Гость (anti)killer Опубликовано 20 октября, 2011 Жалоба Поделиться Опубликовано 20 октября, 2011 Обращаюсь за помощью с такой проблемой. Непонятно что у меня забивает интернет-канал сразу же после включения компьютера. Причём это началось сразу же после переустановки ОС XP SP3. Детально процесс выглядел так: 1. Установка винды. 2. Удаление своей администраторской учётной записи, добавление ограниченной учётной записи для семьи и переименование стандартной учётной записи "Администратор" через "Локальные пользователи и группы" (lusrmgr.exe) 3. Изменение расположения файла подкачки и временных папок temp в том числе Internet Explorer и Java. Перемещение папки "Мои документы" на другой том другого жёсткого диска. 4. Установка драйверов с помощью пакета драйверов SamDrivers 11.9.11 и изменение разрешения экрана на максимально возможные 1920х1080. 5. Установка NET_Framework_1.0-4.0.USDE.RU, VCREDISTEXTENDED.C++2005-2008-2010, RUNTIMEPACK_X86_X64-10.8.17.USDE.RU. 6. Установка Ati CCC для подгона разрешения к краям экрана монитора. 7. Установка Hamachi. 8. Изменение отображения и размера стандартных шрифтов с помощью мастера специальных возможностей accwiz.exe (при таком разрешении сложновато читать мелкий текст). 9. Установка кодеков Geser_Codec_Pack_XP_3.3 и LameACM. 10. Установка TuneUP и XPTweaker и последующей донастройки винды с целью оптимизации, а также запрещение автозапуска со всех носителей. Изменение картинок Boot-Screen и Logon винды. 11. Установка Офиса 2007 и прочих программ, часть которых можно увидеть запущеными в логах. Также перемещение настроек со старой винды для части программ (Torrent, AIMP3, PuntoSwitcher и другие) в папку Application Data, а также настройка программ, сопоставление ассоциаций, добавление в автозапуск. 12. Создал подключение, выхожу в сеть и тут же обнаруживаю непонятное потребление трафика, причём с ходу начало тянуть со скоростью примерно от 20 до 30 Кбайт/с, а отдавать со скоростью 50-70 Кбайт/с. Далее я уже установил касперского 8.0, обновил базы, скачал критические обновления через Windows Update, но это постоянное потребление так и не прекратилось, даже после проверки компа касперским, который ничего не обнаружил. Программа Auslogics BootSpeed показывет основного потребителя трафика процесс svchost.exe и сетевой экран каспера обнаруживает активность именно этого процесса, называя его "Generic Host Process for Win32 Services". В программе Process Explorer ничего не видно под этим хостом. Также скорость потребления трафика имеет свои постоянные значения, изменяющиеся периодично до минимальных 10-11 Кбайт/с на отдачу и 5-6 Кбайт/с на приём. Странно, но такое различие между принимаемым и отдаваемым трафиками в 40-50% постоянно. Я уже сканировал комп предложенными сдесь программами. Потом на другом каком-то сайте скачал Security Task Manager. Он тоже ничего такого в процессах не показывает. Грешил на Автоматическое обновление по началу, но оно тоже не при делах оказалось. По своим наблюдениям такое поведение я и раньше обнаруживал, если выйти в сеть сразу после установки винды. Давно правда, ещё когда SP2 была в ходу и, если вовремя не скачать обновления критические, то периодически вылетал как раз этот самый "Generic Host Process for Win32 Services", после закрытия которого слетала тема и прекращал работать интернет. Лечилось только повторной переустановкой винды. Но опять же это было давно. Кроме необходимых файлов добавил ещё два скрина и отчёт от Everest Ultimate Edition. Очень надеюсь на вашу помощь. Очень уж не хочется переустанавливать заново и хочется разобраться с этим. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Report.zip virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Report.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 20 октября, 2011 Жалоба Поделиться Опубликовано 20 октября, 2011 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\Temp\mc22.tmp','');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте при помощи этой формы Автоматическое обновление включено? Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 20 октября, 2011 Жалоба Поделиться Опубликовано 20 октября, 2011 (изменено) Автоматическое обновление отключено i Уведомление:Файл удалил Изменено 21 октября, 2011 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 20 октября, 2011 Жалоба Поделиться Опубликовано 20 октября, 2011 (anti)killer, просьба не выкладывать карантин на форуме, т.к. в нем могут быть зараженные файлы. Полученный архив отправьте при помощи этой формы Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 20 октября, 2011 Жалоба Поделиться Опубликовано 20 октября, 2011 Отправил. Правда там всего лишь два конфигурационных ini файла. В обоих одни и те же строки: [infectedFile] Src=\??\E:\Temp\mc22.tmp Infected=bcqr00002.dat Virus=BootCleaner quarantine Size=0 CopyStatus=C0000034 Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Автоматическое обновление включено? ??? Что с трафиком? Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 (изменено) Обновления отключены! Я же выше уже это указал. С трафиком ещё хуже. Уже по 300 Кбайт/с в сеть отдаёт что-то и 130 принимает Вот что показывает мониторинг антивируса Касперского. На скрине указаны порты, через которые эта зараза тащит трафик. Причём похоже она с кем-то таким образом связь держит. Потому что это пытается даже в локальную сеть провайдера отправить по внутреннему IP. Изменено 21 октября, 2011 пользователем (anti)killer Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Ща всё сделаю, но перед этим хочу сообщить, что я установил Outpost Firewall Pro. Гляньте с каким адресом он так активно обменивается хрен пойми чем. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Идёт обмен служебной информацией с производителем ОС. В чём проблема-то? P.S. Подобное может "забить" интернет-канал в случае соединения на скорости 32-64 KBps. Да и то не факт... Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Вот лог ComboFix.txt ComboFix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Какой ещё обмен? Никогда не обменивался, а тут вдруг заобменивался. Показать скока он трафика уже съел? Да и чем там можно обмениваться в таком количестве? Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Вы лично - естественно, с M$ ничем не обменивались. А вот ОС считает своим долгом узнавать - не появились ли обновления, ну и так далее... И - да, действительно... Сколько трафика съедено? Исходящего... Пара гигабайт найдётся? Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Можете сами полюбоваться какие скорости он использует и сколько уже накачал на прикреплённом скрине за очень короткий промежуток времени. Прошу обращать внимание на скачанный трафик, так как вчера вечером немного на торрентах пораздавал. А скачанный почти весь на совести "служебного обмена". Если к входящему прибавить 40%, то получим и количество исходящего трафика. Именно приблизительно в таком соотношении происходит обмен по моим наблюдениям. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Гм.... При наличии работающего торрент-клиента - ничего удивительного. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Торрент-клиент отключен! Если бы работал торрент у меня бы на графике были мегабайты отданной и принятой информации в секунду. Как видите этого нет. И опять же я обратил внимание на скачанный трафик. Более я оправдываться не намерен! Не хотите помагать так и напишите, а не ищите чёрную кошку там, где её нет. Все логи, что просили я предоставил. Я предоставил исчерпывающие доказательства в виде сканов кто является потребителем трафика, в каких объёмах и скоростях. Откуда этот трафик идёт и куда. Я отключаю абсолютно всё, что может потреблять трафик перед тем как делать сканы. В системе, кроме этой гадости трафик больше ничего не потребляет. Меня удивляет такое пренебрежительное отношение от человека с высокой репутацией на форуме и вызвовшегося помочь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dann Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 На скрине указаны порты, через которые эта зараза тащит трафик. Причём похоже она с кем-то таким образом связь держит. Попробуйте в качестве теста отключить синхронизацию времени на компьютере и проверить, будет ли такое поведение проявляется. Отключить службу Windows Time и убрать галку о синхранизации через Интернет в настройках времени. Чтобы проверить связано это с синхронизацией временем или нет, потому что обычно UDP:123 порт используется для этого. 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 в консоли: Tasklist /SVC (команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе.) а дальше уже сам решишь - все ли "йогурты одинакого полезны" и от чего можно безболезненно отказаться 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Точно! Это всё была служба Windows Time с её синхронизацией! Афигеть! Столько мучений, чтобы вычислить её, а оказалось всё так просто! Dann тебе низкий поклон! Я и раньше сталкивался с этой проблемой необъяснимого потребления трафика когда вирусам и взяться-то не от куда было! Вот почему сразу после чистой установки и выхода в сеть это происходило! Ёлы-палы, а ведь раньше винду заного переустанавливал из-за этого! Интересно. Что провоцирует такое потребление трафика в этом направлении и почему это происходит периодично, а не постоянно после каждой установки винды. И вообще. На сколько мне известно он уже по этому адресу давным давно ничего не синхронизирует. А кому принадлежит этот time.windows.com? Может это какая-то уязвимость, причём довольно серьёзная? P.S. Yezhishe - некомпетентность detected! Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость (anti)killer Опубликовано 21 октября, 2011 Жалоба Поделиться Опубликовано 21 октября, 2011 Andrey_al спасибо!) Буду знать такую полезную команду) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения