Показано с 1 по 20 из 20.

Непонятный трафик (заявка № 5871)

  1. #1
    МельниковМихаил
    Guest

    Exclamation Непонятный трафик

    Проблема состоит в том, что при соединении с интернетом во время
    простоя начинается постоянное скачивание.
    Касперский при работе в Internet Explorer периодически высвечивает
    "попытка записи значения в ключе системного реестра ..." например, при
    открытии журнала Internet Explorer пишет:
    Доступ к реестру
    HKEY_USERS\S-1-5-21-1085031214-1604221776-839522115-1003\Software\Micro
    soft\Internet Explorer\Toolbar\WebBrowser
    Процесс (PID: 3324)
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    Когда я его блокирую - ничего не меняется, как скачивает, непереставая,
    так и скачивает. Ни DrWeb, ни Касперский не находят вирусов.
    Что делать? Логи, какие надо присоединяю. Жду вашей помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    C:\WINDOWS\system32\sw20.exe
    C:\WINDOWS\system32\sw24.exe
    Эти файлы если есть нужно прислать

  4. #3
    МельниковМихаил
    Guest
    Уже отправил

  5. #4
    Geser
    Guest
    А откуда скачивает? Может обновления качает? Посмотри в логах КАВ

  6. #5
    МельниковМихаил
    Guest
    Я отключил автообновления еще при установке. У меня уже находился какой-то вирус, но после переустановки windows вроде как его не стало, когда же комп стал качать всё время, забил тревогу.

  7. #6
    Geser
    Guest
    AntiWPA3 это что такое?
    C:\WINDOWS\system32\drivers\pfc.sys
    C:\WINDOWS\system32\Drivers\nvport.sys
    Эти файлы можно еще на проверку прислать.
    А вообще в АХ нужно смотреть откуда качается. Например Аська может качать свою рекламу

  8. #7
    МельниковМихаил
    Guest
    Аську я уже затер, когда этот трафик появился, файлы сейчас пришлю.

  9. #8
    МельниковМихаил
    Guest
    Что такое AntiWPA3 не знаю - ничего с похожим именем не устанавливал. А AX, это что?

  10. #9
    Full Member Репутация
    Регистрация
    06.10.2005
    Адрес
    Russia
    Сообщений
    181
    Вес репутации
    47
    AntiWPA3 это вроде какая-то ломалка винды, насколько я знаю.

  11. #10
    Geser
    Guest
    Цитата Сообщение от МельниковМихаил
    Что такое AntiWPA3 не знаю - ничего с похожим именем не устанавливал. А AX, это что?
    Антихакер ис КИС

  12. #11
    МельниковМихаил
    Guest
    Установил Касперский Анти-Хакер.
    - Запретил действий всех приложений кроме IExplorer и Outlook Express.

    Вообще престал качать и даже IExplorer.
    - Когда же разрешил активность "Generic Host Process for win32 Services

    (svchost exe)" начинает качать через несколькл секунд простоя

    непереставая.

    Пока набирал в блокноте сообщение высветило

    Приложение Generic Host Process for Win32 Services пытается отправить

    UDP-пакет на удаленный адрес 239.255.255.250 и порт 1900.

    и еще 3 похожих.
    Хотя я уже отключился от Интернета.


    При подключении к Интернет высвечивает такие же сообщения.
    При загрузке, Касперский пишет:
    Доступ к реестру

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C rystalSysInfo
    Процесс (PID: 552):
    C:\Windows\system32\services.exe
    Новые данные(строка Unicode, заканчивающаяся нулем (со ссылкой на

    переменную среды)):
    \\??\C:\WINDOWS\system32\SysInfo.sys

    до тех пор, пока не разрешишь.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пока набирал в блокноте сообщение высветило
    Приложение Generic Host Process for Win32 Services пытается отправить
    UDP-пакет на удаленный адрес 239.255.255.250 и порт 1900.

    и еще 3 похожих.
    Хотя я уже отключился от Интернета.
    http://virusinfo.info/showthread.php?t=5063

  14. #13
    МельниковМихаил
    Guest
    Через Администрирование отключил SSDP, потом исправил реестр как
    написано на http://virusinfo.info/showthread.php?t=5063. Никаких
    результатов. Всё равно усиленно качает во время простоя.

    А тут еще радость: когда был в Интернете Антихакер написал: "Ваш
    компьютер был атакован с адреса 218.22.50.22. Используемая атака

    Helkern. Атака была успешно отражена."

    Что же это всё значит и что теперь делать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Атака извне - это нормально, раз успешно отражена. Значит, Антихакер работает.

  16. #15
    МельниковМихаил
    Guest
    Спасибо. Я сейчас заблокировал антихакером все эти непонятные соединения, а они все равно лезут и лезут, только каждый раз в строке локальный адрес последнее число меняется. Сейчас все числа перебрал и успокоился. Не качает. Как же этот вирус убить, если это вирус? Где его искать?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от МельниковМихаил
    Я сейчас заблокировал антихакером все эти непонятные соединения, а они все равно лезут и лезут, только каждый раз в строке локальный адрес последнее число меняется.
    приведите пример этих адресов

    Цитата Сообщение от МельниковМихаил
    Сейчас все числа перебрал и успокоился. Не качает. Как же этот вирус убить, если это вирус? Где его искать?
    не вирус. не надо валить все непонятное на вирусы, им и так икается...

  18. #17
    Visiting Helper Репутация Аватар для Sunix
    Регистрация
    02.02.2006
    Сообщений
    127
    Вес репутации
    44
    каждый раз - это когда заново по модему к провайдеру звонишь?
    если да, то так и задумано, динамический ip.

    интереснее посмотреть название программы, которая лезет. и адрес - куда лезет..
    есть два уровня безопасности - high и нехай

  19. #18
    МельниковМихаил
    Guest
    Каждый раз, это правда при дозвоне;-))
    Вкладываю лог антихакера.
    Для чистоты эксперимента я запретил доступ всему кроме IExplorer,

    Outlook и этого самого svchost.exe. Но после 30 секунд простоя он все

    равно начинал качать не переставая. В активных соединениях фигурировал

    только svchost.exe, тогда я все комбинации и позапрещал, которые сами

    лезли в активные соединения.
    В частности:

    Generict Host Process for Win32 Services (svchost.exe)
    если выполняется условие
    удаленный адрес: 127.0.0.1
    удаленный порт: 1110
    локальный порт: 1795

    точно так же
    удаленный адрес: 127.0.0.1
    удаленный порт: 1110
    локальный порт: 1791, 1785, 1781, 1773, 1755, 1700, 1188, 1186, 1181,

    если удаленный адрес 80.67.87.14 80.67.87.7

    Svchost.exe отправлять и принимать UDP-пакеты, если локальный порт 123
    Вложения Вложения

  20. #19
    МельниковМихаил
    Guest
    Все равно качает. Во время простоя, после начала соединения, когда ничего абсолютно не должен качать пишет: что-то вроде Удаленный адрес 207.46.13.30:HTTP (80) или 62.236.111.222:HTTP (80), в адресах каждые 5 сек в одной из 3-х svchost.exe возникает и исчезает какое то TCP и UDF соединения. Числа меняются почти по порядку Покачают и исчезают. Вкладываю, как они выглядят, при том, ничего не качал, они за 15 мин уже 2,5 мб накачали.
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Аватар для Sunix
    Регистрация
    02.02.2006
    Сообщений
    127
    Вес репутации
    44
    207.46.13.30:HTTP (80) это windowsupdate...

    или 62.236.111.222:HTTP (80) это, говорят, в Финляндии зарегестрировано.
    80.67.87.14 80.67.87.7 а это в кембридже...

    хз, может службы какие-нить поставлены. а лучше пришлите тот файлик. svchost.exe
    ps. но мне сервера ничего не ответили!
    Последний раз редактировалось Sunix; 19.07.2006 в 00:53.
    есть два уровня безопасности - high и нехай

  • Уважаемый(ая) МельниковМихаил, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Трафик непонятный
      От Trigg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.07.2010, 08:46
    2. Непонятный трафик SVCHOST
      От Dr.Gyger в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.04.2009, 05:24
    3. Непонятный трафик на внешние IP
      От strogv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.03.2009, 11:49
    4. Непонятный трафик
      От snoop в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.09.2008, 11:19
    5. Непонятный трафик
      От JaneYa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.10.2007, 15:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00927 seconds with 17 queries