Il mio pc scambia sempre dati con la rete internet!

[VINICIUS]

All'inizio non era così. Dopo alcuni mesi di utilizzo un po' sconsiderato su internet, il router segnala che il pc scambia dati anche senza alcun programma da me aperto. Come posso capire qual è l'applicazione nascosta che succhia banda internet?

[juninho85]

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

[VINICIUS]

Quote:

Originariamente inviato da juninho85

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

Utilizzo il router che è provvisto di firewall hardware e poi il firewall di windows vista. Con quest'ultimo non posso verificare?

[juninho85]

non saprei,non ho avuto ancora a che fare con vista

[VINICIUS]

Quote:

Originariamente inviato da juninho85

utilizzi un firewall software?
puoi provare currports,vedi le porte aperte,il programma che le utilizza ed eventualmente a quanto ammonta il traffico di dati

cmq grazie, ora lo provo e ti so dire...

[VINICIUS]

Ci sono processi continui di sistema o sconosciuti che succhiano banda. Ecco un copia e incolla dei dati rilevati con currports.
La cosa che non capisco è l'uso progressivo di una porta tcp

Codice:

Unknown	TCP	62926		192.168.1.2	25	smtp	143.166.224.193	smtp.us.dell.com	Time Wait	06/05/2008 11.31.58		
System	TCP	62931		192.168.1.2	25	smtp	143.166.224.134	ps-smtp2.us.dell.com	Established	06/05/2008 11.31.58		
Unknown	TCP	62795		192.168.1.2	25	smtp	24.28.193.158	rrcs-mgw-04.hrndva.rr.com	Time Wait	06/05/2008 11.31.51		
System	TCP	62930		192.168.1.2	25	smtp	199.245.246.200	smtp-in.megatram.com	Established	06/05/2008 11.31.49		
Unknown	TCP	62908		192.168.1.2	25	smtp	212.52.84.84	mxlibero2.libero.it	Time Wait	06/05/2008 11.31.29		
Unknown	TCP	62917		192.168.1.2	25	smtp	209.17.173.41	webmail.signal.ca	Time Wait	06/05/2008 11.31.27		
System	TCP	62921		192.168.1.2	25	smtp	64.147.96.91	mx2.nyc.com	Established	06/05/2008 11.31.27		
Unknown	TCP	62915		192.168.1.2	25	smtp	70.85.110.114	lbh-s.spamh.com	Time Wait	06/05/2008 11.31.24		
Unknown	TCP	62903		192.168.1.2	25	smtp	212.52.84.83	mxlibero1.libero.it	Time Wait	06/05/2008 11.31.22		
System	TCP	62914		192.168.1.2	25	smtp	148.235.52.7	nlpiport02.prodigy.net.mx	Established	06/05/2008 11.31.22		
Unknown	TCP	62901		192.168.1.2	25	smtp	207.46.51.86	mail.global.frontbridge.com	Time Wait	06/05/2008 11.31.17		
Unknown	TCP	62905		192.168.1.2	25	smtp	193.163.1.112	asgaard.lystrup.terma.com	Time Wait	06/05/2008 11.31.17		
System	TCP	62907		192.168.1.2	25	smtp	66.196.97.250	mta-v1.mail.vip.re3.yahoo.com	Sent	06/05/2008 11.31.17		
System	TCP	62909		192.168.1.2	25	smtp	75.180.132.243	cdptpa-smtpin01.mail.rr.com	Established	06/05/2008 11.31.17		
Unknown	TCP	62879		192.168.1.2	25	smtp	209.142.136.105	r2d2.centurytel.net	Time Wait	06/05/2008 11.31.16		
Unknown	TCP	62894		192.168.1.2	25	smtp	76.164.35.19	mxa.casne.com	Time Wait	06/05/2008 11.31.16		
System	TCP	62904		192.168.1.2	25	smtp	130.111.32.30	samuel.its.maine.edu	Established	06/05/2008 11.31.16		
System	TCP	62906		192.168.1.2	25	smtp	206.190.53.191	mta-v11.mail.vip.re2.yahoo.com	Sent	06/05/2008 11.31.16		
Unknown	TCP	62896		192.168.1.2	25	smtp	207.115.20.21	ff-mx-vip2.prodigy.net	Time Wait	06/05/2008 11.31.12		
Unknown	TCP	62867		192.168.1.2	25	smtp	165.158.1.6	mail.paho.org	Time Wait	06/05/2008 11.31.08		
System	TCP	62895		192.168.1.2	25	smtp	216.93.66.110	a.mx.voyager.net	Established	06/05/2008 11.30.59		
System	TCP	62899		192.168.1.2	25	smtp	209.191.118.103	mta-v8.mail.vip.mud.yahoo.com	Established	06/05/2008 11.30.59		
Unknown	TCP	62838		192.168.1.2	25	smtp	64.147.96.92	mx3.nyc.com	Time Wait	06/05/2008 11.30.59		
Unknown	TCP	62876		192.168.1.2	25	smtp	204.209.205.52	mx01.svc.telus.net	Time Wait	06/05/2008 11.30.59		
Unknown	TCP	62893		192.168.1.2	25	smtp	64.18.6.14	s7a1.psmtp.com	Time Wait	06/05/2008 11.30.59		
Unknown	TCP	62861		192.168.1.2	25	smtp	200.241.250.252	200-241-250-252-dial.mcp.bno.com.br	Time Wait	06/05/2008 11.30.47		
Unknown	TCP	62868		192.168.1.2	25	smtp	207.115.20.21	ff-mx-vip2.prodigy.net	Time Wait	06/05/2008 11.30.47		
Unknown	TCP	62869		192.168.1.2	25	smtp	200.45.249.213	host213.200-45-249.telecom.net.ar	Time Wait	06/05/2008 11.30.47		
Unknown	TCP	62889		192.168.1.2	25	smtp	64.174.75.9	smtp1.cepheid.com	Time Wait	06/05/2008 11.30.47		
System	TCP	62890		192.168.1.2	25	smtp	66.196.97.250	mta-v1.mail.vip.re3.yahoo.com	Established	06/05/2008 11.30.47		
Unknown	TCP	62723		192.168.1.2	25	smtp	24.28.193.157	rrcs-mgw-03.hrndva.rr.com	Time Wait	06/05/2008 11.30.47		
Unknown	TCP	62801		192.168.1.2	25	smtp	78.47.68.217	vps067.rnic-server.de	Time Wait	06/05/2008 11.30.47		
Unknown	TCP	62803		192.168.1.2	25	smtp	199.221.98.58	chimgw01.interpublic.com	Time Wait	06/05/2008 11.30.47

[wjmat]

Se davvero non hai aperto nulla c'è un pò troppa robaccia....

Segui bene la GUIDA alla DISINFEZIONE per INFETTI ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner

• Scarica da qui la versione slim di CCleaner.
  Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
• Scarica da qui ATF Cleaner per una velocissima pulizia complementare.
  Nella prima schermata -> Select All -> Empty Selected
  Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
  Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected

CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.


Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis

Così potremmo capire cosa c'è che non va.
Ciao

[juninho85]

botnet!

[xcdegasp]

@ wjmat:
aggiorna il file che usi per il copia/incolla perchè nel "ricapitolando" stai dando info vecchie...

[wjmat]

non avevo visto che l'hai aggiornata stanotte

[VINICIUS]

Quote:

Originariamente inviato da xcdegasp

@ wjmat:
aggiorna il file che usi per il copia/incolla perchè nel "ricapitolando" stai dando info vecchie...

Ho eseguito le prime due pulizie con i due cleaner. Ad occhio mi pare che i dati scambiati siano diminuiti. Adesso sto seguendo alla lettera quanto scritto da wjmat...

[xcdegasp]

Quote:

Originariamente inviato da wjmat

non avevo visto che l'hai aggiornata stanotte

a dire il vero era in modo visione da sabato, ieri a pranzo è stata ufficializzata e poi nella notte ho aggiunto un pezzettino che telo metto in corsivo:

Codice:

e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:

ma il resto era già presente prima

[wjmat]

x xcdegasp
sono stato in vacanza un paio di giorni e mi sono perso la prima visione

x vinicius
alla luce dei nuovi aggiornamenti...
vogliamo in ordine:

-log di A-squared
-log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
-log di Dr.Web CureIT scaricato oggi
-log di ESET SysInspector
-log di HiJackThis
-log di Gmer
-log di PrevxCSI

[VINICIUS]

Quote:

Originariamente inviato da wjmat

x xcdegasp
sono stato in vacanza un paio di giorni e mi sono perso la prima visione

x vinicius
alla luce dei nuovi aggiornamenti...
vogliamo in ordine:

-log di A-squared
-log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
-log di Dr.Web CureIT scaricato oggi
-log di ESET SysInspector
-log di HiJackThis
-log di Gmer
-log di PrevxCSI

Grazie, sto facendo la scansione con A-Squared, ha già individuato worm.win32.Otwycal.q e Dialer. Una volta finita la scansione con questo programma, li elimino o li metto in quarantena?

[Chill-Out]

Quote:

Originariamente inviato da VINICIUS

Grazie, sto facendo la scansione con A-Squared, ha già individuato worm.win32.Otwycal.q e Dialer. Una volta finita la scansione con questo programma, li elimino o li metto in quarantena?

Quarantena

[VINICIUS]

Non so come trovare il log di a-sqared, comunque a trovato sulo 2 file:

C:\Program Files\Winamp\UninstallWA.exe (worm.win32.Otwycal.q)

qlellbiz.exe (Dialer)

Li ho messi entrambi in quarantena.

Passo al secondo programma.

[xcdegasp]

Quote:

Originariamente inviato da VINICIUS

Non so come trovare il log di a-sqared, comunque a trovato sulo 2 file:

C:\Program Files\Winamp\UninstallWA.exe (worm.win32.Otwycal.q)

qlellbiz.exe (Dialer)

Li ho messi entrambi in quarantena.

Passo al secondo programma.

non lo devi trovare ma lo devi salvare clickando sulla voce "salva rapporto" a fine scansione e dopo aver eseguito messo in quarantena gli oggetti

[VINICIUS]

Quote:

Originariamente inviato da xcdegasp

non lo devi trovare ma lo devi salvare clickando sulla voce "salva rapporto" a fine scansione e dopo aver eseguito messo in quarantena gli oggetti

Cacchio ormai ho chiuso il programma, ma ho riportato i file trovati a mano, fa lo stesso? Li ho messi in quarantena. Adesso sto facendo un passaggio con F-Secure. E' a metà ed ha già trovato un paio di virus.

[xcdegasp]

rifai la scansione per favore e salva il log

[VINICIUS]

Quote:

Originariamente inviato da xcdegasp

rifai la scansione per favore e salva il log

Ormai ho i 2 file segnalati sopra in quarantena, per farglieli rilevare di nuovo li dovrei ripristinare e fare una nuova scansione di 1 oretta... E' proprio necessario?