Всем привет.
У меня мини проблем...на диске С создается текстовый файлик log и xhtml файлик TEST я никак не могу понять откуда они берутся и кто их делает.Посоветуйте плиз программы как бы мне это отследить.Еще траффик исходящий уж больно много утекает,а я никак не могу понять куда,тут тоже посоветуйте плиз программу которая помогла бы это узнать.
С Уважением.

http://www.sysinternals.com/Utilities/Filemon.html

Насчет трфика. Логи по правилам пробовали делать? Может там что видно?

а какое содержимое файлов?
фаерволл нужно ставить, типа Outpost'a, чтобы увидеть кто трафик ест.

To Sunix-тестовый файлик там 0.и разные цыфры.ххтмл просто эррор.Фаерволл стоит,Аутпост.
Логи делал,сам ничего не увидел...

Вот эти файлы создаются.

log.txt - это что-то до боли знакомое... кажется это какие-то сторонние драйвера на мышку создают :D
а вообще
Логи по правилам пробовали делать? Может там что видно?

Еще траффик исходящий уж больно много утекает,а я никак не могу понять куда,тут тоже посоветуйте плиз программу которая помогла бы это узнать. Dark_Blaze, у Вас эта программа уже стоит. Не нужно изобретать велосипед. Подключитесь к сети. Запустите один экземпляр IE на какой-нибудь сайт. А потом логи ОР "История Разрешенных" сюда. Скорее всего у Вас ipv6 стоит и svchost качает меги с микрософта... но это догадки... А с чего Вы взяли, что :
траффик исходящий уж больно много утекает ????

To orvman:Логи сделаю.
Что такое ipv6?
Взял с того что от того что схожу на пару сайтов исходящего траффика около 15 мег...иногда больше иногда меньше,вот я и непонимаю кому,что, куда и самое главное при помощи кого я высылаю.

Что такое ipv6?
http://www.hostinfo.ru/tree/domain/dns/about/ip-address/ipv6

To orvman:Логи сделаю.
Взял с того что от того что схожу на пару сайтов исходящего траффика около 15 мег...иногда больше иногда меньше,вот я и непонимаю кому,что, куда и самое главное при помощи кого я высылаю.
Смотрел не так давно за работой Adware.Trafgen по дрвебу - он создает примерно такую картину.
Пока IE неактивен - обмена нет, но стоит только запустить IE и открыть какую-то ссылку, эта адварь попутно "посещает" еще с десяток порнушных и т.д. сайтов.
См.
DrWeb Adware.Trafgen hxxp://trafficsolution.com/bc/adm/files/ebo_1025.exe
DrWeb Adware.Trafgen hxxp://209.200.63.72/ebo_1025.exe
DrWeb Adware.Trafgen hxxp://209.200.63.106/ebo_1025.exe

18:33:01 ashwebsv.exe ÈÑÕ TCP www.7wolf.net HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:29 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:29 ashwebsv.exe ÈÑÕ TCP counter.rambler.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:29 ashwebsv.exe ÂÕÎÄ TCP localhost 1081 Allow localhost TCP connection
18:32:29 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:29 ashwebsv.exe ÈÑÕ TCP www.exaccess.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:29 ashwebsv.exe ÂÕÎÄ TCP localhost 1079 Allow localhost TCP connection
18:32:29 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:29 ashwebsv.exe ÈÑÕ TCP counter.yadro.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:29 ashwebsv.exe ÂÕÎÄ TCP localhost 1077 Allow localhost TCP connection
18:32:29 ashwebsv.exe ÂÕÎÄ TCP localhost 1076 Allow localhost TCP connection
18:32:29 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:28 ashwebsv.exe ÈÑÕ TCP dynamic.exaccess.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:28 ashwebsv.exe ÈÑÕ TCP img273.imageshack.us HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:28 ashwebsv.exe ÂÕÎÄ TCP localhost 1074 Allow localhost TCP connection
18:32:28 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:28 ashwebsv.exe ÈÑÕ TCP img140.imageshack.us HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:28 ashwebsv.exe ÂÕÎÄ TCP localhost 1072 Allow localhost TCP connection
18:32:28 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:28 ashwebsv.exe ÂÕÎÄ TCP localhost 1070 Allow localhost TCP connection
18:32:28 svchost.exe ÈÑÕ UDP 194.204.152.34 DNS Generic Host Process DNS Client UDP connection
18:32:28 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:27 ashwebsv.exe ÈÑÕ TCP news.yandex.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:27 ashwebsv.exe ÂÕÎÄ TCP localhost 1061 Allow localhost TCP connection
18:32:27 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:27 ashwebsv.exe ÂÕÎÄ TCP localhost 1064 Allow localhost TCP connection
18:32:27 ashwebsv.exe ÈÑÕ TCP image.link.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:27 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:27 ashwebsv.exe ÂÕÎÄ TCP localhost 1067 Allow localhost TCP connection
18:32:27 ashwebsv.exe ÈÑÕ TCP news.yandex.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:27 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:26 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:26 ashwebsv.exe ÂÕÎÄ TCP localhost 1056 Allow localhost TCP connection
18:32:26 ashwebsv.exe ÈÑÕ TCP link.link.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:24 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:24 ashwebsv.exe ÂÕÎÄ TCP localhost 1053 Allow localhost TCP connection
18:32:24 ashwebsv.exe ÈÑÕ TCP dynamic.exaccess.ru HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:24 ashwebsv.exe ÂÕÎÄ TCP localhost 1055 Allow localhost TCP connection
18:32:24 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:21 ashwebsv.exe ÈÑÕ TCP virusinfo.info HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:21 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:21 ashwebsv.exe ÂÕÎÄ TCP localhost 1051 Allow localhost TCP connection
18:32:20 iexplore.exe ÈÑÕ UDP localhost 1042 Allow localhost UDP connection
18:32:20 ashwebsv.exe ÂÕÎÄ TCP localhost 1049 Allow localhost TCP connection
18:32:20 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:20 svchost.exe ÈÑÕ UDP 194.204.152.34 DNS Generic Host Process DNS Client UDP connection
18:32:20 ashwebsv.exe ÈÑÕ TCP virusinfo.info HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:03 ashwebsv.exe ÂÕÎÄ TCP localhost 1047 Allow localhost TCP connection
18:32:03 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:03 ashwebsv.exe ÈÑÕ TCP www.7wolf.net HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:00 ashwebsv.exe ÈÑÕ TCP www.7wolf.net HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:32:00 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:32:00 ashwebsv.exe ÂÕÎÄ TCP localhost 1045 Allow localhost TCP connection
18:31:59 iexplore.exe ÈÑÕ UDP localhost 1042 Allow localhost UDP connection
18:31:59 ashwebsv.exe ÂÕÎÄ TCP localhost 1043 Allow localhost TCP connection
18:31:59 iexplore.exe ÈÑÕ TCP localhost 12080 Allow localhost TCP connection
18:31:59 svchost.exe ÈÑÕ UDP 194.204.152.34 DNS Generic Host Process DNS Client UDP connection
18:31:59 ashwebsv.exe ÈÑÕ TCP www.7wolf.net HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE
18:31:21 Íåäîñòóïíî ÈÑÕ TCP download39.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:21 Íåäîñòóïíî ÈÑÕ TCP download1.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:20 avast.setup ÈÑÕ TCP download1.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:19 avast.setup ÈÑÕ TCP download1.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:19 avast.setup ÈÑÕ TCP download1.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:18 avast.setup ÈÑÕ TCP download39.avast.com HTTP Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ AVAST.SETUP
18:31:11 Íåäîñòóïíî ÂÕÎÄ ICMP download3.avast.com Ýõî-îòâåò/0 ICMP ñîåäèíåíèÿ
18:31:11 Íåäîñòóïíî ÈÑÕ ICMP download3.avast.com Ýõî-çàïðîñ/0 ICMP ñîåäèíåíèÿ
18:31:06 svchost.exe ÈÑÕ UDP localhost 1032 Allow localhost UDP connection
18:31:06 svchost.exe ÈÑÕ UDP localhost 1031 Allow localhost UDP connection
18:31:06 Íåäîñòóïíî ÂÕÎÄ UDP 83.5.143.161 1031 Allow local UDP connection
18:31:06 Íåäîñòóïíî ÂÕÎÄ ICMP localhost Ïîëó÷àòåëü íåäîñòóïåí/3 ICMP ñîåäèíåíèÿ
18:31:06 Íåäîñòóïíî ÈÑÕ ICMP 83.5.143.161 Ïîëó÷àòåëü íåäîñòóïåí/3 ICMP ñîåäèíåíèÿ
18:31:00 svchost.exe ÂÕÎÄ TCP localhost 1036 Allow localhost TCP connection
18:31:00 svchost.exe ÈÑÕ UDP localhost 1035 Allow localhost UDP connection
18:31:00 svchost.exe ÂÕÎÄ UDP localhost 1900 Allow localhost UDP connection
18:31:00 svchost.exe ÈÑÕ UDP localhost 1032 Allow localhost UDP connection
18:31:00 svchost.exe ÈÑÕ TCP localhost 2869 Allow localhost TCP connection
18:30:57 svchost.exe ÈÑÕ UDP 255.255.255.255 BOOTPS Generic Host Process DHCP connection
18:30:57 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services
18:30:57 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services
18:30:57 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services
18:30:57 Íåäîñòóïíî ÂÕÎÄ UDP localhost 1032 Allow localhost UDP connection
18:30:56 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services
18:30:45 Íåäîñòóïíî ÂÕÎÄ UDP localhost 1900 Allow localhost UDP connection
18:30:38 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services

вот логи.ИЕ не прользую,толк лисой или оперой,ИЕ открыл ток потому что orvman попросил.

Ничего левого не вижу, все твое.
avast обновляется, базы тащит.

Смотрел не так давно за работой Adware.Trafgen по дрвебу - он создает примерно такую картину.
Пока IE неактивен - обмена нет, но стоит только запустить IE и открыть какую-то ссылку, эта адварь попутно "посещает" еще с десяток порнушных и т.д. сайтов.
См.
DrWeb Adware.Trafgen hxxp://trafficsolution.com/bc/adm/files/ebo_1025.exe
DrWeb Adware.Trafgen hxxp://209.200.63.72/ebo_1025.exe
DrWeb Adware.Trafgen hxxp://209.200.63.106/ebo_1025.exe

Здравствуйте!
Отправил данный файл NODовцам.
Очень интересный ответ по этому поводу от техподдержки NOD32::P

Добрый день, Александр.
Присланный Вами файл не представляет никакой опасности. Однако и никакой
пользы в нём также нет. Эта программа предназначена для фальсификации
статистики посещаемости сайта www.teencollegeusa.com. Для этого с
периодичностью один раз в секунду происходит обращение по адресу из списка.
Естественно, при этом увеличивается Ваш Интернет-трафик, незначительно, но
всё же увеличивается. Поэтому советую Вам удалить этот файл.





С уважением,

Воротников Борис
Специалист службы технической поддержки
-----------------------------------------------------
Cлужба технической поддержки Eset NOD32 Russia
Тел./факс: +7 495 727 3548
[email protected]
http://www.esetnod32.ru
-----Original Message-----
From: Александр Синауридзе [mailto:[email protected]]
Posted At: Saturday, July 15, 2006 9:22 PM
Posted To: [email protected]
Conversation:
Subject:

Здравствуйте!
Отправляю Вам файл для анализа. Пароль на архивный файл - infected. Заранее
спасибо за ответ.

Синауридзе Александр:дык а причем тут я?Или этот фаил у меня есть?
А так ответ оч интеерсный...хорошо что еще вообще ответили.

Вот лог исследоания системы.Еще во время сканирования Аваст начал ругастя на-
C:\DOCUME~1\FROSTW~1\LOCALS~1\Temp\avz_2964_1.tmp

Win32:SdBot-3539 [Trj]
насколько я помню эт изветсный глюк...

Это не глюк, а ограничение Аваста, который упаковщика или архиватора не знает (или проверка архивов у него в мониторе выключена), поэтому исходный файл не видит, а ругается на распакованный. Короче, каждый делает своё дело в меру понимания.

Dark_Blaze
18:30:38 svchost.exe ÈÑÕ UDP 239.255.255.250 1900 "SSDP Discovery Service" and "UPnP device Host" services Прибить SSDP в Винде. Он не нужен. В остальном придерживаюсь мнения Alexey P..
Далее. Чтобы узнать кто же все-таки тащит траффик. Открываем еще раз журнал ОР "История Разрешенных". В правой стороне экрана правой кнопкой мыши выбираем "Колонки...", далее сами все увидите и поймете. Например, колонки "отправлено", "получено". Скорее всего это будет именно avast.
P.S. на будущее - насчет ОР. Логи подцепляются не так. Нужно использовать экспорт. Данные в файл, а только потом сюда. Иначе так и будем догадываться что вот это и т.д. такое:
Ðàçðåøèòü äåéñòâèÿ ïðèëîæåíèÿ ASHWEBSV.EXE Такое ощущение, что он в Доверенных в ОР стоит. Если так, то ждите беды, хотя это ваше право настраивать ОР.
Вывод: Троянов и т.д. нет. Это вполне легитимный траффик. За траффиком должен следить пользователь. Т.е. управлять ручками, например через тот же Outpost, в данном случае.
Alexey P.
Пока IE неактивен - обмена нет, но стоит только запустить IE и открыть какую-то ссылку, эта адварь попутно "посещает" еще с десяток порнушных и т.д. сайтов. А так оно и должно быть. И дело не в браузере, хотя есть варианты, дело в фантазии. Перехват определенных функций и усё - дело в шляпе. А юзер со своим родным Виндовым фаером ничего и не увидит.

Можно воспользоватся так же утилитой TcpView она покажет в реальном времени какой софт по какому протоколу,порту,на какой IP лезет. Соответсвенно зная это соответственно можно написать правила для файрвола. Достаточна проста в экспуатации.
http://www.sysinternals.com/Files/TcpView.zip

orvman

Прибить SSDP
У меня локалка есть.Если прибью,на ее работу никак не повлияет?

Такое ощущение, что он в Доверенных в ОР стоит. Если так, то ждите беды, хотя это ваше право настраивать ОР.
Вот тут ничего не понял.А почсему нельзя антивирус ставитьв доверенные?И почему ждать беды?
С траффиком...может более жестике правила создать для программ?Я похожу что то не правильно делаю...:?

У меня локалка есть.Если прибью,на ее работу никак не повлияет? Да он уже почти нигде не используется. И шансы, что он Вам действительно нужен в реальности приближаются к 0.
Как его заблокировать методами Outpost прописано здесь: Руководство по созданию безопасной конфигурации Outpost (http://forum.five.mhost.ru/kb2/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D 1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D 0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0 %BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0% BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86 %D0%B8%D0%B8_Outpost) - секция 6.2.1
А лучший вариант - блокировка в самой Винде.
А почсему нельзя антивирус ставитьв доверенные? Вы не совсем поняли. Дело в том, что я не сторонник ставить приложения в Доверенные. И даже антивирус. Конечно, 100% гарантии не даст никто, но все-таки лично мне нравится иметь полный контроль над софтом и знать, что в реальности творится у меня на машине. Например, мне не нравится, когда софт лезет на свои сайты, либо качает данные без моего ведома. А реальный пример привел SDA - http://virusinfo.info/showthread.php?goto=newpost&t=5886 и примеров таких можно привести еще кучу.

orvman

В винде блокировать через Администрирование=>Службы?

Я с вами полностью согласен.Ток неудается мне,не получатеся создавать правила,как ни пробовал...=(то есть если он предлагает Brower то удается а Дрогое где нужно самому нет=(

В винде блокировать через Администрирование=>Службы? Да.