PDA

View Full Version : Infinità di connessione con svchost.exe


beog
25-05-2008, 10:46
Ciao a tutti,
ultimamente dopo un po' di tempo che sono connesso, tutte le connessioni rallentano. Sia quelle internet sia quelle locali al webserver.
Di per se la banda viene usata pochissimo e se uso TCPVIEW vedo che ci sono un sacco di connessioni attive o in CLOSE_WAIT aperte da svchost.exe. Alcune a porte strane altre in http o pure smtp!
Ho già fatto più controlli antivirus con un NOD32 aggiornato e poi con AVG, non ha trovato nulla, non so che fare... se sconnetto e riconnetto la connessione riparte a velocità regolare, ma dopo un po' ripartono le connessioni.

Vi riporto il log di TCPVIEW per farvi un'idea di quante connessioni ci sono:

[System Process]:0 TCP localhost:http localhost:4299 TIME_WAIT
[System Process]:0 TCP localhost:4315 localhost:http TIME_WAIT
[System Process]:0 TCP localhost:4321 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:4316 localhost:http TIME_WAIT
[System Process]:0 TCP localhost:4322 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:4317 localhost:http TIME_WAIT
[System Process]:0 TCP localhost:4216 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:4238 63.245.209.39:https TIME_WAIT
[System Process]:0 TCP localhost:4340 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:3306 localhost:4308 TIME_WAIT
[System Process]:0 TCP localhost:4266 207.188.5.44:http TIME_WAIT
[System Process]:0 TCP localhost:4217 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:http localhost:4303 TIME_WAIT
[System Process]:0 TCP localhost:4341 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:4218 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:4342 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:4219 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:4220 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:3306 localhost:4328 TIME_WAIT
[System Process]:0 TCP localhost:4223 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:http localhost:4309 TIME_WAIT
[System Process]:0 TCP localhost:http localhost:4310 TIME_WAIT
[System Process]:0 TCP localhost:http localhost:4311 TIME_WAIT
[System Process]:0 TCP localhost:4301 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:http localhost:4296 TIME_WAIT
[System Process]:0 TCP localhost:4312 localhost:http TIME_WAIT
[System Process]:0 TCP localhost:4334 localhost:3306 TIME_WAIT
[System Process]:0 TCP localhost:4227 212.162.68.25:http TIME_WAIT
[System Process]:0 TCP localhost:4313 localhost:http TIME_WAIT
[System Process]:0 TCP localhost:4304 localhost:3306 TIME_WAIT
alg.exe:2916 TCP localhost:1027 localhost:0 LISTENING
httpd.exe:1324 TCP localhost:http localhost:0 LISTENING
lsass.exe:1012 UDP localhost:isakmp *:*
lsass.exe:1012 UDP localhost:4500 *:*
msnmsgr.exe:316 TCP localhost:1164 207.46.27.83:1863 ESTABLISHED
msnmsgr.exe:316 TCP localhost:1085 207.46.110.115:1863 ESTABLISHED
msnmsgr.exe:316 UDP localhost:1079 *:*
msnmsgr.exe:316 UDP localhost:9634 *:*
msnmsgr.exe:316 UDP localhost:1026 *:*
msnmsgr.exe:316 UDP localhost:discard *:*
mysqld-nt.exe:1356 TCP localhost:3306 localhost:0 LISTENING
Skype.exe:284 TCP localhost:1071 89.215.254.32:57193 ESTABLISHED
Skype.exe:284 TCP localhost:1646 localhost:0 LISTENING
Skype.exe:284 UDP localhost:1025 *:*
Skype.exe:284 UDP localhost:1646 *:*
spoolsv.exe:1692 TCP localhost:47544 localhost:0 LISTENING
svchost.exe:1184 TCP localhost:2366 68.101.120.77.colo.static.dc.volia.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 kinomatograff.se:3628 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-252-178.reverse.ezzi.net:1926 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1137 mail.smartdevil.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1532 eris.diyhost.co.uk:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1154 mercury.orderbox-domainforward.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1864 64.8.20.50:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.197.151.133.srv03.nameresolution.net:3808 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 fc7150152.aspadmin.net:2162 ESTABLISHED
svchost.exe:1184 TCP localhost:1589 lnx.co.il:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:4269 hosting6.nexicom.net:smtp SYN_SENT
svchost.exe:1184 TCP localhost:1161 leapcash.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:2201 leapcash.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1880 18.64.232.72.static.reverse.ltdomains.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:4270 mail179.messagelabs.com:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4268 211.41.82.134:smtp SYN_SENT
svchost.exe:1184 TCP localhost:2518 lnx.co.il:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 67.215.231.50:2792 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-234-162.reverse.ezzi.net:2344 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-251-210.reverse.ezzi.net:2856 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.252.90:3784 CLOSE_WAIT
svchost.exe:1184 TCP localhost:2763 194.79.28.134:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:3214 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.234.42:1961 CLOSE_WAIT
svchost.exe:1184 TCP localhost:2075 leapcash.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.252.90:2505 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.135.58:1293 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 67.210.96.84:2734 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.240.82:4058 ESTABLISHED
svchost.exe:1184 TCP localhost:3035 18.64.232.72.static.reverse.ltdomains.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.252.90:1306 CLOSE_WAIT
svchost.exe:1184 TCP localhost:4273 206.47.199.66:smtp SYN_SENT
svchost.exe:1184 TCP localhost:8256 71.6.135.58:1806 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.135.58:4926 ESTABLISHED
svchost.exe:1184 TCP localhost:2336 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1873 68.178.232.99:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 206.51.229.120:2746 ESTABLISHED
svchost.exe:1184 TCP localhost:1476 68.101.120.77.colo.static.dc.volia.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-234-162.reverse.ezzi.net:2204 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-252-178.reverse.ezzi.net:2540 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1323 88.212.201.100:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:3096 69.65.22.215:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 fc7150152.aspadmin.net:4744 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 kinomatograff.se:4659 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 206.51.229.120:4236 ESTABLISHED
svchost.exe:1184 TCP localhost:2041 mercury.orderbox-domainforward.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1318 74.52.77.50:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.240.204.36:4836 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1475 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1151 63.81.164.5:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:2868 68.178.232.99:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-234-162.reverse.ezzi.net:1342 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.203.184:2201 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.203.184:4153 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1892 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.150.81:2422 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1345 leapcash.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 206.51.229.120:2462 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-251-210.reverse.ezzi.net:1215 ESTABLISHED
svchost.exe:1184 TCP localhost:8256 66.232.124.213:1443 CLOSE_WAIT
svchost.exe:1184 TCP localhost:2091 mercury.orderbox-domainforward.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1381 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 206.51.229.120:1679 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-251-210.reverse.ezzi.net:1264 CLOSE_WAIT
svchost.exe:1184 TCP localhost:4187 mail.smartdevil.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 71.6.203.184:4459 ESTABLISHED
svchost.exe:1184 TCP localhost:1859 194.79.28.134:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-234-162.reverse.ezzi.net:2289 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 65.111.172.59:2142 ESTABLISHED
svchost.exe:1184 TCP localhost:8256 206.51.229.120:3184 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.199.240.82:4705 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-251-210.reverse.ezzi.net:3057 ESTABLISHED
svchost.exe:1184 TCP localhost:2012 mail.smartdevil.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:2176 88.212.201.100:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.197.151.133.srv03.nameresolution.net:3067 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 fc7150152.aspadmin.net:4797 CLOSE_WAIT
svchost.exe:1184 TCP localhost:1166 mercury.orderbox-domainforward.com:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:2804 64.8.20.50:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:1886 69.65.22.215:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-234-162.reverse.ezzi.net:4227 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66-199-252-178.reverse.ezzi.net:2387 CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 66.232.124.213:4135 CLOSE_WAIT
svchost.exe:1184 TCP localhost:2489 eris.diyhost.co.uk:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:2124 74.52.77.50:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:4271 68.16.91.245:smtp SYN_SENT
svchost.exe:1184 TCP localhost:2021 63.81.164.5:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 fc7150152.aspadmin.net:3247 CLOSE_WAIT
svchost.exe:1184 TCP localhost:2218 localhost:http CLOSE_WAIT
svchost.exe:1184 TCP localhost:8256 fc7150152.aspadmin.net:3584 ESTABLISHED
svchost.exe:1184 TCP localhost:3389 localhost:0 LISTENING
svchost.exe:1184 TCP localhost:8256 localhost:0 LISTENING
svchost.exe:1184 TCP localhost:4274 213.18.251.243:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4275 212.185.62.220:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4276 130.236.252.25:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4278 12.145.215.169:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4279 80.82.113.111:smtp SYN_SENT
svchost.exe:1184 TCP localhost:4280 195.188.52.252:smtp SYN_SENT
svchost.exe:1232 TCP localhost:epmap localhost:0 LISTENING
svchost.exe:1388 TCP localhost:netbios-ssn localhost:0 LISTENING
svchost.exe:1388 UDP localhost:netbios-dgm *:*
svchost.exe:1388 UDP localhost:ntp *:*
svchost.exe:1388 UDP localhost:ntp *:*
svchost.exe:1388 UDP localhost:netbios-ns *:*
svchost.exe:1508 UDP localhost:2892 *:*
svchost.exe:1508 UDP localhost:2889 *:*
svchost.exe:1508 UDP localhost:2890 *:*
svchost.exe:1508 UDP localhost:1099 *:*
svchost.exe:1508 UDP localhost:1080 *:*
svchost.exe:1508 UDP localhost:2891 *:*
svchost.exe:1508 UDP localhost:1100 *:*
svchost.exe:1508 UDP localhost:1081 *:*
System:4 TCP localhost:microsoft-ds localhost:0 LISTENING
System:4 UDP localhost:microsoft-ds *:*
thunderbird.exe:4088 TCP localhost:1398 localhost:1399 ESTABLISHED
thunderbird.exe:4088 TCP localhost:1399 localhost:1398 ESTABLISHED
thunderbird.exe:4088 TCP localhost:1400 localhost:1401 ESTABLISHED
thunderbird.exe:4088 TCP localhost:1401 localhost:1400 ESTABLISHED

wjmat
25-05-2008, 13:13
Ciao benvenuto nel pronto soccorso di HU.
Spero tu abbia installato un buon firewall...
Segui bene la GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, assicurati di aver ripulito bene il pc dai file inutili con CCleaner.
Un'ulteriore e veloce pulizia puoi farla con ATF Cleaner che trovi qui (http://www.snapfiles.com/download/dlatfcleaner.html)
Una volta aperto, nella prima schermata -> Select All -> Empty Selected
Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected


Modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra

Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

Per le immagini consiglio innanzitutto di salvarle in JPG, essendo più leggere e caricarle su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.


Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI



Solo così potremmo fare delle analisi su come sei messo.
Ciao

beog
26-05-2008, 22:16
Ok ho fatto le scansioni, ecco i log:

log di A-squared: http://www.mediafire.com/?ur3c4xnxcdi
log di F-Secure OnLine: http://www.mediafire.com/?f2b30vt8v1t
log di Dr.Web CureIT: http://www.fileqube.com/shared/wwYuPqRoQ31900
log di ESET SysInspector: http://www.mediafire.com/?jjmdbfcyzm9
log di HiJackThis: http://www.mediafire.com/?vbtljkxjf2x
log di Gmer: non sono riuscito a scaricare il programma dal link del forum...
log di PrevxCSI: http://www.fileqube.com/shared/ZYgypQZ31901

Avevo già installato NOD32 e non trovava nulla, eppure dopo 10 min di connessione a internet partono tantissime connessioni da svchost.exe su porte SMTP o HTTP e tutte stanno poi in CLOSE_WAIT intasando tutte le altre connessioni. Con uno sniffer ho trovato le pagine a cui rimandano queste connessioni, ma non dicono molto i link...

Spero si riesca a trovare il problema :fagiano:

Grazie, ciao!

Chill-Out
26-05-2008, 22:25
Ok ho fatto le scansioni, ecco i log:

log di A-squared: http://www.mediafire.com/?ur3c4xnxcdi
log di F-Secure OnLine: http://www.mediafire.com/?f2b30vt8v1t
log di Dr.Web CureIT: http://www.fileqube.com/shared/wwYuPqRoQ31900
log di ESET SysInspector: http://www.mediafire.com/?jjmdbfcyzm9
log di HiJackThis: http://www.mediafire.com/?vbtljkxjf2x
log di Gmer: non sono riuscito a scaricare il programma dal link del forum...
log di PrevxCSI: http://www.fileqube.com/shared/ZYgypQZ31901

Avevo già installato NOD32 e non trovava nulla, eppure dopo 10 min di connessione a internet partono tantissime connessioni da svchost.exe su porte SMTP o HTTP e tutte stanno poi in CLOSE_WAIT intasando tutte le altre connessioni. Con uno sniffer ho trovato le pagine a cui rimandano queste connessioni, ma non dicono molto i link...

Spero si riesca a trovare il problema :fagiano:

Grazie, ciao!

Scarica Gmer da qui ==>> http://www2.gmer.net/beta/gmer.exe

Per quanto rigurada CureIt devi fare la scansione completa

Il log di SysInspector salvalo in formato xml come indicato in Guida non zippato

beog
28-05-2008, 06:39
Se il problema è unzippare un file, forse faccio prima a formattare. Senza offesa, grazie lo stesso.

wjmat
28-05-2008, 07:35
Ciao, non agitarti ;)
Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

O20 - Winlogon Notify: wmerrenu32 - C:\WINDOWS\SYSTEM32\wmerrenu32.dll

Chill-Out
28-05-2008, 09:23
Se il problema è unzippare un file, forse faccio prima a formattare. Senza offesa, grazie lo stesso.

Se per me non è un problema decomprimerlo, per te non dovrebbe essere un problema allegarlo non compresso visto che nelle istruzioni su come salvare il log è esplicitamente scritto:

doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

se poi hai voglia di fare polemica per un log, questo è un altro discorso, a parte questo fixa la voce indicata da wjmat ed allega il log di Gmer prelevabile qui http://www2.gmer.net/beta/gmer.exe come indicato in precedenza, ciao.

beog
28-05-2008, 13:58
Non voglio fare nessuna polemica, però tra scaricare (e caricare) 1.2Mb di log e 140Kb zippati pensavo convenisse la prima! Probabilmente mi sbagliavo... :stordita:


Log di gmer: http://www.mediafire.com/?n0tlgh1milz
Nuovo log di HiJackThis dopo il fix: http://www.mediafire.com/?3zhwzxo2zfj

Ciao.

wjmat
28-05-2008, 14:16
noti miglioramenti??

fixa anche questa
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Punto 10 per aggiornare IE, 14 per rimuovere i tool utilizzati

Chill-Out
28-05-2008, 14:17
Non voglio fare nessuna polemica, però tra scaricare (e caricare) 1.2Mb di log e 140Kb zippati pensavo convenisse la prima! Probabilmente mi sbagliavo... :stordita:


Log di gmer: http://www.mediafire.com/?n0tlgh1milz
Nuovo log di HiJackThis dopo il fix: http://www.mediafire.com/?3zhwzxo2zfj

Ciao.

Ciao potresti rihostare il log di Gmer mi da errore http://www.mediafire.com/error.php?errno=320
proviamo a cambiare Server http://fileqube.com/

wjmat
28-05-2008, 14:21
strano a me funzia

beog
28-05-2008, 14:21
Gmer: http://www.fileqube.com/shared/MAnmcR32713

Vedo ancora molte connessioni HTTP non legate alla navigazione, IE non lo uso mai... neanche lo apro, devo comunque aggiornarlo?

wjmat
28-05-2008, 14:25
Gmer: http://www.fileqube.com/shared/MAnmcR32713

Vedo ancora molte connessioni HTTP non legate alla navigazione, IE non lo uso mai... neanche lo apro, devo comunque aggiornarlo?
obbligatoriamente ;)

beog
28-05-2008, 14:30
ok proverò a vedere se così funziona... :(

Chill-Out
28-05-2008, 14:56
ok proverò a vedere se così funziona... :(

In Gmer hai spuntato tutte le caselline nel pannelo di dx?

Puoi riallegare un log di TCPVIEW con tutte le applicazioni chiuse a parte il Browser

beog
29-05-2008, 15:35
Si, le avevo spuntate tutte... per ora non ho più connessioni anomale! Però non chiedetemi cos'ho tolto... e soprattutto aspettiamo un attimo a cantar vittoria! :D

Grazie, ciao.

wjmat
29-05-2008, 16:31
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

DByte
04-06-2008, 10:47
Ciao a tutti, anche io ho un problema molto simile.
Anche a me il processo svchost.exe crea sempre 4-5 connessioni sulla porta 80 verso indirizzi strani, che si rivelano essere dell'honduras, grecia, polonia, ma anche italiani, generando qualcosa come 50-100 kb/s di traffico ESCLUSIVAMENTE IN DOWNLOAD. Il tutto mentre non faccio proprio niente con la rete. (Ma dove va poi a finire questo traffico? :confused: )
Sniffando il traffico con Wireshark, scopro che effettivamente è tutto traffico HTML, come se qualcuno stesse navigando, quindi verrebbe il sospetto che mi sia preso un qualche rootkit e il mio pc faccia parte di una botnet o si sia trasformato in un proxy.
Ho fatto diverse scansioni con: Antivir, Ad-aware, Spybot S&D, Spyware Doctor, Hijackthis, tutte con esito negativo, tranne per Spyware Doctor, che aveva trovato a parte i soliti cookies del cavolo anche Virtumonde e Purityscan, ma non erano loro la causa del problema. Ho provato anche a fare un ripristino, ma non è servito.
Inoltre ogni tanto all'avvio del pc compare un messaggio di errore che dice che il servizio DCOM è stato brutalmente interrotto, e il pc si riavvia inesorabilmente nel giro di un minuto, un po' come faceva il vecchio Sasser. DCOM è uno dei servizi vitali che regge svchost, quindi deve essere stato infettato in qualche modo e non va più bene.
In definitiva, non ho trovato nessun file, chiave di registro, processo o simili che non conoscessi già. Però il traffico sconosciuto rimane.
Che posso fare?
P.S: NON CONTEMPLO ASSOLUTAMENTE IL FORMAT.

Chill-Out
04-06-2008, 11:00
Ciao a tutti, anche io ho un problema molto simile.
Anche a me il processo svchost.exe crea sempre 4-5 connessioni sulla porta 80 verso indirizzi strani, che si rivelano essere dell'honduras, grecia, polonia, ma anche italiani, generando qualcosa come 50-100 kb/s di traffico ESCLUSIVAMENTE IN DOWNLOAD. Il tutto mentre non faccio proprio niente con la rete. (Ma dove va poi a finire questo traffico? :confused: )
Sniffando il traffico con Wireshark, scopro che effettivamente è tutto traffico HTML, come se qualcuno stesse navigando, quindi verrebbe il sospetto che mi sia preso un qualche rootkit e il mio pc faccia parte di una botnet o si sia trasformato in un proxy.
Ho fatto diverse scansioni con: Antivir, Ad-aware, Spybot S&D, Spyware Doctor, Hijackthis, tutte con esito negativo, tranne per Spyware Doctor, che aveva trovato a parte i soliti cookies del cavolo anche Virtumonde e Purityscan, ma non erano loro la causa del problema. Ho provato anche a fare un ripristino, ma non è servito.
Inoltre ogni tanto all'avvio del pc compare un messaggio di errore che dice che il servizio DCOM è stato brutalmente interrotto, e il pc si riavvia inesorabilmente nel giro di un minuto, un po' come faceva il vecchio Sasser. DCOM è uno dei servizi vitali che regge svchost, quindi deve essere stato infettato in qualche modo e non va più bene.
In definitiva, non ho trovato nessun file, chiave di registro, processo o simili che non conoscessi già. Però il traffico sconosciuto rimane.
Che posso fare?
P.S: NON CONTEMPLO ASSOLUTAMENTE IL FORMAT.

Segui il consiglio dato al post #2 http://www.hwupgrade.it/forum/showpost.php?p=22606788&postcount=2
produci i log e vediamo di capire qualcosa :)

DByte
04-06-2008, 12:52
ah ora è cambiato, non si limita a fare traffico html, ora genera anche posta spam... cmq ora sto lavorando per produrre i log che volete, li posterò non appena possibile.

Ignorante Informatico
04-06-2008, 22:58
Ciao a Tutti :)

Mi imbarazza chiederlo, ma potreste spiegarmi, per favore, il motivo della necessità di effettuare le scansioni secondo un certo ordine?

Tale procedura, produzione dei log per il Forum a parte, è da rispettare anche nell'uso quotidiano?


TIA ;)

xcdegasp
04-06-2008, 23:42
perchè ogni programma usato ha un compito preciso,leultime 4 scansioni non rimuovono nulla e si limitano a mostrare dei dati che vanno interpretati, se prima si è fatta giàuna pulizia il compito di lettura è facilitato visto che sono in genere dati corposi :)
sì seguire questo ordine anche in altre occasioni non guasta di certo :)

Ignorante Informatico
05-06-2008, 12:26
..leultime 4 scansioni non rimuovono nulla e si limitano a mostrare dei dati che vanno interpretati..
Quindi, in pratica, si segue semplicemente un ordine logico: scansione di rilevazione/rimozione > scansione di verifica.

Grazie mille, xcdegasp! ;)

DByte
06-06-2008, 17:16
c'è una difficoltà, ho fatto andare lo scanner online di f-secure, ma dopo un'intera notte passata a scannare tutto il disco, oggi pomeriggio me lo sono ritrovato crashato, con un avviso che diceva pressapoco "abnormal program termination" :confused: io non ho voglia di rifare una scansione che perde via così tanto tempo, anche perchè aveva già fatto passare le cartelle più grosse e importanti e non aveva ancora trovato niente...

wjmat
07-06-2008, 07:07
non sarà aggiornatissimo, ma usa l'alternativa a f-secure

DByte
07-06-2008, 13:06
scusate, ma cosa intendete per Kaspersky Virus Removal Tool? Se lo cerco, mi da la lista dei vari removal tool specifici per ogni virus, non credo sia quello. Forse intendete l'online scanner di Kaspersky?

wjmat
07-06-2008, 13:16
scusate, ma cosa intendete per Kaspersky Virus Removal Tool? Se lo cerco, mi da la lista dei vari removal tool specifici per ogni virus, non credo sia quello. Forse intendete l'online scanner di Kaspersky?
http://www.hwupgrade.it/forum/showthread.php?t=1631690

xcdegasp
07-06-2008, 18:22
scusate, ma cosa intendete per Kaspersky Virus Removal Tool? Se lo cerco, mi da la lista dei vari removal tool specifici per ogni virus, non credo sia quello. Forse intendete l'online scanner di Kaspersky?

quando vai a scaricarlo devi èpendere il removal tool piùrecente :)

DByte
09-06-2008, 12:44
Niente da fare, il malware ora è un ricordo, in quanto mi sono visto costretto a formattare, dopo che non riuscivo più a usare xp, in seguito a incasinamento dovuto a zonealarm che non faceva più il suo dovere: anche se l'avevo disabilitato, bloccava lo stesso Internet :confused:
Comunque dai report che ho potuto fare finora, non ho trovato ancora nulla di anomalo, solo qualcosa che sapevo già di avere in quanto crack di programmi vari ;)

Ignorante Informatico
09-06-2008, 18:45
Comunque, da quanto ho potuto leggere in diversi Forum, sembra sia noto il fatto che svchost abbia un'attività abbastanza fervente.

Piuttosto, prova a fare un WhoIs (http://whois.domaintools.com/) degli indirizzi rilevati da TCPVIEW :)

xcdegasp
09-06-2008, 22:44
Niente da fare, il malware ora è un ricordo, in quanto mi sono visto costretto a formattare, dopo che non riuscivo più a usare xp, in seguito a incasinamento dovuto a zonealarm che non faceva più il suo dovere: anche se l'avevo disabilitato, bloccava lo stesso Internet :confused:
Comunque dai report che ho potuto fare finora, non ho trovato ancora nulla di anomalo, solo qualcosa che sapevo già di avere in quanto crack di programmi vari ;)

è appunto quel "qualcosa" che ha incasinato tutto ;)

Ignorante Informatico
10-06-2008, 10:53
..in quanto crack di programmi vari ;)
Al di là delle alternative (freeware) che potresti trovare ai suddetti, hai mai pensato di adottare soluzioni come SandBoxie e/o VirtualBox? :)

Hai fatto qualche WhoIs per controllare quegli IP sospetti?