www.MegaLab.it

da **cippico** » mer apr 16, 2008 6:38 am

usando il prg currports mi accorgo che appaiono un sacco di voci associate al nome host remoto *.aflashcounter.com...
risulta in attesa...su porta locale 80,

proprio ora mentre scrivo sono sparite...ma erano attive da almeno 5/10 minuti...

*.aflashcounter.com oltretutto e' presente nel mio file hosts...

da cosa potra' dipendere?

ora sono ritornate...indirizzo remoto 127.0.0.1
in una di queste sotto nome vedo invece di http knetd
porte remote 2061 2062 2063 2080 2081 2082

vedo che capita chiaramente con il browser aperto...ogni tanto aumentano di numero...dopo un tot tempo piano piano scompaiono x ritornare...

a browser chiuso nulla pero'...pur con skype aperto...

qualche volta se provo a chiuderli da currport alcuni si chiudono...a volte invece nemmeno dopo aver chiuso il browser si chiudono...

posto anche log di HijackThis v2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:39, on 15/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programmi\Kav\avp.exe
H:\WINDOWS\Explorer.EXE
H:\Programmi\Kav\avp.exe
H:\Programmi\ZoneAlarm\zlclient.exe
H:\WINDOWS\system32\ZONELABS\vsmon.exe
H:\Programmi\Maxthon\Maxthon.exe
H:\Programmi\Skype\Phone\Skype.exe
H:\Documents and Settings\mionomeutente\Desktop\HijackThis 2.0.2 stand alone\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - H:\Programmi\McAfee\VSCShellExtension.dll
O4 - HKLM\..\Run: [AVP] "H:\Programmi\Kav\avp.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Aggiungi ad Anti-Banner - H:\Programmi\Kav\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Programmi\Kav\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{393ED349-75C7-4FCC-8D43-8DBD2FF875CB}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{393ED349-75C7-4FCC-8D43-8DBD2FF875CB}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{393ED349-75C7-4FCC-8D43-8DBD2FF875CB}: NameServer = 151.99.125.1,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - H:\Programmi\Kav\avp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 2507 bytes

ho anche testato con cwshredder 2.19.0,adaware e spybot...nessun risultato...e nemmeno process explorer mi da elementi strani in esecuzione...

cosa potra´ essere?

grazie a tutti e ciaooo

da **crazy.cat** » mer apr 16, 2008 7:19 am

Prova qualche antispyware più decente come superantispyware o malwarebytes.
Il log di hijackthis è uno dei più brevi mai visti, non c'è praticamente niente in quel pc.

Usi ancora mcafee?
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - H:\Programmi\McAfee\VSCShellExtension.dll

da **ste_95** » mer apr 16, 2008 12:55 pm

Hai bloccato le modifiche alla homepage del browser? In ogni caso finchè l'IP a cui collegarsi rimane 127.0.0.1 non corri rischi, visto che quell'IP punta la computer locale.

da **cippico** » mer apr 16, 2008 1:55 pm

si,le ho bloccate...pero´ noto un rallentamento quando ho quella sfilza di porte in attesa...e mi sono accorto del problema proprio perche´ notavo un insolito rallentamento...

forse dovrei fare una passata con altri soliti prg scova magagne?

grazie e ciaooo [^]

da **crazy.cat** » mer apr 16, 2008 2:13 pm

cippico ha scritto:forse dovrei fare una passata con altri soliti prg scova magagne?

Si.
Usa quelli che ti ho suggerito.

da **cippico** » mer apr 16, 2008 5:49 pm

mcafee lo uso solo x testare cose che scarico e/o che mi passano...

altrimenti uso solo kav...

all prossima occasione provo superantispyware e malwarebytes...

grazie e ciaooo [^]

da **cippico** » gio apr 17, 2008 6:23 pm

oggi ho installato,aggiornato(quelli che lo consentivano) i seguenti prg x fare una bell ascansione:
virit 6.1.90
Super antispyware 4.0.1154
Spyware terminator 2.2.0.411
Norman malware cleaner 2008.04.08
Malwarebytes anti malware 1.11
Antirootkit rootalyz
A squared free edition 3.5.0.8

oltre ad aver gia provato ieri adaware,spybot,HijackThis 2.0.2 e cwshredder 2.19.0

nessuno ha trovato nulla...

ora scrivo con skype chiuso...e non vedo le solite porte in attivita'...forse e' colpa sua?

se togliessi dal mio file hosts la voce *.aflashcounter.com cosa succede...invece di rimanere il traffico bloccato andrebbe a destinazione?

grazie a tutti e ciaooo

da **crazy.cat** » gio apr 17, 2008 6:29 pm

cippico ha scritto:se togliessi dal mio file hosts la voce *.aflashcounter.com cosa succede...invece di rimanere il traffico bloccato andrebbe a destinazione?

Si, non verrebbe più bloccato.

da **cippico** » gio apr 17, 2008 6:39 pm

imamginavo che non sarebbe stato piu' bloccato...infatti attendevo conferme...

ora ho aperto skype e il problema si ripresenta...

con browser aperto e navigando il problema non si presenta...
quindi...con skype aperto il problema si presenta...
se lascio aperto skype e chiudo il browser il problema dopo un po' scompare...
il colpevole sara' skype immagino...

che ne pensate?

grazie a tutti e ciaooo

da **crazy.cat** » gio apr 17, 2008 6:48 pm

cippico ha scritto:il colpevole sara' skype immagino...

A me non mi da questo problema, ho provato le tue stesse operazioni.

da **cippico** » gio apr 17, 2008 6:54 pm

e dire che non me ne ero mai accorto...magari lo ha sempre fatto...
magari provo a disinstalalrlo e reinstallarlo...

una cosa...tu sai che differenza c'e' nel file hosts su stringhe cheiniziano con 127.0.0.1 e 0.0.0.0 ?

ancora grazie e ciaooo

da **ste_95** » gio apr 17, 2008 7:29 pm

cippico ha scritto:una cosa...tu sai che differenza c'e' nel file hosts su stringhe cheiniziano con 127.0.0.1 e 0.0.0.0?

Entrambi gli IP puntano al computer locale.

da **cippico** » ven apr 18, 2008 6:37 am

capito...

grazie e ciaooo [^]

da **cippico** » ven apr 18, 2008 10:29 pm

stasera ho rimosso skype e reinstallato...non cambia nulla... [uhm]

ciaooo a tutti

da **cippico** » lun apr 21, 2008 6:06 pm

...e la cosa continua...

oggi ho provato ad aprire skype...nessuna porta uata da aflashcounter.com
ho aperto il browser maxthon senza aprire pero' nessun sito...nessuna porta uata da aflashcounter.com
appena sono andato su un sito...currport ha iniziato a mostrare le solite porte in attesa... [uhm]

ma che nocciole... [}:)]

ciaooo a tutti

www.MegaLab.it

con currports vedo porte usate da *.aflashcounter.com

con currports vedo porte usate da *.aflashcounter.com

Chi c’è in linea