All'inizio non era così. Dopo alcuni mesi di utilizzo un po' sconsiderato su internet, il router segnala che il pc scambia dati anche senza alcun programma da me aperto. Come posso capire qual è l'applicazione nascosta che succhia banda internet?

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

Utilizzo il router che è provvisto di firewall hardware e poi il firewall di windows vista. Con quest'ultimo non posso verificare?

non saprei,non ho avuto ancora a che fare con vista :)

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

cmq grazie, ora lo provo e ti so dire...

Ci sono processi continui di sistema o sconosciuti che succhiano banda. Ecco un copia e incolla dei dati rilevati con currports.
La cosa che non capisco è l'uso progressivo di una porta tcp

Unknown TCP 62926 192.168.1.2 25 smtp 143.166.224.193 smtp.us.dell.com Time Wait 06/05/2008 11.31.58
System TCP 62931 192.168.1.2 25 smtp 143.166.224.134 ps-smtp2.us.dell.com Established 06/05/2008 11.31.58
Unknown TCP 62795 192.168.1.2 25 smtp 24.28.193.158 rrcs-mgw-04.hrndva.rr.com Time Wait 06/05/2008 11.31.51
System TCP 62930 192.168.1.2 25 smtp 199.245.246.200 smtp-in.megatram.com Established 06/05/2008 11.31.49
Unknown TCP 62908 192.168.1.2 25 smtp 212.52.84.84 mxlibero2.libero.it Time Wait 06/05/2008 11.31.29
Unknown TCP 62917 192.168.1.2 25 smtp 209.17.173.41 webmail.signal.ca Time Wait 06/05/2008 11.31.27
System TCP 62921 192.168.1.2 25 smtp 64.147.96.91 mx2.nyc.com Established 06/05/2008 11.31.27
Unknown TCP 62915 192.168.1.2 25 smtp 70.85.110.114 lbh-s.spamh.com Time Wait 06/05/2008 11.31.24
Unknown TCP 62903 192.168.1.2 25 smtp 212.52.84.83 mxlibero1.libero.it Time Wait 06/05/2008 11.31.22
System TCP 62914 192.168.1.2 25 smtp 148.235.52.7 nlpiport02.prodigy.net.mx Established 06/05/2008 11.31.22
Unknown TCP 62901 192.168.1.2 25 smtp 207.46.51.86 mail.global.frontbridge.com Time Wait 06/05/2008 11.31.17
Unknown TCP 62905 192.168.1.2 25 smtp 193.163.1.112 asgaard.lystrup.terma.com Time Wait 06/05/2008 11.31.17
System TCP 62907 192.168.1.2 25 smtp 66.196.97.250 mta-v1.mail.vip.re3.yahoo.com Sent 06/05/2008 11.31.17
System TCP 62909 192.168.1.2 25 smtp 75.180.132.243 cdptpa-smtpin01.mail.rr.com Established 06/05/2008 11.31.17
Unknown TCP 62879 192.168.1.2 25 smtp 209.142.136.105 r2d2.centurytel.net Time Wait 06/05/2008 11.31.16
Unknown TCP 62894 192.168.1.2 25 smtp 76.164.35.19 mxa.casne.com Time Wait 06/05/2008 11.31.16
System TCP 62904 192.168.1.2 25 smtp 130.111.32.30 samuel.its.maine.edu Established 06/05/2008 11.31.16
System TCP 62906 192.168.1.2 25 smtp 206.190.53.191 mta-v11.mail.vip.re2.yahoo.com Sent 06/05/2008 11.31.16
Unknown TCP 62896 192.168.1.2 25 smtp 207.115.20.21 ff-mx-vip2.prodigy.net Time Wait 06/05/2008 11.31.12
Unknown TCP 62867 192.168.1.2 25 smtp 165.158.1.6 mail.paho.org Time Wait 06/05/2008 11.31.08
System TCP 62895 192.168.1.2 25 smtp 216.93.66.110 a.mx.voyager.net Established 06/05/2008 11.30.59
System TCP 62899 192.168.1.2 25 smtp 209.191.118.103 mta-v8.mail.vip.mud.yahoo.com Established 06/05/2008 11.30.59
Unknown TCP 62838 192.168.1.2 25 smtp 64.147.96.92 mx3.nyc.com Time Wait 06/05/2008 11.30.59
Unknown TCP 62876 192.168.1.2 25 smtp 204.209.205.52 mx01.svc.telus.net Time Wait 06/05/2008 11.30.59
Unknown TCP 62893 192.168.1.2 25 smtp 64.18.6.14 s7a1.psmtp.com Time Wait 06/05/2008 11.30.59
Unknown TCP 62861 192.168.1.2 25 smtp 200.241.250.252 200-241-250-252-dial.mcp.bno.com.br Time Wait 06/05/2008 11.30.47
Unknown TCP 62868 192.168.1.2 25 smtp 207.115.20.21 ff-mx-vip2.prodigy.net Time Wait 06/05/2008 11.30.47
Unknown TCP 62869 192.168.1.2 25 smtp 200.45.249.213 host213.200-45-249.telecom.net.ar Time Wait 06/05/2008 11.30.47
Unknown TCP 62889 192.168.1.2 25 smtp 64.174.75.9 smtp1.cepheid.com Time Wait 06/05/2008 11.30.47
System TCP 62890 192.168.1.2 25 smtp 66.196.97.250 mta-v1.mail.vip.re3.yahoo.com Established 06/05/2008 11.30.47
Unknown TCP 62723 192.168.1.2 25 smtp 24.28.193.157 rrcs-mgw-03.hrndva.rr.com Time Wait 06/05/2008 11.30.47
Unknown TCP 62801 192.168.1.2 25 smtp 78.47.68.217 vps067.rnic-server.de Time Wait 06/05/2008 11.30.47
Unknown TCP 62803 192.168.1.2 25 smtp 199.221.98.58 chimgw01.interpublic.com Time Wait 06/05/2008 11.30.47

Se davvero non hai aperto nulla c'è un pò troppa robaccia....

Segui bene la GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner

Scarica da qui (http://www.ccleaner.com/download/builds/downloading-slim) la versione slim di CCleaner.
Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
Scarica da qui (http://www.snapfiles.com/download/dlatfcleaner.html) ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected


CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.


Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis

Così potremmo capire cosa c'è che non va.
Ciao

botnet!:D

@ wjmat:
aggiorna il file che usi per il copia/incolla perchè nel "ricapitolando" stai dando info vecchie...

non avevo visto che l'hai aggiornata stanotte ;)

@ wjmat:
aggiorna il file che usi per il copia/incolla perchè nel "ricapitolando" stai dando info vecchie...

Ho eseguito le prime due pulizie con i due cleaner. Ad occhio mi pare che i dati scambiati siano diminuiti. Adesso sto seguendo alla lettera quanto scritto da wjmat...

non avevo visto che l'hai aggiornata stanotte ;)

a dire il vero era in modo visione da sabato, ieri a pranzo è stata ufficializzata e poi nella notte ho aggiunto un pezzettino che telo metto in corsivo:

e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:

ma il resto era già presente prima :)

x xcdegasp
sono stato in vacanza un paio di giorni e mi sono perso la prima visione :D :D :D

x vinicius
alla luce dei nuovi aggiornamenti...
vogliamo in ordine:

-log di A-squared
-log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
-log di Dr.Web CureIT scaricato oggi
-log di ESET SysInspector
-log di HiJackThis
-log di Gmer
-log di PrevxCSI

x xcdegasp
sono stato in vacanza un paio di giorni e mi sono perso la prima visione :D :D :D

x vinicius
alla luce dei nuovi aggiornamenti...
vogliamo in ordine:

-log di A-squared
-log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
-log di Dr.Web CureIT scaricato oggi
-log di ESET SysInspector
-log di HiJackThis
-log di Gmer
-log di PrevxCSI

Grazie, sto facendo la scansione con A-Squared, ha già individuato worm.win32.Otwycal.q e Dialer. Una volta finita la scansione con questo programma, li elimino o li metto in quarantena?

Grazie, sto facendo la scansione con A-Squared, ha già individuato worm.win32.Otwycal.q e Dialer. Una volta finita la scansione con questo programma, li elimino o li metto in quarantena?

Quarantena

Non so come trovare il log di a-sqared, comunque a trovato sulo 2 file:

C:\Program Files\Winamp\UninstallWA.exe (worm.win32.Otwycal.q)

qlellbiz.exe (Dialer)

Li ho messi entrambi in quarantena.

Passo al secondo programma.

Non so come trovare il log di a-sqared, comunque a trovato sulo 2 file:

C:\Program Files\Winamp\UninstallWA.exe (worm.win32.Otwycal.q)

qlellbiz.exe (Dialer)

Li ho messi entrambi in quarantena.

Passo al secondo programma.

non lo devi trovare ma lo devi salvare clickando sulla voce "salva rapporto" a fine scansione e dopo aver eseguito messo in quarantena gli oggetti :)

non lo devi trovare ma lo devi salvare clickando sulla voce "salva rapporto" a fine scansione e dopo aver eseguito messo in quarantena gli oggetti :)

Cacchio ormai ho chiuso il programma, ma ho riportato i file trovati a mano, fa lo stesso? Li ho messi in quarantena. Adesso sto facendo un passaggio con F-Secure. E' a metà ed ha già trovato un paio di virus.

rifai la scansione per favore e salva il log :D

rifai la scansione per favore e salva il log :D

Ormai ho i 2 file segnalati sopra in quarantena, per farglieli rilevare di nuovo li dovrei ripristinare e fare una nuova scansione di 1 oretta... E' proprio necessario? :D

Ecco invece il log della scansione con F-Secure
http://utenti.lycos.it/vinicius2003/ols_report.html

Ormai ho i 2 file segnalati sopra in quarantena, per farglieli rilevare di nuovo li dovrei ripristinare e fare una nuova scansione di 1 oretta... E' proprio necessario? :D

All'interno della cartella Documenti dovresti trovare la cartella A-Squared Free all'inteno dovresti trovare il log dell'ultima scansione

All'interno della cartella Documenti dovresti trovare la cartella A-Squared Free all'inteno dovresti trovare il log dell'ultima scansione
Certelle vuote :muro:

All'interno della cartella Documenti dovresti trovare la cartella A-Squared Free all'inteno dovresti trovare il log dell'ultima scansione

lì compare quando lo salvi altrimenti lo elimina dalla temp alla chiusura dello scanner :)

lì compare quando lo salvi altrimenti lo elimina dalla temp alla chiusura dello scanner :)

evidentemente ricordavo male :boh:

Ecco il log d gmer. Qualcuno mi aiuta? :fagiano:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-06 22:48:26
Windows 6.0.6001 Service Pack 1


---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwQueryLicenseValue + D41 81C62BB9 1 Byte [ 06 ]
_PAGELK C:\Windows\system32\ntkrnlpa.exe entry point in "_PAGELK" section [0x81CF74B0]

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Windows\Explorer.EXE[1860] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [03E42E70] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Windows\Explorer.EXE[1860] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [03E42C50] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Windows\Explorer.EXE[1860] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [03E42C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Windows\Explorer.EXE[1860] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [03E42C40] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe[3652] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00172E70] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe[3652] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [00172C50] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe[3652] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00172C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe[3652] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00172C40] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe[3684] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00352E70] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe[3684] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [00352C50] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe[3684] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00352C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe[3684] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00352C40] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Users\Ra\Documents\pulizia\gmer\gmer.exe[3976] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003C2E70] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Users\Ra\Documents\pulizia\gmer\gmer.exe[3976] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [003C2C50] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Users\Ra\Documents\pulizia\gmer\gmer.exe[3976] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003C2C30] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Users\Ra\Documents\pulizia\gmer\gmer.exe[3976] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003C2C40] C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

una scansione degli ads l'hai già fatta?

Infine segnalo che Prevx non ha trovato alcuna infezione... :rolleyes:

una scansione degli ads l'hai già fatta?Che programma free?

DrWeb ha trovato e mi ha fatto spostare i seguenti trojan. Ma dove li mette quando li sposta? Come faccio ad eliminarli definitivamente?

esimgdet.dll (Trojan.DownLoader.origin) C:\Windows\System32\DriverStore\FileRepository\es27.inf_513c5c6c

esimgdet.dll (Trojan.DownLoader.origin) C:\Windows\twain_32\escndv\es0027

Volevo comunicare che ho lanciato nuovamente Currports e adesso sembra non ci siano processi che comunicano con internet in modo anomalo.

Comincio col ringraziare tutti e attendo di sapere i file spostati da drweb che fine fanno.