Непонятный трафик

Проблема состоит в том, что при соединении с интернетом во время
простоя начинается постоянное скачивание.
Касперский при работе в Internet Explorer периодически высвечивает
"попытка записи значения в ключе системного реестра ..." например, при
открытии журнала Internet Explorer пишет:
Доступ к реестру
HKEY_USERS\S-1-5-21-1085031214-1604221776-839522115-1003\Software\Micro
soft\Internet Explorer\Toolbar\WebBrowser
Процесс (PID: 3324)
C:\Program Files\Internet Explorer\IEXPLORE.EXE
Когда я его блокирую - ничего не меняется, как скачивает, непереставая,
так и скачивает. Ни DrWeb, ни Касперский не находят вирусов.
Что делать? Логи, какие надо присоединяю. Жду вашей помощи.

C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe
Эти файлы если есть нужно прислать

Уже отправил

А откуда скачивает? Может обновления качает? Посмотри в логах КАВ

Я отключил автообновления еще при установке. У меня уже находился какой-то вирус, но после переустановки windows вроде как его не стало, когда же комп стал качать всё время, забил тревогу.

AntiWPA3 это что такое?
C:\WINDOWS\system32\drivers\pfc.sys
C:\WINDOWS\system32\Drivers\nvport.sys
Эти файлы можно еще на проверку прислать.
А вообще в АХ нужно смотреть откуда качается. Например Аська может качать свою рекламу

Аську я уже затер, когда этот трафик появился, файлы сейчас пришлю.

Что такое AntiWPA3 не знаю - ничего с похожим именем не устанавливал. А AX, это что?

AntiWPA3 это вроде какая-то ломалка винды, насколько я знаю.

[QUOTE=МельниковМихаил]Что такое AntiWPA3 не знаю - ничего с похожим именем не устанавливал. А AX, это что?[/QUOTE]
Антихакер ис КИС

Установил Касперский Анти-Хакер.
- Запретил действий всех приложений кроме IExplorer и Outlook Express.

Вообще престал качать и даже IExplorer.
- Когда же разрешил активность "Generic Host Process for win32 Services

(svchost exe)" начинает качать через несколькл секунд простоя

непереставая.

Пока набирал в блокноте сообщение высветило

Приложение Generic Host Process for Win32 Services пытается отправить

UDP-пакет на удаленный адрес 239.255.255.250 и порт 1900.

и еще 3 похожих.
Хотя я уже отключился от Интернета.


При подключении к Интернет высвечивает такие же сообщения.
При загрузке, Касперский пишет:
Доступ к реестру

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CrystalSysInfo
Процесс (PID: 552):
C:\Windows\system32\services.exe
Новые данные(строка Unicode, заканчивающаяся нулем (со ссылкой на

переменную среды)):
\\??\C:\WINDOWS\system32\SysInfo.sys

до тех пор, пока не разрешишь.

[quote]Пока набирал в блокноте сообщение высветило
Приложение Generic Host Process for Win32 Services пытается отправить
UDP-пакет на удаленный адрес 239.255.255.250 и порт 1900.

и еще 3 похожих.
Хотя я уже отключился от Интернета.
[/quote]
[url]http://virusinfo.info/showthread.php?t=5063[/url]

Через Администрирование отключил SSDP, потом исправил реестр как
написано на [url]http://virusinfo.info/showthread.php?t=5063[/url]. Никаких
результатов. Всё равно усиленно качает во время простоя.

А тут еще радость: когда был в Интернете Антихакер написал: "Ваш
компьютер был атакован с адреса 218.22.50.22. Используемая атака

Helkern. Атака была успешно отражена."

Что же это всё значит и что теперь делать?

Атака извне - это нормально, раз успешно отражена. Значит, Антихакер работает.

Спасибо. Я сейчас заблокировал антихакером все эти непонятные соединения, а они все равно лезут и лезут, только каждый раз в строке локальный адрес последнее число меняется. Сейчас все числа перебрал и успокоился. Не качает. Как же этот вирус убить, если это вирус? Где его искать?

[QUOTE=МельниковМихаил]Я сейчас заблокировал антихакером все эти непонятные соединения, а они все равно лезут и лезут, только каждый раз в строке локальный адрес последнее число меняется.
[/QUOTE]
приведите пример этих адресов

[QUOTE=МельниковМихаил]
Сейчас все числа перебрал и успокоился. Не качает. Как же этот вирус убить, если это вирус? Где его искать?[/QUOTE]
не вирус. не надо валить все непонятное на вирусы, им и так икается...

каждый раз - это когда заново по модему к провайдеру звонишь? ;)
если да, то так и задумано, динамический ip.

интереснее посмотреть название программы, которая лезет. и адрес - куда лезет..

Каждый раз, это правда при дозвоне;-))
Вкладываю лог антихакера.
Для чистоты эксперимента я запретил доступ всему кроме IExplorer,

Outlook и этого самого svchost.exe. Но после 30 секунд простоя он все

равно начинал качать не переставая. В активных соединениях фигурировал

только svchost.exe, тогда я все комбинации и позапрещал, которые сами

лезли в активные соединения.
В частности:

Generict Host Process for Win32 Services (svchost.exe)
если выполняется условие
удаленный адрес: 127.0.0.1
удаленный порт: 1110
локальный порт: 1795

точно так же
удаленный адрес: 127.0.0.1
удаленный порт: 1110
локальный порт: 1791, 1785, 1781, 1773, 1755, 1700, 1188, 1186, 1181,

если удаленный адрес 80.67.87.14 80.67.87.7

Svchost.exe отправлять и принимать UDP-пакеты, если локальный порт 123

Все равно качает. Во время простоя, после начала соединения, когда ничего абсолютно не должен качать пишет: что-то вроде Удаленный адрес 207.46.13.30:HTTP (80) или 62.236.111.222:HTTP (80), в адресах каждые 5 сек в одной из 3-х svchost.exe возникает и исчезает какое то TCP и UDF соединения. Числа меняются почти по порядку Покачают и исчезают. Вкладываю, как они выглядят, при том, ничего не качал, они за 15 мин уже 2,5 мб накачали.

207.46.13.30:HTTP (80) это windowsupdate...

или 62.236.111.222:HTTP (80) это, говорят, в Финляндии зарегестрировано.
80.67.87.14 80.67.87.7 а это в кембридже...

хз, может службы какие-нить поставлены. а лучше пришлите тот файлик. svchost.exe
ps. но мне сервера ничего не ответили!