[NOTA: forse ho capito cosa causa il fenomeno indicato di seguito. Credo si tratti di "NDI Virtual Input", che è un software di NewTek per la trasmissione di flussi audio-video in rete locale. Interrompendo il processo, dopo un paio di minuti i "sintomi" sono cessati. Forse è un modo per individuare flussi video presenti sulla rete. Farò ulteriori verifiche si PC diversi]
Ho aperto il tool TCPView, che fa parte di Sysinternals Suite, perché avevo problemi di connessione e volevo vedere se potevo avere qualche indizio.
In realtà sembra che il problema fosse più legato ai due scatolini Powerline che uso per portare internet da un punto all'altro di casa (una volta spenti e riaccesi la velocità è tornata normale). Ho però notato un fenomeno strano.
Vedevo gruppi di porte consecutive che venivano aperte e poi richiuse, poi si apriva un gruppo successivo e via di seguito.
Forse il fenomeno riguarda solo le porte superiori alla 49000. Nell'elenco compare un gruppo consecutivo di porte in stato TIME_WAIT, dopo circa un minuto, queste spariscono e si apre il gruppo successivo, e via di seguito.
Appare una cosa così:
[System Process] 0 TCP mio-pc.fritz.box 52526 host82-26-dynamic.49-82-r.retail.telecomitalia.it 63768 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 52526 host82-26-dynamic.49-82-r.retail.telecomitalia.it 63768 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 52527 93-133-156.internethome.cytanet.com.cy 51776 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 54972 217.red-83-33-110.dynamicip.rima-tde.net 58004 TIME_WAIT 1 32
[System Process] 0 TCP mio-pc.fritz.box 52527 94-225-241-80.access.telenet.be 65471 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box icslap mu-c50-30.fritz.box 60017 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55126 diskstation.fritz.box 5000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55127 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55128 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55129 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55130 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55131 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55132 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55133 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55134 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55135 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55136 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55137 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55140 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55141 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55142 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55143 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55144 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55145 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55146 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55147 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55148 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55149 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55150 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55151 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55152 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55153 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55154 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55155 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55156 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55157 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55158 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55098 mil04s03-in-f1.1e100.net https TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55170 fritz.box http TIME_WAIT 1 235 3 1.923
[System Process] 0 TCP mio-pc.fritz.box 55179 ams.autoupdate.opera.com https TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55041 83-93-8-108-cable.dk.customer.tdc.net 60645 TIME_WAIT 1 156
[System Process] 0 TCP mio-pc.fritz.box 55076 bl13-103-68.dsl.telepac.pt 57625 TIME_WAIT 1 157
[System Process] 0 TCP mio-pc.fritz.box 52527 14.43.143.119 65522 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 52527 14.43.143.119 65522 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55202 diskstation.fritz.box 5000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55203 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55204 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55205 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55206 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55207 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55208 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55209 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55210 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55211 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55212 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55213 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55214 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55215 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55216 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55217 fritz.box 49000 TIME_WAIT
[System Process] 0 TCP mio-pc.fritz.box 55218 fritz.box 49000 TIME_WAIT
Mi sono domandato se fosse normale.
Anche su un secondo PC con Windows 10 accadeva.
Su un PC con Windows 7 e su un terzo PC con Windows 10 no.
Il PID del processo era 0, che significa che il processo è terminato (ma qualcosa è rimasto evidentemente). Comunque non potevo capire quale processo stava causando il fenomeno.
Non ho la competenza per interpretare bene il report o per comprendere meglio ciò che quelle righe significavano, ma non avevo mai osservato quel fenomeno e ho temuto si trattasse di un troian o qualcosa del genere.
Tempo dopo ho notato al fondo della videata di TCPView alcuni movimenti del processo ZeroConfigService.exe, che ha a che fare con la interfaccia di rete wireless Intel.
Dato che quella interfaccia, su quel PC aveva smesso di funzionare (non c'è stato verso di rimetterla in funzione, forse guasta) ho provato a cessare quel processo. Subito mi è parso che la continua "scansione" delle porte fosse cessata ma forse mi sono sbagliato perché successivamente ho visto che continuava.
Non so ancora se si tratti di qualcosa di malevolo o normale ma almeno è un indizio.
Avevo pensato che la cosa potesse riguardare i PC con scheda wireless Intel, che usano il software Intel PROSet/Wireless ma una verifica sull'altro PC non ha confermati.
L'altro PC che manifesta lo stesso fenomeno però non ha ZerConfigService.exe. Ho provato a disattivare alcuni processi senza esito, fino a che il PC non si è bloccato quando ho cominciato a disattivare processi di sistema.
Al momento il fenomeno continua, non ho molto tempo per cercare di dare maggiore significato al listing di TCPView.
Se qualcuno incappa nella cosa e ha informazioni può scrivere nei commenti.
Nessun commento:
Posta un commento
NOTA: Attualmente i commenti sono moderati, vale a dire che non compariranno immediatamente. Questo mi consente sia eliminare eventuale spam sia di leggere i messaggi e eventualmente rispondere.