Blocco PC 5 sec - Firewal e connessione

[Lallettino]

Devo riuscire a veninrne fuori...

il problema non è ancora risolto, ho installato di tutto e di più

Avast
Spybot
Ad-Aware2007
Sophos
HiJackThis

Nessuno di questi programmi trova qualcosa. Eppure il PC ogni TOT minuti si blocca... per poi completare i movimenti che ho fatto col mouse nel periodo di "blocco" tutti insieme.

secondo voi è normale tutto questo traffico bloccato da zonealarm?
(più di 40 accessi bloccati in un minuto)

FWIN,2007/11/28,13:40:00 +1:00 GMT,1.253.128.30:53,23.250.xxx.xxx:2400,UDP
FWIN,2007/11/28,13:40:00 +1:00 GMT,87.6.102.148:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:00 +1:00 GMT,87.10.22.173:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 GMT,84.220.116.83:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 GMT,83.147.85.224:21461,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 GMT,84.190.30.89:8195,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 GMT,213.60.188.165:41724,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,151.38.207.18:19432,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,82.51.138.137:26534,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,90.16.15.19:4671,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,84.121.87.187:24054,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,151.56.125.192:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,151.21.27.22:24672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,84.79.238.64:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,89.140.118.217:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:04 +1:00 GMT,217.226.212.50:6672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:06 +1:00 GMT,80.25.22.237:8,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:06 +1:00 GMT,151.56.178.241:1756,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:06 +1:00 GMT,84.220.163.45:49318,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:06 +1:00 GMT,82.52.183.105:38727,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:06 +1:00 GMT,151.33.25.74:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:08 +1:00 GMT,151.63.137.125:9700,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:08 +1:00 GMT,151.47.59.67:1756,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:08 +1:00 GMT,200.89.175.9:17962,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:08 +1:00 GMT,83.176.10.144:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,1.253.128.30:53,23.250.xxx.xxx:2401,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,88.22.193.234:4661,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,88.15.67.160:27924,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,81.250.147.214:7571,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,87.19.202.160:46375,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,83.40.100.253:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,89.130.117.116:57481,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,77.199.214.160:4252,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:10 +1:00 GMT,77.206.90.221:4976,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,82.255.0.21:37453,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,84.100.18.169:55002,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,87.4.66.249:14352,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,217.217.64.196:13081,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,82.65.66.21:3852,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:12 +1:00 GMT,80.38.177.198:27269,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:14 +1:00 GMT,151.77.254.22:10736,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:14 +1:00 GMT,87.5.254.70:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:14 +1:00 GMT,151.53.226.183:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:16 +1:00 GMT,82.55.173.222:39926,23.250.xxx.xxx:2671,UDP

[Habanero]

Originariamente inviato da Lallettino
....

secondo voi è normale tutto questo traffico bloccato da zonealarm?
(più di 40 accessi bloccati in un minuto)

FWIN,2007/11/28,13:40:00 +1:00 GMT,1.253.128.30:53,23.250.xxx.xxx:2400,UDP
FWIN,2007/11/28,13:40:00 +1:00 GMT,87.6.102.148:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:00 +1:00 GMT,87.10.22.173:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 GMT,84.220.116.83:4672,23.250.xxx.xxx:2671,UDP
FWIN,2007/11/28,13:40:02 +1:00 ....

usi programmi p2p?

[Lallettino]

Originariamente inviato da Habanero
usi programmi p2p?

Nessun programma P2P

Win 2000 SP4
IE 6
Outlook Express

FW
Zonealarm 7.0

e i seguenti software antivirus e antispy

Virit
Spybot
Ad-Aware
Avast
Hijack
Sophos


Per sicurezza posto di nuovo il log di HiJack (a me sembra pulito)

codice:

Logfile of HijackThis v1.99.1
Scan saved at 14.03.39, on 28/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\VEXPLITE\viritsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Photoshop 6.0\Photoshp.exe
C:\Programmi\File comuni\Adobe\Web\AOM.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [projselector] "C:\Programmi\File comuni\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1191542739613
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas   www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

[Lallettino]

Proprio ora Avast dopo la scansione mi ha segnalato questo file

C:\WINNT\SYSTEM32\ActiveScan\pskavs.dll

infetto da: Win32:CTX

[Deifobe]

Risulta un file legittimo di Panda..

Eppure io resto con lo stesso dubbio che avevo all'inizio, forse perche' trovai diversi articoli che dicevano tutti la stessa cosa (e ricordo in particolare di un ragazzo che cambio' firewall, alla fine, e non ebbe piu' problemi).
Ok, per quanto riguarda la falla che ti avevo segnalato, e' stata riconosciuta come buona la versione che hai tu ma in realta'.. hai lo stesso problema delle versioni precedenti. Io non la scarterei come ipotesi... (probabilmente sbagliando).
:master: E' cosi' tanto complicato passare, anche solo per un breve periodo di tempo, ad un altro firewall?

[Lallettino]

Originariamente inviato da Deifobe
Risulta un file legittimo di Panda..

E' cosi' tanto complicato passare, anche solo per un breve periodo di tempo, ad un altro firewall?

Assolutamente no... certo che posso provare... però ho lo stesso sistema operativo con lo stesso firewall anche su un altro PC ... e li non ho questo problema, comunque tentar non nuoce.

Intanto mi faccio un mega backup (per sicurezza)

Tu puoi consigliarmi qualche Firewall free?

[Evi|A|ivE]

io ho fastweb.. e virus .. nada.

non so che pc hai ma con quelle 4mila cose che ti girano in continuazione..

quello che farei io:

staccherei il cavo di rete.

disinstallerei ogni porcheria. E intendo anch espybot, panda, gnu, zebre, avast, TUTTO.

O4 - HKCU\..\Run: [internat.exe] internat.exe

che è sta roba?

e poi, Roxio, zone alarm, adobe perepequaqua.. boh io non ci lascerei nulla che non sia necessario.

Poi, tolto tutto (anche avast) metti su un.. semplice.. leggero.. efficace NOD32.

Magari lo scarichi prima di togliere zonealarm.
Ah, tral'altro, zonealarm è una pippa di firewall.. boh lo usavo tipo nel 2001.. poi passai a OutPost (chissa se esiste ancora :P ).

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

Io questo l'ho tolto anche se ho (avevo) la toolbar.
In genere elimino ogni tipo di updater automatico. dico io quando come e perche.

[Deifobe]

forse come firewall potrebbe andar bene outpost o anche comodo..
Il mio dubbio riguarda solo l'IP che bussa al tuo pc e il traffico. Prima di disinstallare mi chiedo se non sia consigliabile provare con un AntiRootkit. Mi pare di aver capito che alcuni rootkit sfruttano i pc per diffondere materiale... e quei momenti ciclici di "buio" e traffico non sono normali, proprio perchè poi torna tutto "normale". Solo che non so come funzionerebbe la connessione in questo caso..

I più esperti che dicono?

[Lallettino]

Perdonate se sono "de coccio" ma ho due PC collegati sullo stesso Hug - stesso sistema operativo - stesso service pack - stesso firewall - su uno ho il problema e sull'altro tutto Ok... è strano.

visto che il numero di attacchi è cresciuto e puntano tutti sulla porta 2671 ho fatto una ricerca ed ho trovato questo:
http://www.39italia.com/canali/guide..._1224_2999.htm

cosa significa TCP o UDP
newlixreg 2671/tcp
newlixreg 2671/udp

che tipo di porta è la 2671 a cosa serve? e newlixreg cos'è?

Grazie ancora per l'interessamento

[Habanero]

L'intervallo di porte tra la 1024 e la 49151 è costituito dalla classe delle cosiddette "registered ports". Ad ognuna di esse è associato un servizio standard. A differenza dell'intervallo 0-1023 (well known ports) in cui l'assegnazione dei servizi è molto più rigido e standardizzato, le registered ports vengono in realtà utilizzate in modo libero. Questo significa che l'indicazione del servizio newlixreg associato a tale porta è assolutamente ininfluente. Posso darti per certo che quei pacchetti non hanno nulla a che fare col servizio newlixreg (che per inciso non ho la più pallida idea di cosa sia)

TCP e UDP sono i due principali protocolli della suite TCP/IP.

Rimane il mistero della porta 2671. Sarebbe interessante analizzare il contenuto di tali pacchetti...
Hai voglia di installare un analizzatore di rete e mandarmi un dump del traffico? Questo ovviamente non risolve il tuo problema ma potrebbe aiutarci a capire cosa sono quei pacchetti.