Непонятное потребление трафика в системе

[Гость (anti)killer]

Обращаюсь за помощью с такой проблемой. Непонятно что у меня забивает интернет-канал сразу же после включения компьютера. Причём это началось сразу же после переустановки ОС XP SP3.

Детально процесс выглядел так:

1. Установка винды.

2. Удаление своей администраторской учётной записи, добавление ограниченной учётной записи для семьи и переименование стандартной учётной записи "Администратор" через "Локальные пользователи и группы" (lusrmgr.exe)

3. Изменение расположения файла подкачки и временных папок temp в том числе Internet Explorer и Java. Перемещение папки "Мои документы" на другой том другого жёсткого диска.

4. Установка драйверов с помощью пакета драйверов SamDrivers 11.9.11 и изменение разрешения экрана на максимально возможные 1920х1080.

5. Установка NET_Framework_1.0-4.0.USDE.RU, VCREDISTEXTENDED.C++2005-2008-2010, RUNTIMEPACK_X86_X64-10.8.17.USDE.RU.

6. Установка Ati CCC для подгона разрешения к краям экрана монитора.

7. Установка Hamachi.

8. Изменение отображения и размера стандартных шрифтов с помощью мастера специальных возможностей accwiz.exe (при таком разрешении сложновато читать мелкий текст).

9. Установка кодеков Geser_Codec_Pack_XP_3.3 и LameACM.

10. Установка TuneUP и XPTweaker и последующей донастройки винды с целью оптимизации, а также запрещение автозапуска со всех носителей. Изменение картинок Boot-Screen и Logon винды.

11. Установка Офиса 2007 и прочих программ, часть которых можно увидеть запущеными в логах. Также перемещение настроек со старой винды для части программ (Torrent, AIMP3, PuntoSwitcher и другие) в папку Application Data, а также настройка программ, сопоставление ассоциаций, добавление в автозапуск.

12. Создал подключение, выхожу в сеть и тут же обнаруживаю непонятное потребление трафика, причём с ходу начало тянуть со скоростью примерно от 20 до 30 Кбайт/с, а отдавать со скоростью 50-70 Кбайт/с.

Далее я уже установил касперского 8.0, обновил базы, скачал критические обновления через Windows Update, но это постоянное потребление так и не прекратилось, даже после проверки компа касперским, который ничего не обнаружил.

Программа Auslogics BootSpeed показывет основного потребителя трафика процесс svchost.exe и сетевой экран каспера обнаруживает активность именно этого процесса, называя его "Generic Host Process for Win32 Services". В программе Process Explorer ничего не видно под этим хостом.

Также скорость потребления трафика имеет свои постоянные значения, изменяющиеся периодично до минимальных 10-11 Кбайт/с на отдачу и 5-6 Кбайт/с на приём. Странно, но такое различие между принимаемым и отдаваемым трафиками в 40-50% постоянно.

Я уже сканировал комп предложенными сдесь программами. Потом на другом каком-то сайте скачал Security Task Manager. Он тоже ничего такого в процессах не показывает. Грешил на Автоматическое обновление по началу, но оно тоже не при делах оказалось.

По своим наблюдениям такое поведение я и раньше обнаруживал, если выйти в сеть сразу после установки винды. Давно правда, ещё когда SP2 была в ходу и, если вовремя не скачать обновления критические, то периодически вылетал как раз этот самый "Generic Host Process for Win32 Services", после закрытия которого слетала тема и прекращал работать интернет. Лечилось только повторной переустановкой винды. Но опять же это было давно.

Кроме необходимых файлов добавил ещё два скрина и отчёт от Everest Ultimate Edition.

Очень надеюсь на вашу помощь. Очень уж не хочется переустанавливать заново и хочется разобраться с этим.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Report.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Report.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\Temp\mc22.tmp','');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте при помощи этой формы

Автоматическое обновление включено?

[Гость (anti)killer]

Автоматическое обновление отключено

i

Уведомление:

Файл удалил

Изменено 21 октября, 2011 пользователем akoK

[Tiare]

(anti)killer, просьба не выкладывать карантин на форуме, т.к. в нем могут быть зараженные файлы.

Полученный архив отправьте при помощи этой формы

[Гость (anti)killer]

Отправил. Правда там всего лишь два конфигурационных ini файла. В обоих одни и те же строки:

[infectedFile]

Src=\??\E:\Temp\mc22.tmp

Infected=bcqr00002.dat

Virus=BootCleaner quarantine

Size=0

CopyStatus=C0000034

[akoK]

Автоматическое обновление включено?

???

Что с трафиком?

[Гость (anti)killer]

Обновления отключены! Я же выше уже это указал. С трафиком ещё хуже. Уже по 300 Кбайт/с в сеть отдаёт что-то и 130 принимает

Вот что показывает мониторинг антивируса Касперского. На скрине указаны порты, через которые эта зараза тащит трафик. Причём похоже она с кем-то таким образом связь держит. Потому что это пытается даже в локальную сеть провайдера отправить по внутреннему IP.

Изменено 21 октября, 2011 пользователем (anti)killer

[Sfera]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[Гость (anti)killer]

Ща всё сделаю, но перед этим хочу сообщить, что я установил Outpost Firewall Pro. Гляньте с каким адресом он так активно обменивается хрен пойми чем.

[Yezhishe]

Идёт обмен служебной информацией с производителем ОС. В чём проблема-то?

P.S. Подобное может "забить" интернет-канал в случае соединения на скорости 32-64 KBps. Да и то не факт...

[Гость (anti)killer]

Вот лог

ComboFix.txt

ComboFix.txt

[Гость (anti)killer]

Какой ещё обмен? Никогда не обменивался, а тут вдруг заобменивался. Показать скока он трафика уже съел? Да и чем там можно обмениваться в таком количестве?

[Yezhishe]

Вы лично - естественно, с M$ ничем не обменивались. А вот ОС считает своим долгом узнавать - не появились ли обновления, ну и так далее...

И - да, действительно... Сколько трафика съедено? Исходящего... Пара гигабайт найдётся?

[Гость (anti)killer]

Можете сами полюбоваться какие скорости он использует и сколько уже накачал на прикреплённом скрине за очень короткий промежуток времени. Прошу обращать внимание на скачанный трафик, так как вчера вечером немного на торрентах пораздавал. А скачанный почти весь на совести "служебного обмена".

Если к входящему прибавить 40%, то получим и количество исходящего трафика. Именно приблизительно в таком соотношении происходит обмен по моим наблюдениям.

[Yezhishe]

Гм.... При наличии работающего торрент-клиента - ничего удивительного.

[Гость (anti)killer]

Торрент-клиент отключен! Если бы работал торрент у меня бы на графике были мегабайты отданной и принятой информации в секунду. Как видите этого нет. И опять же я обратил внимание на скачанный трафик. Более я оправдываться не намерен! Не хотите помагать так и напишите, а не ищите чёрную кошку там, где её нет. Все логи, что просили я предоставил. Я предоставил исчерпывающие доказательства в виде сканов кто является потребителем трафика, в каких объёмах и скоростях. Откуда этот трафик идёт и куда. Я отключаю абсолютно всё, что может потреблять трафик перед тем как делать сканы. В системе, кроме этой гадости трафик больше ничего не потребляет. Меня удивляет такое пренебрежительное отношение от человека с высокой репутацией на форуме и вызвовшегося помочь.

[Dann]

На скрине указаны порты, через которые эта зараза тащит трафик. Причём похоже она с кем-то таким образом связь держит.

Попробуйте в качестве теста отключить синхронизацию времени на компьютере и проверить, будет ли такое поведение проявляется.

Отключить службу Windows Time и убрать галку о синхранизации через Интернет в настройках времени.

Чтобы проверить связано это с синхронизацией временем или нет, потому что обычно UDP:123 порт используется для этого.

[Andrey_al]

в консоли: Tasklist /SVC (команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе.)

а дальше уже сам решишь - все ли "йогурты одинакого полезны" и от чего можно безболезненно отказаться

[Гость (anti)killer]

Точно! Это всё была служба Windows Time с её синхронизацией! Афигеть! Столько мучений, чтобы вычислить её, а оказалось всё так просто!

Dann тебе низкий поклон! Я и раньше сталкивался с этой проблемой необъяснимого потребления трафика когда вирусам и взяться-то не от куда было! Вот почему сразу после чистой установки и выхода в сеть это происходило! Ёлы-палы, а ведь раньше винду заного переустанавливал из-за этого!

Интересно. Что провоцирует такое потребление трафика в этом направлении и почему это происходит периодично, а не постоянно после каждой установки винды. И вообще. На сколько мне известно он уже по этому адресу давным давно ничего не синхронизирует. А кому принадлежит этот time.windows.com? Может это какая-то уязвимость, причём довольно серьёзная?

P.S. Yezhishe - некомпетентность detected!

[Гость (anti)killer]

Andrey_al спасибо!) Буду знать такую полезную команду)