inspiegabile attività di rete

[Fortebraccio]

Avete presente l'icona con i due piccoli monitor in basso a destra che indica l'attività della connessione internet? Da un pò di tempo noto una strana ed inspiegabile attività internet quando la connessione è attiva ma IE è chiuso e io magari sto adoperando un programma di videoscrittura o di fotoritocco . I due piccoli monitors dell' icona indicano attività della connessione (sono sempre accesi) e anche osservando il modem si può capire dalle spie che c' è un'attività download/upload. L' icona di Windows update non compare, quindi non posso imputare il fenomeno ad aggiornamenti in download. Succede anche a voi? cosa ne pensate?
Per quanto riguarda la connessione è una connessione Alice standard, non sono connesso ad una rete LAN di un ufficio, si tratta di una semplice utenza domestica.

[poiuytr]

tramite task manager guarda per prima cosa quanta percentuale di cpu usano i tuoi programmi, se è alta (diciamo più del 7%, ma dipende da i programmi attivi che hai, quindi è meglio se chiudi tutto tranne windows ovviamente)vai nei processi e clikka 2 volte dove c'è scritto cpu.li vedrai dei numeri..che dovrebbero teoricamente cambiare spesso, e guarda quali sono i processi che vadi tra i primi....(dovrebbero essere quelli che sfruttano la cpu)segnali e vai su http://www.processlibrary.com/it/ e cerca quei processi....vedi cosa ti dice...

non garantisco che se è un virus il processo sia visibile....ma qualche dialer o trojan a volte hanno i processi visibili.....

eventualmente fammi risapere...

[Fortebraccio]

grazie per il consiglio

[Fortebraccio]

la cosa continua inspiegabilmente. Ho effettuato ieri una scansione profonda con NOD 32 ma è stato rilevato nulla. Vedere con Internet Explorer chiuso l' icona della connessione di rete attiva sia in entrata che in uscita mi da sui nervi, mi da l'impressione che il PC usi internet indipendentemente dalla mia volontà.
Qualche altro suggerimento?

[Habanero]

solo per renderci conto di cosa stiamo parlando...
Scarica TCPView
Quando il fenomeno si presenta lancia il programma, disabilita la risoluzione dei nomi (icona a forma di A nella barra degli strumenti) e salva i dati attraverso File->Save as...
Posta qui il risultato.

[Fortebraccio]

questo:
[System Process]:0 TCP 87.13.129.184:1253 216.150.79.250:443 TIME_WAIT
alg.exe:3164 TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
lsass.exe:792 UDP 0.0.0.0:500 *:*
lsass.exe:792 UDP 0.0.0.0:4500 *:*
StarWindServiceAE.exe:660 TCP 0.0.0.0:3260 0.0.0.0:0 LISTENING
StarWindServiceAE.exe:660 TCP 0.0.0.0:3261 0.0.0.0:0 LISTENING
svchost.exe:1056 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
svchost.exe:1156 UDP 87.13.129.184:123 *:*
svchost.exe:1156 UDP 127.0.0.1:123 *:*
svchost.exe:1156 UDP 192.168.1.2:123 *:*
svchost.exe:1232 UDP 0.0.0.0:1145 *:*
svchost.exe:1232 UDP 0.0.0.0:1025 *:*
svchost.exe:1232 UDP 0.0.0.0:1235 *:*
svchost.exe:1232 UDP 0.0.0.0:1236 *:*
svchost.exe:1448 UDP 87.13.129.184:1900 *:*
svchost.exe:1448 UDP 127.0.0.1:1900 *:*
svchost.exe:1448 UDP 192.168.1.2:1900 *:*
svchost.exe:968 TCP 87.13.129.184:1486 208.87.149.250:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1498 8.15.231.103:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1501 213.171.219.1:80 SYN_SENT
svchost.exe:968 TCP 87.13.129.184:1499 208.109.119.128:80 LAST_ACK
svchost.exe:968 TCP 87.13.129.184:1502 208.109.119.128:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1507 208.109.119.128:80 LAST_ACK
svchost.exe:968 TCP 87.13.129.184:1509 208.87.149.250:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1508 213.171.219.1:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1506 8.15.231.103:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1511 208.87.149.250:80 LAST_ACK
svchost.exe:968 TCP 87.13.129.184:1514 213.171.219.1:80 SYN_SENT
svchost.exe:968 TCP 87.13.129.184:1513 208.109.119.128:80 ESTABLISHED
svchost.exe:968 TCP 87.13.129.184:1512 213.171.219.1:80 LAST_ACK
System:4 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
System:4 TCP 192.168.1.2:139 0.0.0.0:0 LISTENING
System:4 UDP 192.168.1.2:137 *:*
System:4 UDP 192.168.1.2:138 *:*
System:4 UDP 0.0.0.0:445 *:*

[Fortebraccio]

la malefica attività si è interrotta istallando Zone Alarm; a questo proposito vi vorrei chiedere come mi devo comportare con Windows Firewall; la lascio attiva oppure la disattivo?

[Habanero]

zone alarm dovrebbe automaticamente disabilitare Windows Firewall durante la sua installazione. In ogni caso è inutile averli entrambi attivi.


Nel tuo log delle connessioni noto una cosa che non mi piace molto... connessioni instaurate da svchost verso ip remoti...
Vista la natura dei siti hostati su quegli ip non vorrei che il tuo pc avesse qualche ospite indesiderato.

Per favore posta un log di hijackthis seguendo le istruzioni riportate al punto [4] della seguente discussione:
http://forum.html.it/forum/showthrea...hreadid=811189

[Fortebraccio]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.59.16, on 15/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\ScanSoft\TextBridgePro11.0\opware32.e xe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Programmi\ScanSoft\PDF Professional 4.0\RegistryController.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 4-reminder] "C:\Programmi\ScanSoft\PDF Professional 4.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PDF Professional\4\Ereg\Ereg.ini
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\TextBridgePro11.0\opware32.e xe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] C:\Programmi\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Apri con ScanSoft PDF Converter 4.1 - res://C:\Programmi\ScanSoft\PDF Professional 4.0\cnvres_ita.dll /100
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} - http://www.ipix.com/viewers/ipixx.cab
O20 - Winlogon Notify: isapips32 - C:\WINDOWS\SYSTEM32\isapips32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programmi\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8553 bytes

[Habanero]

elimina questa voce

O20 - Winlogon Notify: isapips32 - C:\WINDOWS\SYSTEM32\isapips32.dll

riavvia e cancella fisicamente il file
C:\WINDOWS\SYSTEM32\isapips32.dll