Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

CurrPorts e parecchie connessioni sospette.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

CurrPorts e parecchie connessioni sospette.

Messaggioda maiandra » ven giu 18, 2010 3:46 pm

A seguito dell'articolo di Crazy Cat, ho "installato" il programma currports, e vedo parecchie connessioni fatte da internet explorer attivate dal file c:/windows/system32/wininet.dll è normale?

Grazie e ciao a tutti.
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm

Re: currports

Messaggioda crazy.cat » ven giu 18, 2010 4:34 pm

La traduzione è schifosa, però dovrebbe essere una delle librerie che gestisce i collegamenti verso internet.
Descrizione
wininet.dll è un modulo che contiene le funzioni Internet-relative usate dalle applicazioni di Windows.

Quindi diciamo che dovrebbe essere tutto a posto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: currports

Messaggioda maiandra » sab giu 19, 2010 3:04 pm

Grazie Crazy Cat, però ho notato che, chiudendo queste connessioni, che sono parecchie, con currports, la navigazione non viene interrotta ed è anche più veloce, non si potrebbe trovare un modo perché non vengano aperte?

Grazie e ciao.
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm


Re: currports

Messaggioda crazy.cat » sab giu 19, 2010 5:15 pm

maiandra ha scritto:non si potrebbe trovare un modo perché non vengano aperte?
Grazie e ciao.

Domanda difficile, bisognerebbe capire a cosa servono e dove puntano.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: currports

Messaggioda markinson » sab giu 19, 2010 11:20 pm

maiandra ha scritto:... vedo parecchie connessioni fatte da internet explorer attivate dal file c:/windows/system32/wininet.dll ...

Perdonami, ma non ho capito bene.
Nella prima colonna "Process Name" (o "Nome Processo") vedi il nome del processo iexplorer.exe?
In corrispondenza di quale colonna trovi "c:\windows\system32\wininet.dll"? Per caso nella colonna "Process Path" (o "Percorso del processo")?
Da me, al processo iexplorer.exe è abbinato il path "C:\Program Files\Internet Explorer\iexplore.exe".

maiandra ha scritto:è normale?

Ti direi di no, nella misura in cui ...
maiandra ha scritto:... chiudendo queste connessioni, che sono parecchie, con currports, la navigazione non viene interrotta ed è anche più veloce ...


maiandra ha scritto:... non si potrebbe trovare un modo perché non vengano aperte? ...

Come ti ha detto crazy.cat, dovresti verificare e annotare dove puntano (intendo indirizzo IP, porte e protocollo utilizzato - TCP/UDP).
Poi, per fare un'opera di selezione, munirti di un firewall che, per ogni determinato processo, ti metta nelle condizioni di acconsentire e/o negare collegamenti a determinati IP (Sunbelt Personal Firewall è in grado di fare questo). La cosa non è semplice ... sarebbe come voler domare un cavallo selvaggio ... [:D] (però alla fine dà soddisfazione [:)] ).

Ho dato una rapida occhiata in rete e, sebbene saltuariamente, la libreria "wininet.dll" può essere oggetto e/o strumento di attacco da parte di qualche malware.
Fare una scansione con l'antivirus e un software anti-malware?
Postare un log di HijackThis?

Ho dato una limatina al titolo, spero non dispiaccia a nessuno! [;)]
MegaLab.it (MLI) = Gianluigi "Zane" Zanettini - That's all Folks!
Avatar utente
markinson
Bronze Member
Bronze Member
 
Messaggi: 936
Iscritto il: sab mag 01, 2010 9:22 am
Località: Roma

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda maiandra » dom giu 20, 2010 9:59 am

Per Markinson, si nel nome processo io vedo c:\programi/internet explorer\iexplore.exe, la wininet.dll la vedo nella terzultima colonna "Module filename".
Ciao e grazie.
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda markinson » dom giu 20, 2010 10:17 am

maiandra ha scritto:... la wininet.dll la vedo nella terzultima colonna "Module filename". ...

Ho controllato, ma nella mia colonna non compare nulla di questa chiamata (IE 8, in Windows 7 e Vista).
Se qualcun altro può verificare ...
Intanto inizierei a fare qualche scansione antivirus-antimalware. [uhm]

Rinnovo, la mia preoccupazione si lega a questo passaggio: "... chiudendo queste connessioni, che sono parecchie, con currports, la navigazione non viene interrotta ed è anche più veloce ...".
MegaLab.it (MLI) = Gianluigi "Zane" Zanettini - That's all Folks!
Avatar utente
markinson
Bronze Member
Bronze Member
 
Messaggi: 936
Iscritto il: sab mag 01, 2010 9:22 am
Località: Roma

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda maiandra » dom giu 20, 2010 10:36 am

Ecco il log di Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.05.52, on 20/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programmi\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Logitech\SetPointP\SetPoint.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
C:\windows\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\Programmi\File comuni\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\windows\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\cports\cports.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programmi\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programmi\WOT\WOT.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /F "C:\WINDOWS\TEMP\E_S155.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [EvtMgr6] C:\Programmi\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKCU\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /M "Stylus Photo R240" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [DriverMax_RESTART] "C:\Programmi\Innovative Solutions\DriverMax\devices.exe" -RESTART
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Registrazione prodotti.lnk = C:\Programmi\File comuni\Logishrd\eReg\SetPoint\eReg.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Aggiungi destinazione link a PDF esistente - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: Garmin Communicator Plug-In - https://static.garmincdn.com/gcp/ie/2.9 ... ontrol.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 0451924812
O16 - DPF: {A3256902-51FA-45A0-8A97-FC1143C169D9} (Diagnostics ActiveX WebControl) - http://support.microsoft.com/mats/DiagWebControl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.co ... nos/gp.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA977CD6-4506-4EAF-B4D8-2BD0B2BF5EE8}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programmi\WOT\WOT.dll
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c986d7217ccd0c) (gupdate1c986d7217ccd0c) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 8834 bytes
]
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda markinson » dom giu 20, 2010 6:18 pm

In attesa del giudizio degli esperti in sicurezza, ti segnalo:
  • O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /F \"C:\WINDOWS\TEMP\E_S155.tmp\" /EF \"HKLM\" --> è un tipo di entry che un analizzatore automatico dei log di HijackThis considera "strana"; è chiaro che è legata alla stampante Epson e al monitor dello suo stato, però, in effetti, lascia pensare che il path conduca al file temporaneo E_S155.tmp
  • O16 - DPF: Garmin Communicator Plug-In - https://static.garmincdn.com/gcp/ie/2.9 ... ontrol.CAB --> eventualmente da fixare
  • O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.co ... nos/gp.cab --> eventualmente da fixare

Pagina iniziale modificata? Ci pensa HijackThis! articolo di crazy.cat per capire come fixare le varie voci.

Quando hai eseguito HijackThis, avevi IE aperto?
Hai installato, con protezione residente, SpywareTerminator; hai fatto una scansione anche con questo?
Prova a scaricare, installare, aggiornare e avviare Malwarebytes' Anti-Malware.
MegaLab.it (MLI) = Gianluigi "Zane" Zanettini - That's all Folks!
Avatar utente
markinson
Bronze Member
Bronze Member
 
Messaggi: 936
Iscritto il: sab mag 01, 2010 9:22 am
Località: Roma

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda maiandra » dom giu 20, 2010 9:06 pm

Ho fixato con HijachThis la voce n. 4 quella del file E_S155.tmp e ho provato se funziona ancora la stampante e funziona, il garmin comunicator Plug-in penso che mi serve per quando aggiorno le mappe sul mio navigatore Garmin, scansioni con Spyware terminator e Malwarebytes le faccio spesso ma non hanno mai trovato nulla se non qualche cokie a basso livello di rischio, proverò di nuovo a fare le scansioni.

Grazie e ciao.
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda markinson » lun giu 21, 2010 5:17 pm

Stavo pensando stamattina: se provassi a far partire IE senza alcun add-on?

Ossia:
    1- Start --> Esegui
    2- iexplore.exe -extoff
    3- invio

Fosse qualche componente aggiuntivo ad agganciarsi ad IE e appesantire la connessione? [uhm]
MegaLab.it (MLI) = Gianluigi "Zane" Zanettini - That's all Folks!
Avatar utente
markinson
Bronze Member
Bronze Member
 
Messaggi: 936
Iscritto il: sab mag 01, 2010 9:22 am
Località: Roma

Re: CurrPorts e parecchie connessioni sospette.

Messaggioda maiandra » mar giu 22, 2010 10:48 am

Provato a far partire Ie senza add-on ma le connessioni restano.

Grazie e ciao.
Avatar utente
maiandra
Senior Member
Senior Member
 
Messaggi: 404
Iscritto il: sab mar 12, 2005 4:30 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising