Traffico non autorizzato

[=tanatos=mac]

Ciao a tutti.
Ho bisogno di aiuto.
Ho notato sul mio PC che da qualche tempo, c'è del traffico non autorizzato sulla connessione 56k di Tiscali (il mio provider). La cosa che mi ha insospettito è che non c'è nessun programma in esecuzione in questi momenti che dovrebbe accedere a Internet e che il traffico in alcuni momenti è tutto in uscita e in altri tutto in entrata.
Con uno sniffer stamattina con il traffico in uscita ho trovato che svchost tramite la mia porta 80 si connetteva la sito 213.200.110.81 porta 1495, mandando fuori una quantità incredibile di pacchetti.
Antivirus (AVG free e una scansione online con bitdefender) negativo e Adware ha trovato solo alcuni cookies e basta. Come faccio a liberarmi del problema, anche perchè quando capita non si riesce a usare più Internet perchè occupano tutta la banda.
Aiuto!!

[paperoga si droga]

Suppongo tu abbia un XP sp 2...cmq:
Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare.

Per visualizzare l'elenco dei servizi in esecuzione in Svchost vai su prompt dei comandi e digita Tasklist /SVC, quindi premi INVIO.
A questo punto controlla quelli che possano essere dei servizi strani attivati.

Ma xkè hai la porta 80 aperta, anzi se hai un web server attivato è tutto normale no??

Poi se vuoi sapere a chi appartiene sto indirizzo prova ad andare su: http://www.ripe.net/whois e digitare sto IP, x vedere a chi si riferisce.

[=tanatos=mac]

Appena torno a casa controllo i servizi da riga di comando.
Riguardo all'IP ho trovato questo, ma non so cosa significa!
This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-pr...-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '213.200.110.64 - 213.200.110.127'
inetnum: 213.200.110.64 - 213.200.110.127
netname: AKAMAI-TINET
descr: Akamai Technologies
country: FR
admin-c: JOI-RIPE
tech-c: JOI-RIPE
status: ASSIGNED PA
mnt-by: TISCALI-INT-NET
source: RIPE # Filtered
person: Johannes Magnusson
address: RB
address: Kalkofnsvegur 1
address: 150 Reykjavik
address: ICELAND
phone: +354 569 8877
e-mail: [email protected]
nic-hdl: JOI-RIPE
source: RIPE # Filtered
% Information related to '213.200.64.0/18AS3257'
route: 213.200.64.0/18
descr: Tiscali International Network
origin: AS3257
mnt-by: TISCALI-INT-ROUTE
source: RIPE # Filtered

Che vuol dire, che è normale, in quanto il mio provider è tiscali? Ma allora perchè mi porta via tutta la banda e un sacco di pacchetti senza autorizzazione?

[paperoga si droga]

Hai semplicemente la porta 80 aperta (credo ke non t sia necessario il web server, anke xkè non credo tu sappia cosa sia )!!!
Basta ke chiudi il servizio relativo e sei apposto!!! Ricorda che non devi andare a vedere i programmi in esecuzione ma i servizi attivi!!!!

Credo sia un tizio francese ma non sono sicuro a cui TISCALI in fr assegna un IP dinamico...come succede a te con TISCALI it!

Bye

[=tanatos=mac]

Quote:

Originariamente inviato da paperoga si droga

Hai semplicemente la porta 80 aperta (credo ke non t sia necessario il web server, anke xkè non credo tu sappia cosa sia )!!!
Basta ke chiudi il servizio relativo e sei apposto!!! Ricorda che non devi andare a vedere i programmi in esecuzione ma i servizi attivi!!!!

Credo sia un tizio francese ma non sono sicuro a cui TISCALI in fr assegna un IP dinamico...come succede a te con TISCALI it!

Bye

Grazie per la risposta
Ti aggiungo la schermat del comando che mi hai dato:
Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

D:\Documents and Settings\Mac>tasklist /svc

Nome immagine PID Servizi
========================= ====== =============================================
System Idle Process 0 N/D
System 4 N/D
smss.exe 580 N/D
csrss.exe 644 N/D
winlogon.exe 672 N/D
services.exe 716 Eventlog, PlugPlay
lsass.exe 728 PolicyAgent, ProtectedStorage, SamSs
ati2evxx.exe 872 Ati HotKey Poller
svchost.exe 884 DcomLaunch, TermService
svchost.exe 980 RpcSs
svchost.exe 1016 AudioSrv, BITS, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, srservice,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 1072 Dnscache
svchost.exe 1100 LmHosts, RemoteRegistry, SSDPSRV, WebClient
ati2evxx.exe 1208 N/D
spoolsv.exe 1480 Spooler
explorer.exe 1500 N/D
avgamsvr.exe 1604 Avg7Alrt
avgupsvc.exe 1616 Avg7UpdSvc
avgemc.exe 1656 AVGEMS
guard.exe 1720 ewido anti-spyware 4.0 guard
AsusProb.exe 296 N/D
TrayIcon.exe 304 N/D
sm56hlpr.exe 312 N/D
CLI.exe 332 N/D
SOUNDMAN.EXE 392 N/D
avgcc.exe 400 N/D
ewido.exe 420 N/D
ctfmon.exe 432 N/D
ATITool.exe 516 N/D
alg.exe 2080 ALG
CLI.exe 2372 N/D
wscntfy.exe 2412 N/D
CLI.exe 2452 N/D
iptools.exe 2996 N/D
Opera.exe 3036 N/D
cmd.exe 3212 N/D
tasklist.exe 3224 N/D
wmiprvse.exe 3264 N/D

D:\Documents and Settings\Mac>

In più se cerco di eseguire la scansione con ewido quando analizza il file VM_00B88000 (mi sembra) la scansione si blocca e la macchina si resetta!!
La scansione fatta invece in modalità provvisoria va a buon fine e non trova niente.
Anche adesso il bastardo sta sparando miei dati a 193.45.14.169 dalla porta 80. Se chiudo questa porta, il resto (opera, Giochi e altro) funzionano ancora?


Ti aggiungo il risultato di Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 14.44.06, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\ASUS\Probe\AsusProb.exe
D:\Programmi\AGEIA Technologies\TrayIcon.exe
D:\WINDOWS\sm56hlpr.exe
D:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programmi\ewido anti-spyware 4.0\ewido.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\ATITool\ATITool.exe
D:\Programmi\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programmi\ATI Technologies\ATI.ACE\cli.exe
D:\Programmi\Opera\Opera.exe
D:\Documents and Settings\Mac\Desktop\Sicurezza\sniffer\iptools.exe
D:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] D:\Programmi\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ATICCC] "D:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!ewido] "D:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATITool.lnk = D:\Programmi\ATITool\ATITool.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1157870326718
O17 - HKLM\System\CCS\Services\Tcpip\..\{4041209E-2574-4D5F-AF4B-8EBC7BC79610}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{4041209E-2574-4D5F-AF4B-8EBC7BC79610}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Programmi\ewido anti-spyware 4.0\guard.exe

Aiutami, sono molto disperato, non ho voglia di formattare

[paperoga si droga]

Quote:

Originariamente inviato da =tanatos=mac

Anche adesso il bastardo sta sparando miei dati a 193.45.14.169 dalla porta 80. Se chiudo questa porta, il resto (opera, Giochi e altro) funzionano ancora?

Chiudi Chiudi...strano non rilevo la presenza di Web Server attivi dai tuoi log...!!!
Tranquillo quelle applicazioni che hai sopra citato funzioneranno ancora...anke se non ho ben capito il xkè tu abbia la porta 80 aperta! Al max se vuoi essere al 100% sicuro vai ad impostare anke il firewall e fai in modo di bloccare le connessioni alla porta 80 in ingresso verso tutti!

P.S. 193.45.14.169 dovrebbe essere di un Tedeskat (dopo un francese non ci poteva essere ke un tedesco)!!!
Attento xkè ti stanno surfando dentro il P.C. da quello ke ho capito!

[=tanatos=mac]

Grazie ancora.
Non sai dirmi un modo per eliminare il file che gli permette di usare il mio PC?
Inoltre come faccio per bloccare la porta 80?
Solo in ingresso, solo in uscita o in entrambi i modi?
Ci vuole un programma apposito?
Ho cercato di fare una scansione con Ewido ma durante la scansione della memoria ai processi si blocca sul VM_00B88000 e se gli faccio fare una scansione si blocca la scansione e resetta la macchina. Se in modalità provvisoria no. Stessa cosa se gli faccio fare il boot da C (ho 2 xp installati). Se gli faccio fare una scansione ristretta (cioè quella non completa) si blocca di nuovo durante l'esecuzione dei test sulla memoria sempre su una VM.
C'è un qualche file che dice che cosa carica quelle VM?

Grazie ancora.

[=tanatos=mac]

Nessun altro che possa darmi una mano?
Non ho voglia di formattare e ricaricare tutto (oltre al fatto che non so come evitare una nuova infezione!!).

[paperoga si droga]

Quote:

Originariamente inviato da =tanatos=mac

Nessun altro che possa darmi una mano?
Non ho voglia di formattare e ricaricare tutto (oltre al fatto che non so come evitare una nuova infezione!!).

Allora ritornando a noi:
Scaricati sto programmino se non ce l'hai già: http://www.nirsoft.net/utils/cports.zip
Dopodichè fallo partire e vai a vedere a quale .exe si riferisce la porta 80...chiudila dal programma cports, e poi dimmi come si chiamava l'exe??? Che così t dico come comportarti!

Bye

[=tanatos=mac]

ok appena a casa lo faccio e ti dico.
Ricordo che il servizio era svchost. Il problema è anche che utilizzava la porta 80 in uscita. Se la chiudo mi blocca tutto il traffico http, esatto?

Grazie
Ciao

[paperoga si droga]

Quote:

Originariamente inviato da =tanatos=mac

ok appena a casa lo faccio e ti dico.
Ricordo che il servizio era svchost. Il problema è anche che utilizzava la porta 80 in uscita. Se la chiudo mi blocca tutto il traffico http, esatto?

Grazie
Ciao

Nooooooo e poi noooooooo....svchost come già detto in precedenza non fa altro ke caricare altri programmi all'avvio contenuti in un determinato registro...e nooooooo non bloccare quello in uscita se no come fai a connetterti con il tuo browser ad un server web(che non sia in 8080)?!?In uscita non andava verso la porta 80 ma verso la porta 1000 e qualcosa del tizio francese e/o tedescat
Blocca solo quello in entrata (della porta 80)...cribbio!!!

[=tanatos=mac]

Allora, oggi pomeriggio non si è fatto vivo, nonsotante sia stato in linea per 2 ore!!.
Ho passato anche spybot, ma anche lui mi trova "pulito"
Ti mando una schermata di cport, ma senza il maledetto in azione non cerdo ti possa servire.
Stasera sono a un corso ECM, ma domani mattina dalle 6,00 son al pc sino alle 7,00 e vediamo se si fa ancora vivo.
Grazie ancora per l'aiuto e per la pazienza.

Ciao

[=tanatos=mac]

Ciao, allora stamattina il problema si è ripresentato ma in entrata, cioè entravano pacchetti non richiesti (almeno credo). La sorgente era un server che ospita giochi (GRAW) ma il gioco era stato chiuso!! E la connessione riavviata. Ho fatto un file di testo con tutti i dati ricavati durante l'attacco.
Io non ho trovato nessun programma attaccato all'IP che spediva i dati ma forse tu ci capisci di più.!
Grazie
Ciao

[paperoga si droga]

Scusa ma stamattina eri in una chat? Precisamente quella di gamespy.com?

[=tanatos=mac]

No, ma il gioco che uso, GRAW, per funzionare on line deve passare attraverso l'autenticazione di Gamespy (cioè devi avere un account su Gamespy). Questo è il motivo della chat su Gamespy, o almeno credo.
La cosa strana che ho notato è questa: talvolta sembra che l'ultimo server con il quale eri connesso non si accorga che non ci sei più oercui continua a mandare pacchetti, senza attendere pacchetti di ritorno, o almeno io lo interpreto così. A meno che gamespy, con il nome che si ritrova, non mi abbia installato qualcosa a mia insaputa.
Ad ogni modo oggi il traffico unauthorized era in ingresso e non in uscita. La coseguenza è la stessa, perchè tutta la banda è occupata percui non funziona niente, però non venivano prelevati dati e non c'era (almeno io non l'ho trovato) un programma a cui facesse riferimento il traffico sulla connessione del modem.

[paperoga si droga]

Ascolta fa una cosa...così sei sicuro di capire se viene o meno dal server di gamespy!
Prendi e scaricati sto firewall (è in versione trial, ma cmq è full-function) http://www.agnitum.it/OutpostProInstall_3.51.exe.
Disattiva se ne hai altri gli altri firewall e vai a configurare le policy del server come di dico:
Dopo aver installato il programma vai su Opzioni-->sistema-->Regole (in basso a dx)--> aggiungi e preparati a scrivere questo:

su 1.Seleziona Evento per la tua regola, metti la V su;
(v) dove il protocollo specificato è, e dove è sottolineato in blu in fondo (in 3.Descrizione Regola) premi e imposta TCP;
(v) dove la direzione specificata è, e sempre in fondo (punto 3) dove sottolineato in blu premi e scegli in uscita e sull'altro pacchetto locale e in transito.
(v) dove la porta locale specificata è, in fondo(il3 ne blu) premi e scrivi 80;
Poi vai su 2. Seleziona Azione che risponderanno alla regola e scegli:
(v) Negalo
(v) Riportalo
Dai il nome alla regola e fai OK, vedi poi ke la tua regola è stata aggiunta.

Crea poi un'altra regola, sempre facendo aggiungi e in 1.Seleziona Evento ....
(v) dove il protocollo specificato è, e metti sempre in 3. Descrizione Evento: TCP;
(v) dove la direzione è e scegli in arrivo;
(v) dove l'host remoto specificato è, e scrivi l'indirizzo del server di gamespy: 207.38.11.136;
(v) dove la porta remota specificata è, e scrivi la 6667.
Poi va su 2.Descrizione Azione ..... e scegli
(v) Negalo
(v) Riportalo
Scegli OK, OK, OK e sei appppppposto!!!

Attento queste regole del firewall sono fondamentali!!!Mettile come t ho detto se vuoi veramente cercare di risolvere sto problema...non impediranno nulla se non che qualcuno si connetta alla tua porta 80 che se non hai un sito dovrebbe essere sempre chiusa.
Per il tempo in cui monitorerai la situazione t sconsiglio di andare ancora giocare in quel sito, nel caso in cui non sia così x poter giocare vai sulle regole del firewall e disattiva (togli la v) sull'ultima regola...quella per la porta 6667 del server gamespy.com!!!!

Ricorda che quello ke stai facendo ora serve x arginare la "fuga di pacchetti"!!!
Capito!! Spero t sia tutto chiaro. Ciao!

[=tanatos=mac]

Ok. Provo e ti faccio sapere.
Grazie ancora per la pazienza.

Ciao

[=tanatos=mac]

Fatto!
Non ci sono più fughe di pacchetti.
Come facciamo adesso per trovare il programma che causa problemi?

[sanford]

Discussione interessante...mi iscrivo.

[=tanatos=mac]

Nuovo attacco ma in ingresso.
Ecco i dati:
(TCP)193.45.14.174:80->62.10.46.26:1055 ,1500 Bytes
E io non ho chiesto niente a quel server....
e inoltre sto usando l'installazione di XP sul disco C e non su D come in precedenza. Il tuo firewall è installato.
Suggerimenti?

Ciao