le macchine?
Prova a postare qui l'output di

netstat -na

[abarb4]

Il 2000 lo uso per provare le applicazioni per internet in locale. Nt per grafica e 3d. Tieni conto che nella Lan locale ci sono altri 4 Machintosh che non hanno mai dato nessun problema.

Di sicureza non so praticamente nulla.
Cosa sarebbe una backdoor?

[Delmak_O]

diciamo una porta che si apre a casa tua - e di cui tu non sai nulla, una porta 'nel retro' - e che fa entrare "estranei" non voluti...praticamente una backdoor installata permette ad un estraneo di poter prendere controllo del tuo pc e di 'governarlo' contro la tua volontà, come le 'stregonerie' di cui tu parlavi...tali porte 'di servizio' vengono aperte da processi in esecuzione che si avviano - sempre a tua insaputa - e che rimangono 'in ascolto' in attesa di un 'aggancio' dall'esterno (da remoto)...praticamente un malintenzionato potrebbe aver installato la parte 'passiva' (in attesa) di un programma (la parte server) nel tuo pc e potrebbe così collegarsi a questa parte con l'altra parte client (quella attiva, che s'aggancia) che lui possiede, così da connettersi via internet con il tuo pc e manovrarlo...
fai come ha detto Habanero, digita netstat -an sul tuo pc dal prompt dei comandi, guarda quali porte in ascolto hai, potresti scoprire qualcosa...non sono sempre 'fisse' le porte pericolose in ascolto, certo che se trovi aperta una porta come la 31337 può essere significativo...qualcuno più esperto potrà poi aiutarti...

[abarb4]

Chi è la buonanima a cui posso mandare via mail o con un messaggio privato la lista di porte per capire se ci può essere qualche problema?

[abarb4]

OK.
anche se non c'è nessuno che mi vuole avere in carico ho capito che mi devo preoccupare perchè nella lista c'è la porta UDP 0.0.0.0:37037

Ora cosa posso fare?
Si può chiudere? Si possono chiudere eventuali altre porte che possono essere aperte a piacere?

Nel Log del firewall non c'è traccia di questa porta.

[Habanero]

manda pure la lista... oppure postala sul forum sostituendo al tuo ip x.x.x.x

effettivamente quella porta UDP è un po' strana.

Se vuoi puoi scaricarti TCPView. E' un programma freeware che funziona come netstat ma in più ti fa vedere il nome del processo server cha ha aperto la porta (solo se sei loggato come amministratore).

http://www.sysinternals.com/ntw2k/source/tcpview.shtml