Continue chiamate UDP e TCP

[demi@n]

Oggi mi sono accorta guardando il log del firewall (Outpost), che blocca in continuazione chiamate in entrata sia UDP che TCP.

E questo ad attività ZERO!!

Cioè, non è che ho il browser o altre applicazioni aperte. Così, a bocce ferme.

Vi allego un'immagine. Ditemi se avete una vaga idea di cosa stia succedendo, non mi era mai successo prima!

ps: ho provato a controllare su Whois alcuni dei tanti IP che compaiono in elenco. Molti risultano legati a compagnie telefoniche...


edit: non posso allegare l'immagine perchè risulta troppo grosso il file. La caricherò su imageshake, datemi un minuto

[demi@n]

Ecco il link:

http://img73.imageshack.us/img73/3129/systeminvf5.jpg

[Bugs Bunny]

hai casualmente appena chiuso un programma p2p?

[Chill-Out]

Emule 4662 6672

[demi@n]

Sì, avevo appena chiuso Emule Xtreme.

Ma perchè, è quello che crea un tale bordello??

E per quale motivo, visto che era chiuso?

@ Chill Out: che intendevi dire con "Emule 4662 6672"? Se puoi essere più esplicito fai capire anche a me.

[wjmat]

le porte che ti ha segnalato chill sono quelle che di solito usa emule
se emule non parte all'avvio, prova a riavviare e verificare se a pc appena acceso c'è ancora tutto quel traffico

[demi@n]

Grazie wjmat, però emule non ce l'ho in autoavvio, anche perchè Xtreme è uno standalone (non sta nemmeno nel SO, ma in una partizione dat: comodissimo! )

Però, proprio perchè mi ero un pochettino allarmata, ho provato anche a spegnere il pc e poi a riavviarlo, ma quelle chiamate continuavano.

Ora è finita tutta quell'attività, ma è durata parecchio dopo la chiusura di Xtreme!!

Io sono sorpresa, davvero. E più che altro vorrei capire il perchè di questo fenomeno. qualcuno può spiegarmelo?

Comunque, come avrai visto dal log, le porte remote utilizzate, durante quel trambusto, erano svariate. Poi io uso la 4662 e la 4672, non la 6672.

[demi@n]

Non uso emule da stamattina, ma il traffico è ricominciato!!

Ma che è??

[xcdegasp]

vediamo un po' di che salute gode il tuo pc, segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[vampirodolce1]

Guarda che come ti connetti a internet iniziano ad arrivare decine di tentativi di intrusione da parte di server cinesi o piu' raramente americani, che fanno la scansione di intere subnet alla ricerca di vulnerabilita' e porte aperte.
Quello che hai notato tu con Outpost lo noto anch'io con la linea 56K e linux, dove non ho router ADSL che mi fanno da filtro.

[xcdegasp]

io vedevo grandi richieste solo schiantarsi nel router, come appunto deve esesre, e non verso il firewall software che deve essere contattato solo se vengno sfruttate porte aperte nel router senza il programma in ascolto su tali porte
ad ogni modo i sudamericani e cinesi contattano porte ben precise di solito o un range di porte ristretto..

[demi@n]

Grazie per l'interesse e scusate per il ritardo.
Allora, io ho eseguito le classiche diagnostiche con:
- HijackThis (tutto ok)
- con Sophos antirootkit (che mi rileva 3 chiavi nascoste non rimovibili
- ma non con Gmer (che non userò mai più in vita mia).

Poi, ho disattivato il ripristino e ho fatto scansioni con:
- Spybot
- SpywareTerminator
- a-squared (che mi rileva come worm install.exe dentro la cartella di Outpost )
- Ewido online
- Prvx CSI
- Antivir Avira
- Active Virus Shields
a parte ciò che mi ha rilevato a-squared, niente di niente.

Ovviamente prima di tutto eseguo sempre pulizie con:
- CCleaner
- RegSeeker (se necessario)
- per questa volta anche con ATF

Cmq ora l'attività sembra cessata, credo che davvero fosse da imputare ad Emule perchè quel traffico anomalo è avvenuto soltanto quel giorno.
Dopo di che ho disattivato porte e servizi nelle regole del router e buonanotte al secchio!
Ne posso fare ammeno di emule.

Se devo fare qualche altra verifica ditemelo. La procedura è abbastanza lunga, non so... ditemi voi se è il caso.


@ xdegasp: sembrava strano anche a te quel traffico, vero? mah...