где мой траффик /?

Тема в разделе "Свободное общение", создана пользователем useshorttime, 9 янв 2007.

Статус темы:
Закрыта.
  1. useshorttime

    useshorttime Гость

    Приветствую всех. Собственно для того и регистрировался, чтобы найти решение своей проблемы. Поиск на форуме пытал - не помогло.
    Суть проблемы: при входе в интернет появляется левый процесс, который занимается в основном тем, что усиленно что-то передает по сети. Обнаружить простыми средствами (список процессов, отключение служб) я его не смог :). Интернет мой работает через gprs-билайн. Яндекс дал две ссылки, по теме оказалась одна, где чел описывал ту же хрень. Ничего путнего у него не вышло, переустан_л ОС. Я не хочу.
    Когда я просто отключаю модем (сот. тел.) в окошечке пишет, что х_ый процесс "лезет" в "salvage.a73kf-433nds.info" и просит соединения.
    В общем, жрет он немерено, опыта борьбы с этими вещами у меня нет. Помогите, если есть идеи, буду благодарен.
    С уважением, Александр
     
  2. zubr

    zubr Гость

    1. Просканируй антивирусом. Если троян известный - то антивирус его определит.
    2. Если известно имя процесса, поищи exe или dll файл под этим именем на системном диске, скорее всего будет находится в папке Windows или Windows\System32. Если найдешь, переименуй этот файл и проверь, повторяется ли потеря трафика.
    3. Если имя процесса не известно, поищи его в списке процессов, пробуй убивать процессы с подозрительными именами и смотри что изменяется в системе, жрется ли трафик.
    4. Установи файерволл. Если предыдущие пункты не помогли, с помощью файерволла закрой доступ к сети этому трояну.
    5. Лазей по интернету с настроенным файерволлом и антивирусом, работающим в резидентном режиме.
     
  3. Barmutik

    Barmutik Гость

    Да эт стандартный троян .. было одно время массовое заражение им.. лечится антивирусом и потмо установкой пачка на систему...
     
  4. useshorttime

    useshorttime Гость

    to zubr:
    1. Мой антивир - kav древний около года. Да, это мой косяк.. правда чел с яндекса (у которого ничего не вышло) проверял новым касперским - результат тот же.
    2. Эти действия я делал первым делом (после проверки автозапуска) - ни фига. новых процессов в списке нет 100%. При запуске подключения новых процессов не появляется. Может ли троян залезть в системный процесс? Как тогда его вычислить? Обыкновенный поиск строки, куда обращается троян в инете в содержимом файлах на HDD не дал результата, просмотр реестра - тоже глухо.
    3. Это было третье, что я делал. Убил все, что разрешила система. Трафик идет. Убил службы процессов, которые разрешила система. Трафик идет.
    4. Вот с этим сложнее. Файрволл попробовал настроить после того, как "поймал". Первый раз запускаю файрволл. Ограничивал доступы ко всем типам серверов. Результата нет. Трафик идет. Сцуко.
    Подскажите, как ограничить/разрешить доступ к сети для конкретного процесса (давно этим интересуюсь) и как организовать разрешение только для конкретных сайтов.
    5. Теперь так и буду. Пользую 3-4 сайта, и интернет-пейджер, думал в безопасности... мда.

    to barmutic:Т.е. теоретически можно обойтись обновлением антивируса и установкой сервиспаков?

    ПС: счет 0:1 (в пользу трояна, в мегабайтах)
     
  5. zubr

    zubr Гость

    Важно, не новая версия Касперского, а обновленная антивирусная база.
    Так не понятно, имя процесса известно или нет?
    Ну автозагрузка может осуществляться не только через автозапуск - вариантов много.
    Возможно этот процесс невидим. Попробуй FileMon от Марка Руссиновича просмотреть, что этот троян делает в файловой системе.
    Каким файерволлом пользуешься? По моему у большинства файерволлов есть возможность ограничивать доступ к сети определенных процессов и по определенным хостам.
     
  6. useshorttime

    useshorttime Гость

    Да, я имею ввиду базу
    Имя процесса не известно. Известен только ресурс на который он "лезет" в сети
    ..попробую. Щас же полезу искать filemon..
    firewall тот, что был стандартный в W_XP без сервис паков

    PS: спасибо за советы
     
  7. useshorttime

    useshorttime Гость

    Да, интересная программа.. запустил ее до соединения и после. В процессе ничего не делал (даже не двигал мышь), потом сохранил лог. zubr, если использовал filemon подскажи мне пожалуйста, что значит цифра после имени процесса (подозреваю, что это служба внутри процесса с идентификатором). Спрашиваю, т.к. после запуска подключения особенно активно вел себя один процесс - svchost.exe:752, кроме того в логе есть прямые намеки на то, что этот процесс использует модем. Можно ли что-нибудь попробовать сделать с этим процессом, выгрузить его по его идентификатору?
    Я стал подозрительно относитсья к "svchost.exe:752", т.к. при полном отсутствии действий с моей стороны в логе больше всего было записей такого рода:
    614 16:01:31 svchost.exe:752 READ \\.\Pipe\ROUTER SUCCESS Offset: 0 Length: 4280
    615 16:01:31 svchost.exe:752 WRITE \\.\Pipe\ROUTER SUCCESS Offset: 0 Length: 2568
    Напишите, если есть идеи.

    ПС: Понимаю, что проще взять новую антивирусную базу и поставить SP (скоро наверно так и сделаю), переустановить ОС в конце концов, но приятнее было бы выявить троян, удалить его и дальше спокойно жить и все это за короткое время.. да и опыт какой-то из этого получить.
     
  8. zubr

    zubr Гость

    Все таки первое, чтобы я посоветовал - это обновить антивирусную базу и просканировать антивирусом жесткие диски. Если этот троян известный, антивирус его обязательно обнаружит.
    Честно говоря, что значит эта цифра не знаю. Думаю какой то индентификатор.
    svchost.exe - это системный процесс и то что он обращается к другим процессам через пайпы, тоже ничего подозрительного. Попробуйте в меню Volumes отключить фишку Named Pipes. Обращайте внимание на процессы, которые что то пишут и читают с жесткого диска, причем врядли троян это будет делать слишком часто.
    Да нет это ерунда. Неплохой файрволл Outpost Fire Pro.
     
  9. useshorttime

    useshorttime Гость

    zubr, спасибо за участие. Буду следовать вашим советам. Ничего другого не остается :), нет времени на поиски творческих путей решения проблемы
     
  10. LAW

    LAW Гость

    С оутпостом будьте осторожней. Установка его на полностью укомплектованную программами ОC чаще всего заканчивается постоянным синим экраном при загрузке.

    svchost.exe вполне может быть вирусом. если он расположен не в каталоге \System32\. Чаще всего такие зверьки поселяются в каталоге с виндовсом, типа, C:\Windows\. Кстати Касперский стабильно такие вирусы отлавливает.

    А для выяснения проблем и лимитирования входяще/исходящего трафика очень хорошо подходит программа Net Limiter 2 Pro. В ней реализовано ограничение трафика по каждому сетевому соединению. И простейший фаервол с возможностью эти соединения запретить совсем.
    Я ей пользуюсь уже очень давно. И никаких конфликтов с конфигурацией Виндов ни разу замечено не было, даже при наличии сбойных записей о сетевых интерфейсах в реестре.
     
  11. bUNk

    bUNk Гость

    его (свхост) реально закосить из C:\Windows\ .... потому как сами понимаете, что он типа СИС и косить нельзя... и насколько вероятно что он таки тройный?? кстати сколько свхостОВ должно быть в процессах???
     
  12. useshorttime

    useshorttime Гость

    Поставил.. ограничил доступ ко всему, что было в списке, к svcchost.exe (две "с") в том числе(лежит кстати в \system32\) трафика действительно стало меньше. "Отлично" - подумал я, поигрался новой полезной програмой.. и заметил: даже при отсутствии запущенных приложений, использующих интернет, два монитора справа в углу все равно предательски моргают. Забавно, что при этом Net Limiter не показывает, что идет обмен ;). Отключаю соединение, спустя пару секунд появляется поднадоевший запрос "программа запросила данные" и тот адрес :). Значит она все-таки использует сеть. А как? В обход файрвола?!
    Запретить доступ к сети для svchost.exe (одна "с") не получилось - никаких сообщений, просто значок не меняется на запрещающий.
    Автообновления и прочая "автохрень" отключена. А как было раньше: закрыл программы, соединение активно, трафика нет. Сейчас он непонятно откуда идет..
    Нажимал "Kill konnection", на все всплывающие запросы на разрешение доступа процессов к сети - запрещал. Результат отрицательный,.. хотя до этого шла постоянная передача данных, сейчас - передача-прием небольших объемов.
    Надоело короче, буду искать новые базы..

    ПС: продолжение следует...
     
  13. LAW

    LAW Гость

    Кол-во свхостов переменное, зависит от настройки ОС, точнее от запущенных сервисов.
    По поводу "насколько вероятно" ничего сказать не могу. Но если у Вас есть процесс свхост с именем "Power Manager", расположенный в C:\WINDOWS\ - это однозначно вирус ;)

    Удачи!
     
  14. zubr

    zubr Гость

    svcchost.exe - это явно не системный, причем судя по имени достаточно подозрительный процесс. Попробуй этот файл переименовать или перекинуть в другой каталог, если это получится конечно. В противном случае придется, если стоит на компе другая система - это сделать из нее, или с загрузочной досовской дискеты. Далее неплохо было бы поискать в реестре все ссылки на файл svcchost.exe
    И все таки что показал антивирус с обновленными антивирусными базами?
     
  15. LAW

    LAW Гость

    svcchost.exe - 100 пудово вирусняк. У него есть процесс напарник поэтому просто так его не удалить.
    Но исхитриться можно.

    Совсем без антивируса Вам выжить будет довольно сложно, но при должном умении можно. :)
    А проще поставьте, поломайте или купите антивирус и живите спокойней.
     
  16. LAW

    LAW Гость

    Дело в том, что в Net Limiter 2 Pro есть такое понятие как Zone. Есть три зоны Internet, Local Network и My Computer. Трафик нужно смотреть для всех трёх зон.
    Далее, необходимо посмотреть Rule Editor (List) для каждого приложения.
    Ну и конечно есть низкоуровневые приложения, например Winroute Pro, которые в нём не видны.
    Теоретически вирус можно написать тоже с такими же свойствами, скорее всего руткит виден не будет.
     
  17. useshorttime

    useshorttime Гость

    обновил базы
    zubr, LAW, вы правы - svcchost.exe - троянская программа которая ела трафик. Новые базы без проблем определили ее.
    Мне еще интересно вот что: почему NetLimiter не фиксирует всех инициаторов трафика? можно ли создать список разрешенных веб-ресурсов, запретив этим доступ к сети другим адресам. С приложениями - нет проблем, но хотелось бы, чтобы был жесткий контроль типа: разрешено только приложениям таким-то, и ресурсам таким-то.
    Спасибо.
     
  18. LAW

    LAW Гость

    Если Вам необходим жёсткий контроль, то Net Limiter вам не подойдёт.

    Вам необходима либо другая программа фаервол, либо специализированная программа, занимающаяся отслеживанием веб соединений. Например Ad-Ware6 Pro.

    На счёт фиксирования всех приложений...
    Каждая программа в Оперционной системе интегрирована на определённую "глубину". Чем глубже интеграция тем страшнее последствия от нестабильности и проблем с совместимостью конкретной программы с другим ПО. Но в то же время ПО лучше выполняет свои функции.
    В случае с OutpostFirewall, он интегрируется по полной программе со своими драйверами сервисами и прочими прибамбасами - это не плохо, потому, что он по праву называется самым сильным фаерволом, но мне с ним не повезло я использую ряд приложений от которых он падает на BSOD.
    А Net Limiter приложение, в отличии от Оутпоста не имеющее драйверов и поэтому может считывать и управлять только той инфой, что даёт ей интерфейс Операционной системы. Видимо он даёт не всё.

    Но у Вас всегда остаётся команда netstat. которую можно набрать в командной строке и посмотреть все соединения.

    Кстати в Net Limiter есть "Filter editor" в нём можно задать на какие адреса ходить тому или иному приложению.

    Удачи!
     
  19. brus46

    brus46 Гость

    У меня такая же фигня: svchost.exe постоянно ломится в инет. На работе облазил весь интернет, вот что я откопал:

    В случае возникновения подозрений рекомендуем проверить следующие варианты:
    1) Команда msconfig, закладка Автозагрузка: оригинальный процесс Svchost.exe не использует
    автозагрузку для старта. Если данный файл указан как файл автозапуска, он не является тем,
    за кого себя выдает.
    2) Произвести поиск файла svchost.exe на системном диске. Оригинальное месторасположение
    файла - \WINDOWS\system32\. В других случаях этот файл также не является оригинальным.
    3) Внимательно перечитайте имя подозрительного файла. Некоторые вирусы копируют себя в
    папку оригинального файла с другим, но очень похожим именем (например, swchost.exe).

    Щас приду домой - попробую.
    может кому поможет

    Удачи
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей