Stranezze Veramente Inquietanti . Ntoskrnl, Pannello Nvidia, Netstat..

[Ancient warrior]

Ciao ragazzi. Innanzitutto complimenti per il grandissimo ampliamento del sito , è veramente un "must". Volevo segnalarvi alcuni atteggiamenti del mio computer, che definire "ambigui", sarebbe quanto mai riduttivo. Il mio computer è un :

Notebook Acer Aspire 5742G

Scheda grafica: Intel HD e Nvidia GT 540M

RAM: 4 GB

HD: 500 GB

OS: Windows 7 a 64-BIT - Home Edition- Service Pack 1

Processore Intel i3 2.53 GHz

Browser: Firefox + componenti aggiuntivi. No Proxy .

Microsoft Office 2007

Connessione con Router Netgear Wireless Infostrada.

Il disco fisso è partizionato in tre partizioni 13 GB(Ripristino sistema) 100 MB ( SYSTEM RESERVED) e 452GB (Sistema operativo e utenti, avvio, file di paging, partizione primaria )

Utilizzo due utenti con privilegi differenti , un "Administrator" e uno "Standard" ma sostanzialmente lo utilizzo sempre come utente "Standard" .

! NON ! ho attivato l'account Administrator collegato alla UAC.

Ora il PROBLEMA:

Comincio subito con lo specificare che il PC va che è una meraviglia, a parte delle stranezze su Internet dove a volte carica la pagina all'infinito, e poi smette come se non fosse successo niente.... oppure su Fb, si blocca la pagina o altre simili stranezze, altre volte la connessione Https salta su siti dove non dovrebbe, tipo la casella di posta elettronica.....oppure Google si impalla nella ricerca perennemente senza fine.....

Se apro il Tak Manager come utente Standard , sembra tutto a posto , niente abusi di CPU , niente processi sconosciuti insomma tutto Ok... però......se clicco, sempre nel Task Manager su: "Mostra i processi di tutti gli utenti" , il sistema mi chiede la passworld di amministratore, la immetto e noto che il processo "System" dell'utente "SYSTEM" -> ntoskrnl.exe con PID = 4 e percorso C:/Windows/system 32 (legittimo..) non mostra alcuna riga di comando... tra l'altro essendo collegato al Kernel , mi sembra strano che compaia nel TaskManager..(non compare se non si "mostra i processi di tutti gli utenti"....) . Ora comincia il bello : Metto a icona il Task Manager e apro NETSTAT e scrivo il comando con -bafo...e INCREDIBILE:::.... il processo di cui sopra con PID = 4 è in "LISTENING" su diverse porte : 445 ;137; 138 e 139 ... e sotto invece del nome del file, compare la scritta "Impossibile ottenere informazioni sulla proprietà", ma forse è normale dato che l'utente è il SYSTEM.....mah??? Il Kernel che comunica con INTERNET ???? Poi arrivano stranezze ancora più grosse.... Il Process Idle System PID = 0 oggi era in connessione ESTABLISHED sulle porte 51565 e seguenti con Tyler2:HTTPS.....??????!??!?!!?!! Il Process Idle System comunica con connessioni ESTABLISHED su Internet ??????

Ma non è finita qua.. spostando gli occhi dal prompt noto che tra le icone della barra delle applicazioni è comparsa quella del "Pannello di controllo Nvidia...nonostante nessuno le avesse chiesto niente....BOH...??? Dopo un paio di esperimenti vengo a scoprire che OGNI VOLTA che eseguo un programma con la funzione : tasto destro-> "Esegui come amministratore", OGNI SINGOLA VOLTA, si apre il pannello Nvidia che su NETSTAT comincia a imbastire un notevole (anche 25 e più, a volte....) numero di connessioni in TIME WAIT, tutte e sempre sulla porta 2559. Non smette mai e lo fa anche se completamente disconnesso dal router e da Internet...Mah ?? Sarà la funzione ricerca aggiornamenti automatici, mi dico, anche se l'ho impostata su "Manuale"...tra l'altro la scheda Nvidia ha un suo account utente di nome "Updatus user" per aggiornarsi. Faccio una prova e chiedo di scaricare gli aggiornamenti ma la comunicazione avviene su porte diverse da quella sopra menzionata 2559..... Comuque , premendo "esci" dall'icona del pannelo Nvidia si chide e cessano le connessioni.....Altra stranezza è che nel pannello di controllo Nvidia, nei settaggi dei giochi da me configurati compaiono nella lista programmi che non sono installati sul mio PC come "Nations" o "Independence War 2" e che non posso rimuovere dalla scheda in quanto il tasto "rimuovi" non è attivo.... c'è ancora Desperados2.exe nonostante lo abbia disinstallato dal PC e non si può rimuovere dalle impostazioni Nvidia. Tra l'altro quando lo installai, originale, poco tempo fa e poi lo tolsi perchè non partiva, notai che nella cartella del disco c'era anche il file: exeruns.exe...e infatti un' altra stranezza che lo riguarda è in "Protezione esecuzione programmi ": nell'elenco dei programmi esclusi compare appunto il file exeruns.exe che però NON è presente sul computer (??!?!) e, se rimosso dall'elenco "Attiva protezione programmi per tutti i programmi e i servizi tranne quelli nell'elenco" , una volta chiusa la scheda , se ci rientro lo ritrovo..pare che.... si autorigenera come esclusione !!!!!????? Insieme a: " SIGN.MEDIA=A26DADDB Autorun.exe "...e questo cosa sia veramente, non è dato saperlo ....!!!! ????

Andiamo avanti ...aprendo -> "services" scopro che dopo poco l'avvio del computer il servizio "Protezione Software"è stato terminato, non si sa da chi, visto che è impostato per l'avvio automatico e per eseguirsi per: "tutti i programmi tranne quelli nell'elenco"....(Vd. sopra).

.....Scansioni effettuate con diverse modalità (provvisioria o normale) con le versioni più aggiornate di Microsoft Security Essentials , MalwareBytesAntimalware, Microsoft Removal Tool, Kaspersky Virus Removal Tool e TDSS KIller, Avast Antivirus, SuperAntiSpyware , Gmer, Norton Online Scan, non rilevano nulla di nulla.... i log sono puliti, Kapsersky soltanto ha trovato due "vulnerabilità" in Flash Player , risolte aggiornandolo..... Hijack This su sistemi a 64 BIT è piuttosto superfluo.... ma..... a stò punto sto cominciando a pensare a qualcosa del genere, visto che driver , software e hardware sono tutti aggiornati e non mostrano problemi :

http://www.infosecis...e-Backdoor.html

Voi che ne pensate ?? E' tutto "Normale" e sono io paranoico, o veramente questi versi sono strani ?? (sicuramente su Xp non li ho mai visti e anche in questo anno e mezzo che uso W7 non ci avevo mai fatto caso...) .

Modificato December 12, 2012 da Ancient warrior