Подозреваю что у меня завелся зверек, замечаю что он точит трафик инета
При подключении к инету замечаю что сам по себе мой комп обменивается информацией с инетом в основном на вход( ко мне), заметно по трафику. примерно 400-1000байт на вход в секунду
а на выход 1000 байт за 5 секунд.
Еще одним из признаков - при игре в онлайн игрушку вижу че трафик притормаживает.(При обычной работе в инете практически ниче незаметно)
Запускаю Каспера-персонал не ловит(базы обновляются каждый день)
СЭ у меня ЗонеЛабс - битый старенький с необновленными базами. Пытался при помощи ЗонеЛабс заблочить весь доступ к инету ( есть тама такая кнопочка).Но это не помогло обмен данными с инетом продолжается.
Логи прилепил.
Кто могет прокоментируйте.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не помешает отключить Службу Telnet и Службу обнаружения SSDP.
Кнопка Пуск – Настройки – Панель управления - Администрирование – Службы
Найти службу в списке, выделить левым щелчком мыши, щелкнуть правой кнопкой, в меню выбрать «Свойства».
В открывшемся окне свойств службы нажать «Стоп», дождаться остановки.
Чтобы при включении компьютера эта служба не запускалась, выставить Тип запуска – «Отключена».
строку О16 пофиксил
службы Telnet и SSDP отключил
расширенные базы каспера подключил, он помал эту
хрень AdWare.Win32.FunWeb.e - прибил.
запускал АВЗ он тож ее ловил прибивал.
Затем я рестарт и..... проблема осталась.Все также трафик идет.
Затем я снова но в безопасном режиме запускал каспера и АВЗ, уже ничего не ловят
П.С.
Поскажите почему у меня работают iexplorer.exe и explorer.exe так и должно быть?
Последний раз редактировалось byratino; 20.05.2006 в 16:11.
строку О16 пофиксил
службы Telnet и SSDP отключил
расширенные базы каспера подключил, он помал эту
хрень AdWare.Win32.FunWeb.e - прибил.
запускал АВЗ он тож ее ловил прибивал.
Затем я рестарт и..... проблема осталась.Все также трафик идет.
Затем я снова но в безопасном режиме запускал каспера и АВЗ, уже ничего не ловят
П.С.
Поскажите почему у меня работают iexplorer.exe и explorer.exe так и должно быть?
iexplore.exe - Это Internet Explorer. А explorer.exe - это проводник (рабочий стол и т.п.). Входящий трафик может быть и без зверей - например, ПК включен в завирусованную сеть или в сети водяься любители посканировать порты. В идеале нужно добыть сниффер, установить его и посмотреть, что за трафик, какой и откуда. Можно применить CommView (он небольшой по размеру и очень простой ..., но платный), или что-нибудь бесплатное типа Ethereal (www.ethereal.com)
Визуально похоже на сканирование портов ... В принципе можно на него плюнуть (при условии, что Firewall исправен и работает), или можно скачать мою бесплатную утилиту APS (http://z-oleg.com/secur/aps/index.php), и разрешить APS-у работать с сетью на уровне Firewall. Тогда APS можно посмотреть, кто и как часто сканирует порты ... так как APS накапливает статистику
Последний раз редактировалось Зайцев Олег; 21.05.2006 в 15:13.
Ок я поставил эту прогу (через недельку статискику накоплю)
Олег ,но вот по поводу необращения внимания я немного несогласен, ибо идет трафик, а за него надо платить .(Может провайдер занимается автонакруткой трафика)
Либо я чего-то непонимаю, но я смотрю на окошко соединения ( стандартное хр) там показывается передача трафика.
СЭ у меня старенький не все ловит, но каспер на подхвате ловит иногда атаки.
Попробую еще попозже каспером с раширенными базами попричесывать, если че помает тода отпишусь
П.С. Я немогу понять почему, если я ставлю в СЭ полную блокировку интернет активности, трафик се равно идет, получается СЭ каким-то образом обходят.(хотя я ставил новую версию Зонлабс, но потом удалил ее слишком сложная для понимая оказалсь).
Трафик будет идти независимо от Firewall. Фокус в том, что для того, чтобы Firewall принял решение о том, что пакет должен быть отклонен, этот пакет должен быть принят (и за него возьмут деньги, т.к. провайдеру пофигу, полезный это для меня пакет или нет, обычно считается весь трафик без анализа). Другое дело, что если тот-же APS будет пищать на местные адреса, то нужно наезжать на провайдера, чтобы принимал меры или не брал денег за местный трафик.
1) Олег, то есть получается,что если предположить что каждую секунду мой компьютер будет атаковаться , то трафик будет постоянно присутсвовать и за этот трафик придется платить.
2) Я прилепил статистику по APS за один день( вернее вечер).
П.С.вообщем почитал тут форум , советы и все-таки решил снести в выходные свой ХР+SP1 и поставить XP+SP2
1) Олег, то есть получается,что если предположить что каждую секунду мой компьютер будет атаковаться , то трафик будет постоянно присутсвовать и за этот трафик придется платить.
2) Я прилепил статистику по APS за один день( вернее вечер).
П.С.вообщем почитал тут форум , советы и все-таки решил снести в выходные свой ХР+SP1 и поставить XP+SP2
1. Да, именно так. И победить это нереально - провайдер всеравно будет брать денежку за входящий трафик. Единственный метод борьбы - это ставить Firewall с поддержкой режима "невидимости", в котором ПК никак не отвечает на сторонние запросы (даже пинги). Проблемы это не решит, то трафик несколько уменьшит. В большой корпоративной сети по моим подсчетам примерно 5% трафика Инет в день - паразитный, то самое сканирование портов и атаки червей и кулхацкеров.
2. Да, по логу типичная ситуация - атаки с разных хостов типа прощупывания или скана портов.
SP2 конечно поставить не помешает, это лучше, чем SP1 (хотя данную проблему не снимет)
Уважаемый(ая) byratino, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: