# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Поиск  и ограничение исходящего трафика

## skiner

Добрый день. 
У меня накопилось немало дел с компьютером, которые я все откладывал и откладывал.
Вот накопилось столько что решил к вам обратится. Своими маленькими силами не справляюсь.

Опишу несколько проблем.

1) У меня модемный интернет от МТС. 3G. Исходящие пакеты маленькие, а канал узкий. Если идет большой поток изхдящего трафика, то блокируется почти весь входящий трафик.
Хотелось бы узнать, куда улетают примерно 60мб изходящего трафика каждые 3-5 дней. а также ежедневный изходящий трафик в размере 10-15 мегабайт.

Пользуюсь Eset Smart Security 8. там отличный фаер волл. 
Я бы хотел узнать айпи адреса - куда уходит трафик, и заблокировать.

2)Также у меня раз в сутки иногда и два раза в стуки, при изпользовании Гугл Хром в любом месте экрана, при нажатии мышкой, переходит на вулкан казино. своими силами справится не вышло. Как это устранить ?

3) Пользуюсь виндовс 7. в процессах постоянно висит процесс GWX.exe который мне ежедневно скачивает на рекламу порядка 50 мегабайт входящего трафика. Мешает своей рекламой выскакивающей на пол экрана *Загрузите виндовс 10 бесплатно*. Также я подозреваю о ежедневном изходящем трафике этого процесса. Как это устранить ?

Буду рад любому решоному выше описанному вопросу.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

Относительно Get Windows X (GWX)...

В сети  множество описаний, как от этой гадости избавится. Как мне кажется, мелкомягкие эти описания тоже читают. Потому что, к примеру, простое удаление KB3035583 уже не работает (проверено неоднократно). В общем, я поступаю так:
- удаляю КаБэ-шку 

```
wusa.exe /uninstall /kb:3035583 /quiet
```

- скрываю это обновление в центре обновления (правой кнопкой мыша на обновлении -> скрыть)
- открываю планировик заданий, в левой панели нахожу это Microsoft\Windows\Setup\gwx, правая кнопка мыша на всем, что внутри -> выключить (там внутри четыре записи, названий не помню, но что-то с трей процессом (это значит около часиков в панели задач) и рефреш конфигом)
- перезагружаю комп и проверяю
- после всего этого в центре обновлений меняю значение для автоматического обновления на "Искать обновления, но решение о загрузке и установке принимается мной".

На самом деле, я поступаю чуть жёстче: вместо команды wusa запускаю некий батник, который содержит кроме вышеуказанной КБ ещё кучу всякого шлака, типа отключения навязываемой телеметрии, удаления сертификатов (опасно для тех, у кого винда нелицензионная) и удаление предложений обновления. На сегодняшний день тама 16 мелкомягких обновлений для 7-ки и 8-ки. Два месяца назад было 11  :Smiley: 

Могут быть нюансы. Типа - невозмжно выполнить операцию по причине отсутствия прав. Поэтому, командную строку запускаю от администратора.
Можете для отключения gwx использовать autoruns. В нём надо только снять голочку "скрывать элементы микрософт". Далее - поиском ищите gwx, правая кнопка мыша - удалить.

По пункту 1.



> Пользуюсь Eset Smart Security 8. там отличный фаер волл.
> Я бы хотел узнать айпи адреса - куда уходит трафик, и заблокировать.


ИМХО, это лучшая реклама для этого отличного файера: мегабайты уходят, а он даже показать "куда" не может/не хочет  :Smiley: 

На самом деле, я предполагаю, что Вы просто не знаете, где это смотреть. И если это так, то я даже не знаю, как рекомендовать Вам софт для анализа сетевого траффика...
Просто дам ссылки, наверное. Самое простое - виндамп, это портированный с Линукса tcpdump под Винду - https://www.winpcap.org/windump/
Второе - https://www.wireshark.org/ - эта утиль имеет графический интерфейс.
Посмотрите, может сможете что-нибудь вытащить из того потока данных, который они Вам выбросят.
Да, ещё момент. Для виндампа требуется winpcap. Некоторые антивирусы считают его хактулом (типа, инструмент хакера) и могут обзывать всякими страшными именами, типа троян (или троянец, как любит обзываться доктор вэб).

А ещё лучше, разберитесь с файером, который в Эсете. Заблокируйте весь входящий/исходящий траффик, а потом включайте по приложениям. Если есть режим обучения (я просто этого не знаю - не люблю платные продукты, особенно, если учесть, что есть бесплатные, которые ничем не хуже), задействуйте и смотрите на всплывающие сообщения. Типа, запустили браузер - всплыло сообщение - разрешили.

По пункту 2 - в "Помогите".
Это, кстати, поможет уменьшить "паразитный" траффик  :Smiley:

----------


## skiner

Большое спасибо за ответ. Все попробую, Фаер волл изучаю.

При изучении фаер волла натолкнулся на дну примечательную вещь.

По порядку.
В интернете не знаю как задать сей вопрос для поиска.
Потому напишу тут. Может вы сталкивались. Похожие проблемы я находил, в ветках вредоносного ПО, сетевой безопасности,Шпионские программы.
Но не в одной из веток не нашел точного упоминание моей проблемы.

1) При открытии  Браузера - любого, хром,опера,фаирфок,орбитум,амиго,Сеамонкей и прочих. резко возрастает активность сетевого трафика.
2)как показал фаервол активность сетевого трафика связана с посещением айпи адресов  разных популярных сайтов, новостей,(амазаон.ком)соц сетей(фейс бук - однокласники - вконтакте)
3)Посещение происходит в фоном режиме и без моего участие.
4)имена адресов есть стандартные с припиской в конце этого сайта либо нестандратные типо:
srv17-131-240-17-vk.com
........................  odnoklasniki.ru ну и так далее.
5)блокирование по айпи ничего не дает, появляются новые айпи адреса.
6)Трафик есть изходящий и входящий, причем изходяшего больше чем входящего. но в целом все примерно одинаково.
7) AVZ ничего не нашел. сказал что есть только подозрение.


Моя мать в эстонии. Пользуется интернетом через модем, модем подключен к wi-fi роутеру. Пользуется Мать Эксплорером. Другие браузеры я удалил дистанционно.

Перед новым годом, за пару дней, был выкачен весь трафик. 20+гб. на компьютере этой информации не нашел, ни отчета о сетевой аткивности, либо уменьшение инфо пространства на диске, либо новых файлов. 
1 января, трафик обновился, и за пару часов было еще 10гб  скачено.
уведомление о трафике приходит от провайдера. и только там я могу зафиксировать изпользуемый трафик.
стоит бесплатная авира.

Вопрос - как мне определить что закачивается ?
Как мне определить дистанционно - что это вообще может быть ?
И не может ли сам провайдер ошибаться ?
На ноуте стоит виндовс 8.1 бесплатная.

----------


## Val_Ery

Вам надо пролечить комп. 
Если есть возможность удаленного доступа (например, посредством teamviewer) к компу в Эстонии, Вы можете выполнить все процедуры, необходимые для ветки "Помогите", удаленно. Или попросить выполнить.

P.S. На адресах не зацикливайтесь. Во-первых, рано, а во-вторых - сейчас это бесполезно.
Вот только после того, как избавитесь от всех браузерных "прицепов" (службы, отслеживающие запуск браузеров, добавленные ярлыки, скрипты, рекламные модули на страницах, которые желательно блокировать, ПНП и т.п.), запретите Винде автоматом скачивать обновления (речь об обновлении до Винды 10, которая сейчас включена в обновления безопасности)... Вот тогда можно уже конкретно искать/анализировать. Судя по Вашим словам, у Вас огромное количество "паразитного" трафика. ОТ КОТОРОГО НУЖНО ИЗБАВИТСЯ ИЗНАЧАЛЬНО! Только лечением. 
И это ответ на вопрос 


> Может вы сталкивались.


Это 80% всех вызовов за последнее время  :Smiley: 

Относительно интернета.
Случаи наглого обмана провайдером мне известны. В Вашем случае, я думаю, что провайдер не ошибается, так скорее всего и есть. 
Вопрос в другом... Есть ли пароль на wi-fi подключение? А то будет, как у одного моего клиента: как-то однажды забыл проплатить абон.плату, на второй день пришел сосед с вопросом "У Вас тоже интернет выключили?"

И ещё. Но это моё ИМХО - авира, скажу так, далеко не лучший антивирусный производитель на данный момент,.. даже далеко не средний..

----------


## skiner

как избавится от всех браузерных "прицепов" ???

У меня не стоит авто-обновление, только уведомление - а решение принимаю я.

>>>>>службы, отслеживающие запуск браузеров, добавленные ярлыки, скрипты, рекламные модули на страницах, которые желательно блокировать, ПНП и т.п.<<<<<

Простите меня. Но я не совсем понимаю как это сделать.

Может вы просветите меня ? может ссылку какую дадите об этом ? (Браузерные прицепы)


Насколько я понимаю, эти прицепы были подключены с обновлениями виндовса ?

По причине забитого канала(браузерными прицепами), не могу возпользоватся никаким удаленным доступом. 
А если еще открыть парочку браузеров, то совсем караул. пробка на трассе.

С компом в эстонии.
Да я подключаюсь тим вьювером. Но какие либо процедуры смогу производить после старого нового года.

Благодарю вас за ваше внимание, Дружелюбие.

С праздниками вас Прошедьшими и Наступающими.

----------


## Val_Ery

И Вас с наступившим новым годом!

Обновление винды я упомянул только по одной причине - она пытается загрузить вин 10 на комп пользователя, если у него в автоматическом обновлении выбрано "устанавливать автоматически". Понимаете, мелкомягким глубоко наплевать на то, что у Вас 3g  :Smiley:  Обновление безопасности должно быть установлено на компьютер пользователя!

Относительно поиска того, что в работе компьютера не нужно...
Я так понимаю, с обращением в помогите проблема. Тогда для поиска "прицепов" (это - НЕ какое-то специализированное понятие, просто слово, определяющее суть процесса)...
На свой страх и риск дам ссылку - https://toolslib.net/downloads/viewd.../1-adwcleaner/ 
Обратите внимание: программа много чего находит и много чего удаляет. Включая любимого многими майл.ру агента. Поэтому, перед очисткой всего найденного желательно пройтись по закладкам и поснимать галочки у того, чем пользуетесь. 

Если увидите что-то непонятное... 
Именно поэтому я и отправлял Вас в "Помогите". Там профессиональные хэлперы. Которые обладают спец.знаниями. На основании которых дают рекомендации: что делать, при помощи какого софта делать и т.п. Но эти рекомендации возникают тоже не из воздуха - хэлперам необходимы исходные данные, логи. Просто обратится со словами "кто-то выедает траффик" не получится. Ибо поиск этого кого-то будет напоминать гадание на кофейной гуще. Чем, кстати, я и занимаюсь  :Smiley:  

Я к хэлперам, к сожалению, не отношусь  :Sad:  Поэтому говорить "вот это удалите, а это не трогайте" здесь НЕ имею права, моя рекомендация - только на "свой страх и риск".

И ещё момент.
Я совсем не обещаю, что пройдясь по компу adwcleaner'ом, Вы избавитесь от всех проблем. Это, вероятно, разрешит только часть из них...

----------


## skiner

Спасибо понял. Осталось только четко и ясно сформулировать Запрос о помощи.

----------

