Ciao mi sono iscritto apposta per dirvi una cosa molto strana, ho un pc del 2005 che da almeno 10 mesi se non un anno nota rallentamenti pesanti sia nell'utilizzo offline sia in quello online.

All'inizio pensavo fosse un problema hardware, ma dopo aver fatto tutti controlli di rito e aver espanso anche la ram da 512 a 1 gb sotto windows xp sp3 ho provato a cercare su google soluzioni, e mi sono imbattuto in questo programma: Wireshark.

Ho avuto la buona idea di installarmi sul pc incriminato team viewer e sul primo pc pure, controllando in remoto il pc incriminato sembra piu veloce, e con wireshark ho lanciato dal primo pc sul secondo pc il controllo del traffico e mi trova :stordita: un sacco di siti farlocchi a cui si connette, sono almeno 10 e sembrano rigenerarsi se vado a metterli nel filtro hosts in etc.

che ne pensate? il bello è che ho provato a lanciare spyware bot, mbam, avira ma non mi rileva nulla, però intanto sti siti ci sono sempre. se non mi accorgevo con wireshark non sapevo nemmeno di cosa poteva trattarsi.

Nessuno che mi dia un suo parere per piacere?

I rallentamenti possono dipendere da varie cause (hardware, software, malware), e spesso si capisce cosa li creano se si ripensa a cosa si è fatto prima che si verificassero.

Hai lasciato passare 10 mesi, quindi è molto difficile stabilire cosa sia successo.

Per esempio: a me è capitato di avere rallentamenti nell'uso del pc per problemi hardware sul disco fisso (disco C che si stava rompendo con settori danneggiati visti scansionando con HDTune), ma nel tuo caso son 10 mesi che vai avanti, quindi potrebbe non centrare questo.

Puoi comunque verificare che l'HD (disco fisso) abbia una velocità di trasferimento dati corretta ed elevata...

Potrebbe essersi rotto qualche modulo ram, costringendo il pc a lavorare in file swap (ovvero trattando una porzione di disco fisso come fosse un banco di ram, con notevole rallentamento generale dato che il trasferimento dati è minore che su un banco ram), oppure al contrario potrebbe essere un software che crea un uso eccessivo di ram e ti costringe ad usare il file swap.
Potrebbe essere un software che entra in conflitto con antivirus-firewall (a me per esempio era capitato con l'akamai download manager di adobe pdf reader, si installava automaticamente e si avviava automaticamente e bloccava letteralmente il pc nel caso in cui questo fosse connesso ad internet... anche 20 minuti per aprire un programma)... ma potrebbe anche dipendere dall'aver installato troppe applicazioni in avvio automatico sul pc.
In genere ti accorgi se è un problema software riavviando windows in modalità provvisoria (sull'XP si clicca F8 dopo il bios, prima del caricamento di windows). Senza caricare moduli aggiuntivi e con il boot versione base se il pc non è rallentato è un problema software, altrimento è hardware.

Potrebbe trattarsi di malware (spyware, virus, trojan, ...) allora sei nella sezione giusta e ti possono aiutare se ti leggi come postare in questa sezione (devi postare delle scansioni del pc fatte con alcuni programmi, per esempio: hijackthis).
Vedi i tre post indicati come "importanti" nella sezione "aiuto sono infetto".

bbye

I rallentamenti possono dipendere da varie cause (hardware, software, malware), e spesso si capisce cosa li creano se si ripensa a cosa si è fatto prima che si verificassero.

Hai lasciato passare 10 mesi, quindi è molto difficile stabilire cosa sia successo.

Per esempio: a me è capitato di avere rallentamenti nell'uso del pc per problemi hardware sul disco fisso (disco C che si stava rompendo con settori danneggiati visti scansionando con HDTune), ma nel tuo caso son 10 mesi che vai avanti, quindi potrebbe non centrare questo.

Puoi comunque verificare che l'HD (disco fisso) abbia una velocità di trasferimento dati corretta ed elevata...

Potrebbe essersi rotto qualche modulo ram, costringendo il pc a lavorare in file swap (ovvero trattando una porzione di disco fisso come fosse un banco di ram, con notevole rallentamento generale dato che il trasferimento dati è minore che su un banco ram), oppure al contrario potrebbe essere un software che crea un uso eccessivo di ram e ti costringe ad usare il file swap.
Potrebbe essere un software che entra in conflitto con antivirus-firewall (a me per esempio era capitato con l'akamai download manager di adobe pdf reader, si installava automaticamente e si avviava automaticamente e bloccava letteralmente il pc nel caso in cui questo fosse connesso ad internet... anche 20 minuti per aprire un programma)... ma potrebbe anche dipendere dall'aver installato troppe applicazioni in avvio automatico sul pc.
In genere ti accorgi se è un problema software riavviando windows in modalità provvisoria (sull'XP si clicca F8 dopo il bios, prima del caricamento di windows). Senza caricare moduli aggiuntivi e con il boot versione base se il pc non è rallentato è un problema software, altrimento è hardware.

Potrebbe trattarsi di malware (spyware, virus, trojan, ...) allora sei nella sezione giusta e ti possono aiutare se ti leggi come postare in questa sezione (devi postare delle scansioni del pc fatte con alcuni programmi, per esempio: hijackthis).
Vedi i tre post indicati come "importanti" nella sezione "aiuto sono infetto".

bbye


Io ho premesso di avere un problema di malware o trojan perchè per l'hardware ho fatto alcuni controlli, oltre a espandere la ram, di settori con lo scandisk e con hdtune sia come salute del'hdd sia come settori pure li.

ho disabilitato tutti i programmi in avvio automatico e il risultato è lo stesso.

Non so se tu sappia cosa sia wireshark ma è da li che ho iniziato a sospettare che fosse un malware o qualcosa di peggio dato che escono query da siti inesistenti in quantità industriale tipo: swrrrss.com con ip tipo questo: 192.60.xxx.xxx e via dicendo. E devo dire di essermi anche spaventato perchè con i controlli dei principali anti-malware e antivirus non risulta nulla, nemmeno con hijackthis.

Sapere cos'ho fatto con il pc? di sicuro non sono andato in siti porno o scaricato cose a casaccio quindi davvero non saprei come mai sotto wireshark ho connessioni remote che manco sotto comodo firewall o il comando netstat vengono notificate.

:stordita: emm scusami se ti ho fatto un po arrabbiare con la risposta, ma presupponevo casi più semplici.... tenendo ben presente che il format C è sempre la soluzione più concreta per i casi che sembrano irrisolvibili ed ovvia (anche se è effettivamente una perdita di tempo non voluta dall'utente).

Sto provando wireshark, molto interessante. Noto che si basa su winpcap (windows packet capture) ovvero lo stesso programma di firesheep che immagino tu conosca.


Nel mio caso, con pc connesso ad internet senza navigare, non cattura nessun pacchetto; nel tuo caso se i pacchetti transitano a pc appena acceso, connesso ad internet lanciando solo wireshark, effettivamente potrebbe esserci un malware che si auto avvia (escluso che ci siano update di software).
Wireshark individua i pacchetti (se di una rete wireless immagino anche di altri utenti connessi alla rete wireless come firesheep) ma non l'applicazione che li avvia.
Di solito io faccio riferimento ad "eventi firewall" di Comodo per individuare l'applicazione che genera traffico, cosa + semplice sapendo l'IP.

Se non l'hai già fatto, nel tuo caso proverei comunque a vedere in modalità provvidoria con prompt di rete se si verifica lo stesso.

Gli IP puoi inserirli in un motore Whois (http://www.dslreports.com/whois) per vedere se sono ip statici di qualche sito, in questo modo troverai informazioni; tuttavia l'IP indicato 192.60.xxx.yyy sembra l'IP di collegamento al router.

Per netstat posso consigliarti solo una guida italiana (http://www.chicchedicala.it/2009/12/18/utilizzare-il-comando-netstat-per-risalire-ad-accessi-non-autorizzati/), non saprei perchè non appare nulla.

Oppure potresti provare:
avvio/esegui/msconfig
riavviare con avvio diagnostico o con avvio selettivo - utilizza boot.ini originale.
(ovviamente in questi casi non si avviano automaticamente i driver winpcap e se whireshark ha problemi devi lanciare anche winpcap).
In avvio selettivo provi a guardare se hai ancora il fenomeno.

Devi comunque trovare cosa genera il traffico in uscita.

Ciao mi sono iscritto apposta per dirvi una cosa molto strana, ho un pc del 2005 che da almeno 10 mesi se non un anno nota rallentamenti pesanti sia nell'utilizzo offline sia in quello online.

All'inizio pensavo fosse un problema hardware, ma dopo aver fatto tutti controlli di rito e aver espanso anche la ram da 512 a 1 gb sotto windows xp sp3 ho provato a cercare su google soluzioni, e mi sono imbattuto in questo programma: Wireshark.

Ho avuto la buona idea di installarmi sul pc incriminato team viewer e sul primo pc pure, controllando in remoto il pc incriminato sembra piu veloce, e con wireshark ho lanciato dal primo pc sul secondo pc il controllo del traffico e mi trova :stordita: un sacco di siti farlocchi a cui si connette, sono almeno 10 e sembrano rigenerarsi se vado a metterli nel filtro hosts in etc.

che ne pensate? il bello è che ho provato a lanciare spyware bot, mbam, avira ma non mi rileva nulla, però intanto sti siti ci sono sempre. se non mi accorgevo con wireshark non sapevo nemmeno di cosa poteva trattarsi.



Segui la Guida alla disinfezione per infetti per fare un controllo approfondito

http://www.hwupgrade.it/forum/showthread.php?t=1599737

:stordita: emm scusami se ti ho fatto un po arrabbiare con la risposta, ma presupponevo casi più semplici.... tenendo ben presente che il format C è sempre la soluzione più concreta per i casi che sembrano irrisolvibili ed ovvia (anche se è effettivamente una perdita di tempo non voluta dall'utente).

Sto provando wireshark, molto interessante. Noto che si basa su winpcap (windows packet capture) ovvero lo stesso programma di firesheep che immagino tu conosca.


Nel mio caso, con pc connesso ad internet senza navigare, non cattura nessun pacchetto; nel tuo caso se i pacchetti transitano a pc appena acceso, connesso ad internet lanciando solo wireshark, effettivamente potrebbe esserci un malware che si auto avvia (escluso che ci siano update di software).
Wireshark individua i pacchetti (se di una rete wireless immagino anche di altri utenti connessi alla rete wireless come firesheep) ma non l'applicazione che li avvia.
Di solito io faccio riferimento ad "eventi firewall" di Comodo per individuare l'applicazione che genera traffico, cosa + semplice sapendo l'IP.

Se non l'hai già fatto, nel tuo caso proverei comunque a vedere in modalità provvidoria con prompt di rete se si verifica lo stesso.

Gli IP puoi inserirli in un motore Whois (http://www.dslreports.com/whois) per vedere se sono ip statici di qualche sito, in questo modo troverai informazioni; tuttavia l'IP indicato 192.60.xxx.yyy sembra l'IP di collegamento al router.

Per netstat posso consigliarti solo una guida italiana (http://www.chicchedicala.it/2009/12/18/utilizzare-il-comando-netstat-per-risalire-ad-accessi-non-autorizzati/), non saprei perchè non appare nulla.

Oppure potresti provare:
avvio/esegui/msconfig
riavviare con avvio diagnostico o con avvio selettivo - utilizza boot.ini originale.
(ovviamente in questi casi non si avviano automaticamente i driver winpcap e se whireshark ha problemi devi lanciare anche winpcap).
In avvio selettivo provi a guardare se hai ancora il fenomeno.

Devi comunque trovare cosa genera il traffico in uscita.

Mi scuso per aver sbagliato a digitare l'ip, inizia con 193.60, non 192.

ora provo in modalità provvisoria di rete e seguo anche il post alla disinfezione. sembrebbe qualcosa di strano comunque, e credo di potente se manco appare sugli eventi comodo firewall o netstat.

come hai detto tu la cosa si verifica appena avvio il pc e la connessione lan del pc è attiva ad internet e non ho nessun software in auto-update.
Sono in ethernet, non in wireless.

Mi scuso per aver sbagliato a digitare l'ip, inizia con 193.60, non 192.

ora provo in modalità provvisoria di rete e seguo anche il post alla disinfezione. sembrebbe qualcosa di strano comunque, e credo di potente se manco appare sugli eventi comodo firewall o netstat.

come hai detto tu la cosa si verifica appena avvio il pc e la connessione lan del pc è attiva ad internet e non ho nessun software in auto-update.
Sono in ethernet, non in wireless.

up anche in modalità provvisaria appaiono dal wireshark tutte le query di auto connessione.

emm ok, non ho mai sentito di un virus che altera l'avvio della modalità provvisoria autoavviandosi anche lì :mbe: (i virus che sfuggono alle scansioni di AV in modalità provvisoria sono quelli che alterano il master boot record).

A questo punto sempre se non vuoi seguire la soluzione più facile della formattazione e reinstallazione del SO, puoi provare con un rescue CD di una delle software house antivirus.
In pratica scarichi il programma AV autoavviante con definizioni (meglio se in un altro pc non infetto), lo metti su cd-dvd, riavvii e nel bios del computer presunto infetto selezioni l'avvio da dvd.
In questo modo fai una scansione del disco fisso senza entrare in windows, ovvero senza avviare niente.
Una guida con i rescue cd di avira, kaspersky, bit defender, Fsecure:
http://www.chicchedicala.it/2008/10/03/i-migliori-cd-live-per-eliminare-virus/
Quello di Kaspersky è del 2009...vecchiotto, sebbene sia un buon AV.
Io preferisco Fsecure e Avira rispetto bit defender.


PS: nel web ci sono discussioni su trojan che bypassano netstat ("trojan bypass netstat" o "trojan hyde netstat").

PS2: in alternativa a netstat c'è anche free process traffic monitor
http://www.manageengine.com/free-process-traffic-monitor/free-process-traffic-monitor-index.html
Che però traccia i TCP/IP e non protocolli http.
Effettivamente tutti i programmi con "packet capturing" sono ottimi, ma senza un PID correlato diviene difficile identificare il processo che genera quel traffico

A questo punto sempre se non vuoi seguire la soluzione più facile della formattazione e reinstallazione del SO, puoi provare con un rescue CD di una delle software house antivirus.
In pratica scarichi il programma AV autoavviante con definizioni (meglio se in un altro pc non infetto), lo metti su cd-dvd, riavvii e nel bios del computer presunto infetto selezioni l'avvio da dvd.
In questo modo fai una scansione del disco fisso senza entrare in windows, ovvero senza avviare niente.
Una guida con i rescue cd di avira, kaspersky, bit defender, Fsecure:


Guida a Kaspersky Rescue Disk - http://www.hwupgrade.it/forum/showthread.php?t=1878747

Avira AntiVir Rescue System - http://www.hwupgrade.it/forum/showthread.php?t=1689812