Ciao a tutti i forumisti. Ho scritto poche volte, più che altro leggo le utilissime notizie qui presenti... Ma stavolta ho un problema che mi sta facendo proprio impazzire. Un rompicapo (almeno per me).Vado al sodo: da un paio di settimane ho notato che, pur senza navigare o utilizzare la connessione internet (router Alice Plus 2 sempre connesso) era presente un continuo traffico web. Utilizzando vari tool di monitoraggio/sniffer (CurrPorts, IPTools, PacketMon ecc.) ed analizzandone i risultati, sono arrivato a descrivere abbastanza fedelmente il quadro di ciò che accade che vado subito a descrivere:
1) Il processo dal quale hanno inizio tali incomprensibili connessioni è il "caro" svchost.exe;
2) Il processo svchost.exe in questione ha come servizi attivi DComLaunch e TermService (gli stessi nel caso in cui abilitassi il servizio di Desktop Remoto, PID compreso);
3) Le connessioni hanno inizio da una richiesta in uscita dell'indirizzo IP 64.246.13.10 sulla porta 80 (legato all'host sconosciuto mymega.hk). Tale richiesta esegue un GET di una pagina /account/l.php? oppure /account/p.php? seguita da una lunga serie di caratteri (tipo codice esadecimale);
4) L'host incriminato risponde dando inizio ad una continua navigazione in background di pagine e siti tra i più disparati: multiply.com, mobile.spaces.live.com, hyves.net, anything.com...... tanto per citarne alcuni. Tutti sembrano avere come tema comune qualcosa tra il blog, la chat ed altri servizi analoghi.
5) Le connessioni avvengono a partire da una determinata porta locale (nn sempre la stessa), e proseguono dalla porta via via successiva. Per intenderci: supponendo che iniziano a partire dalla porta 2010, le successive avverranno dalle porte locali 2011, 2012, 2013 e così via, come se avvenisse una scansione porta per porta;
6) Ho effettuato scansioni antispyware, antivirus, antirootkit........ antitutto praticamente con tutti i software specifici esistenti. Uso di base F-Secure Client Security 7.01 ed ho da poco installato l'ultima versione di Comodo Firewall.
Con Comodo Firewall riesco a bloccare (tramite apposita regola) la connessione iniziale all'IP 64.246.13.10, e bloccando quest'ultima il flusso si arresta. Praticamente è proprio da essa che partono tutte le altre. Dal log del firewall vedo che i tentativi di connessione a questo IP sono svariati, ma a distanza di tempo variabile, senza regolarità che farebbe pensare ad un valore di timeout preimpostato. Utilizzavo spesso il Desktop Remoto, ma una volta che ho scoperto tutto questo, ho preferito disabilitarlo, tenuto conto che tali connessioni sembrano servirsi dello stesso servizio (TermService).
Tenuto conto che il sistema risulta pulitissimo, non so più cos'altro poter fare.
Mi scuso per essermi dilungato troppo e rigrazio anticipatamente per l'attenzione.
Spero possiate darmi una mano. Ciao a tutti.
Rispondi quotando
