PDA

Visualizza versione completa : connesione che va sempre


marix
21-01-2007, 18.34.15
ciao a tutti ... non sapendo come spiegare ..il titolo e un po cosi ...

pc connesso via cavo su di un router ... un altro pc collegato con router via wifi

tutto funziona , pero quando controllo il traffico qualcosa non batte ...

la connesione anche con tutti i prog spenti continua ... ce upload e ce download

ho nod32 , outpost firewall , se blocco tutte le porte si ferma .

avede qualche idea come trovare il colpevole del traffico illecito ?
io ho una connesiona adsl 1mbit con limite di 1gb e se supero devo pagare in piu
questo mese e siamo al 21 siamo gi a700mb oltre ...

grazie e ciaoooo

marix
21-01-2007, 21.32.29
ho trovato un file che non si cancella nsf7.tmp
in c:windows temp

P8257 WebMaster
21-01-2007, 22.02.46
Chiudi tutti i programmi, compresi eventuali software di instant messaging, apri il prompt e lanci NETSTAT -A non dovrebbero esserci connessioni o al massimo dovresti trovare connessioni al server dell'antivirus per eventuali aggiornamenti e a microsoft se hai gli aggiornamenti automatici attivati.

Se non riesci a cancellare quel file dai temporanei, fallo in modalità provvisoria.

marix
22-01-2007, 15.47.12
ho fatto come mi hai detto ..ecco il link ...cosi vedi ... cmq il traffico continua

http://www.inet.hr/~mjugovac/netstat.bmp

:crying:

p.s provato a cancellare in modalita provvisoria pero niente , e ho fatto un sistem restore di un paio di giorni fa ... i file non ci sono piu pero il traffico continua

P8257 WebMaster
22-01-2007, 15.56.53
ho fatto come mi hai detto ..ecco il link ...cosi vedi ... cmq il traffico continua

http://www.inet.hr/~mjugovac/netstat.bmp

:crying:

p.s provato a cancellare in modalita provvisoria pero niente , e ho fatto un sistem restore di un paio di giorni fa ... i file non ci sono piu pero il traffico continua

Hai google desktop o google search o roba simile ?

marix
22-01-2007, 18.41.23
no non uso nessun tipo di programmino aggiuntivo , toolba , tranne che toolbar di galaxytool per ogame

LoryOne
22-01-2007, 19.21.20
Scusami ma qui devi sapere a quali porte in remoto sei connesso in stato ESTABILISHED, visto che lo scambio di dati è continuo.
Scaricati uno sniffer per vedere cosa viene trasferito. (DSniff va bene per questo)
In seguito scaricati fport per vedere quali software utilizzano la porta incriminata. (Explore Process è ancora meglio)
Infine, cerca di terminare il process ID incriminato.

marix
22-01-2007, 19.46.19
un link per dsniff per windows ... sono tutti per linux

LoryOne
22-01-2007, 20.12.28
Benissimo e sono contento.
(Chiedo scusa ai mods, ma ho cannato clamorosamente il nome che mal si adatta a quello che serve)

Cancella dalla mente quel nome, ho sbagliato io che faccio confusione.
SmartSniff (lo trovi su Wintricks)

LoryOne
22-01-2007, 20.15.24
Scusami ma qui devi sapere a quali porte in remoto sei connesso in stato ESTABILISHED, visto che lo scambio di dati è continuo.
Scaricati uno sniffer per vedere cosa viene trasferito. (DSniff va bene per questo)
In seguito scaricati fport per vedere quali software utilizzano la porta incriminata. (Explore Process è ancora meglio)
Infine, cerca di terminare il process ID incriminato.

Scrivo una precisazione:
Lo stato ESTABILISHED si riferisce ad una connessione TCP ma nulla vieta che la connessione sia connectionless, quindi su UDP.
Lo sniffer ti chiarirà le idee.

marix
22-01-2007, 20.55.18
allora :
nelle immagini in sequenza vi faccio vedere cosa succede :
in parole .. in risorse di rete ho le iconde delle schede di rete img1
http://www.inet.hr/~mjugovac/img1.jpg
se vado su propieta tutto fermo !!! :act:

poi pero mi appare l icona del router
http://www.inet.hr/~mjugovac/img2.jpg

e li che inizia il tutto :mm:

cosi che mim viene il dubbio che il traffico che vedo io e solo un passagio di dati dalla scheda di rete al router ...

poi faccio partire il sniff e vedo questo :

http://www.inet.hr/~mjugovac/img3.jpg

solo collegamenti verso il router , ed la linea nera mostra quello che fa il traffico !!!

poi ce il fport :

http://www.inet.hr/~mjugovac/img4.jpg
e mi da il svchost.exe pid 1004

e poi per finire faccio il process explorer e se killo il processo sparisce l icona del router

http://www.inet.hr/~mjugovac/img5.jpg

da quello che capisco io il traffico o lo faccio io o lo fa la suocera via wifi ... perche quello che succede sopra non mi sembra che vada verso internet ma solo locale ?? ditemi se sbaglio

LoryOne
23-01-2007, 08.25.58
Benissimo, ora vai sul sito di SysInternals e scaricati un software che ti consenta di chiudere manualmente le connessioni aperte. (Mi pare TCPKill o roba del genere).

Se riesci ad indentificare la connessione incriminata sei già a buon punto, altrimenti potrebbe essere questione di disabilitare servizi inutili caricati su protocollo UDP.
Agisci scrupolosamente, disabilitando un servizio per volta e controllando se ti è consentito collegarti nuovamente ad Internet o ad Inranet.

Ps: Intanto sai che ci sono due programmi che per funzionare si linkano a svchost per funzionare. Questo è importante.
Occhio quindi a trojan o simili ma fai attenzione a non gridare al lupo prima del tempo.
Calma, scrupolosità e metodo (Y)

LoryOne
23-01-2007, 18.39.49
Benissimo, ora vai sul sito di SysInternals e scaricati un software che ti consenta di chiudere manualmente le connessioni aperte. (Mi pare TCPKill o roba del genere).

Se riesci ad indentificare la connessione incriminata sei già a buon punto, altrimenti potrebbe essere questione di disabilitare servizi inutili caricati su protocollo UDP.
Agisci scrupolosamente, disabilitando un servizio per volta e controllando se ti è consentito collegarti nuovamente ad Internet o ad Inranet.

Ps: Intanto sai che ci sono due programmi che per funzionare si linkano a svchost per funzionare. Questo è importante.
Occhio quindi a trojan o simili ma fai attenzione a non gridare al lupo prima del tempo.
Calma, scrupolosità e metodo (Y)

Mi raccomando: Per NESSUN MOTIVO DISABILITA il servizio RPC
Cambia solo la password d'accesso se vuoi (Anzi, è sempre buona cosa farlo)