Visualizza versione completa : connesione che va sempre
marix
21-01-2007, 19.34.15
ciao a tutti ... non sapendo come spiegare ..il titolo e un po cosi ...
pc connesso via cavo su di un router ... un altro pc collegato con router via wifi
tutto funziona , pero quando controllo il traffico qualcosa non batte ...
la connesione anche con tutti i prog spenti continua ... ce upload e ce download
ho nod32 , outpost firewall , se blocco tutte le porte si ferma .
avede qualche idea come trovare il colpevole del traffico illecito ?
io ho una connesiona adsl 1mbit con limite di 1gb e se supero devo pagare in piu
questo mese e siamo al 21 siamo gi a700mb oltre ...
grazie e ciaoooo
marix
21-01-2007, 22.32.29
ho trovato un file che non si cancella nsf7.tmp
in c:windows temp
P8257 WebMaster
21-01-2007, 23.02.46
Chiudi tutti i programmi, compresi eventuali software di instant messaging, apri il prompt e lanci NETSTAT -A non dovrebbero esserci connessioni o al massimo dovresti trovare connessioni al server dell'antivirus per eventuali aggiornamenti e a microsoft se hai gli aggiornamenti automatici attivati.
Se non riesci a cancellare quel file dai temporanei, fallo in modalità provvisoria.
marix
22-01-2007, 16.47.12
ho fatto come mi hai detto ..ecco il link ...cosi vedi ... cmq il traffico continua
http://www.inet.hr/~mjugovac/netstat.bmp
:crying:
p.s provato a cancellare in modalita provvisoria pero niente , e ho fatto un sistem restore di un paio di giorni fa ... i file non ci sono piu pero il traffico continua
P8257 WebMaster
22-01-2007, 16.56.53
ho fatto come mi hai detto ..ecco il link ...cosi vedi ... cmq il traffico continua
http://www.inet.hr/~mjugovac/netstat.bmp
:crying:
p.s provato a cancellare in modalita provvisoria pero niente , e ho fatto un sistem restore di un paio di giorni fa ... i file non ci sono piu pero il traffico continua
Hai google desktop o google search o roba simile ?
marix
22-01-2007, 19.41.23
no non uso nessun tipo di programmino aggiuntivo , toolba , tranne che toolbar di galaxytool per ogame
LoryOne
22-01-2007, 20.21.20
Scusami ma qui devi sapere a quali porte in remoto sei connesso in stato ESTABILISHED, visto che lo scambio di dati è continuo.
Scaricati uno sniffer per vedere cosa viene trasferito. (DSniff va bene per questo)
In seguito scaricati fport per vedere quali software utilizzano la porta incriminata. (Explore Process è ancora meglio)
Infine, cerca di terminare il process ID incriminato.
marix
22-01-2007, 20.46.19
un link per dsniff per windows ... sono tutti per linux
LoryOne
22-01-2007, 21.12.28
Benissimo e sono contento.
(Chiedo scusa ai mods, ma ho cannato clamorosamente il nome che mal si adatta a quello che serve)
Cancella dalla mente quel nome, ho sbagliato io che faccio confusione.
SmartSniff (lo trovi su Wintricks)
LoryOne
22-01-2007, 21.15.24
Scusami ma qui devi sapere a quali porte in remoto sei connesso in stato ESTABILISHED, visto che lo scambio di dati è continuo.
Scaricati uno sniffer per vedere cosa viene trasferito. (DSniff va bene per questo)
In seguito scaricati fport per vedere quali software utilizzano la porta incriminata. (Explore Process è ancora meglio)
Infine, cerca di terminare il process ID incriminato.
Scrivo una precisazione:
Lo stato ESTABILISHED si riferisce ad una connessione TCP ma nulla vieta che la connessione sia connectionless, quindi su UDP.
Lo sniffer ti chiarirà le idee.
marix
22-01-2007, 21.55.18
allora :
nelle immagini in sequenza vi faccio vedere cosa succede :
in parole .. in risorse di rete ho le iconde delle schede di rete img1
http://www.inet.hr/~mjugovac/img1.jpg
se vado su propieta tutto fermo !!! :act:
poi pero mi appare l icona del router
http://www.inet.hr/~mjugovac/img2.jpg
e li che inizia il tutto :mm:
cosi che mim viene il dubbio che il traffico che vedo io e solo un passagio di dati dalla scheda di rete al router ...
poi faccio partire il sniff e vedo questo :
http://www.inet.hr/~mjugovac/img3.jpg
solo collegamenti verso il router , ed la linea nera mostra quello che fa il traffico !!!
poi ce il fport :
http://www.inet.hr/~mjugovac/img4.jpg
e mi da il svchost.exe pid 1004
e poi per finire faccio il process explorer e se killo il processo sparisce l icona del router
http://www.inet.hr/~mjugovac/img5.jpg
da quello che capisco io il traffico o lo faccio io o lo fa la suocera via wifi ... perche quello che succede sopra non mi sembra che vada verso internet ma solo locale ?? ditemi se sbaglio
LoryOne
23-01-2007, 09.25.58
Benissimo, ora vai sul sito di SysInternals e scaricati un software che ti consenta di chiudere manualmente le connessioni aperte. (Mi pare TCPKill o roba del genere).
Se riesci ad indentificare la connessione incriminata sei già a buon punto, altrimenti potrebbe essere questione di disabilitare servizi inutili caricati su protocollo UDP.
Agisci scrupolosamente, disabilitando un servizio per volta e controllando se ti è consentito collegarti nuovamente ad Internet o ad Inranet.
Ps: Intanto sai che ci sono due programmi che per funzionare si linkano a svchost per funzionare. Questo è importante.
Occhio quindi a trojan o simili ma fai attenzione a non gridare al lupo prima del tempo.
Calma, scrupolosità e metodo (Y)
LoryOne
23-01-2007, 19.39.49
Benissimo, ora vai sul sito di SysInternals e scaricati un software che ti consenta di chiudere manualmente le connessioni aperte. (Mi pare TCPKill o roba del genere).
Se riesci ad indentificare la connessione incriminata sei già a buon punto, altrimenti potrebbe essere questione di disabilitare servizi inutili caricati su protocollo UDP.
Agisci scrupolosamente, disabilitando un servizio per volta e controllando se ti è consentito collegarti nuovamente ad Internet o ad Inranet.
Ps: Intanto sai che ci sono due programmi che per funzionare si linkano a svchost per funzionare. Questo è importante.
Occhio quindi a trojan o simili ma fai attenzione a non gridare al lupo prima del tempo.
Calma, scrupolosità e metodo (Y)
Mi raccomando: Per NESSUN MOTIVO DISABILITA il servizio RPC
Cambia solo la password d'accesso se vuoi (Anzi, è sempre buona cosa farlo)
vBulletin® v3.8.6, Copyright ©2000-2024, Jelsoft Enterprises Ltd.