Выяснение программы, которая ломится в инет - Сети

ntspider · 08.07.2009, 12:05

Добрый день!
Со вчерашнего дня возникла проблема - какая то программа пытается выйти в инет, об этом радостно сообщает циска, которая отслеживает все пакеты, идущие в Инет наружу. Циска ругается потому, что адрес прокси, с которым программа пытается выйти в инет уже устарел.....
В реестре искал, убрал все места где был прописан старый прокси. Как узнать какая программа ломится в инет со старым адресом прокси?
ОС Windows XP sp2 лицензионная, на машине стоит Каспер 6.0 для Workstation.
P.S. Установить файрволл не предлагать....

Merlin Cori · 08.07.2009, 12:23

Цитата:

Сообщение от ntspider

P.S. Установить файрволл не предлагать....

почему?

ntspider · 08.07.2009, 12:29

Merlin Cori,
Потому что Касперский стоит, его нужно будет или отключать или сносить....Вроде должна быть программа, которая за активностью приложений можетнаблюдать?

Rob · 08.07.2009, 13:10

ntspider, можно увидеть все соединения всех активных процессов при помощи TaskInfo или TCPView

Borland · 08.07.2009, 13:12

Цитата:

Сообщение от ntspider

машине стоит Каспер 6.0 для Workstation.

Дык, в нём всё необходимое есть...

Если напрямик "Режим обучения" не помогает - значит, на данную прогу создано разрешающее правило. Лезем в настройку (см. рис. 2) и отключаем все правила нахрен...

ntspider · 25.07.2009, 21:30

Borland,
Антихакер выключен стоит с самого начала

Дело в том, что TCPView показал, что трафик генерит Касперский, после отключения Касперского выяснилось, что зачем то на прокси (на старый адрес прокси потому он и не проходит и потому засветился) ломится процесс svchost -k services (прошу прощения если ошибся - пишу по памяти так как только в понедельник на работе смогу снова полюбоваться на данную фигню).

Borland · 26.07.2009, 11:49

Цитата:

Сообщение от ntspider

ломится процесс svchost -k services

http://support.microsoft.com/kb/314056
и уточняй в реестре, что за служба.
Сильно похоже, что какая-то софтина ищет обновления. Или, к примеру, W32time часы хочет синхронизировать...

MichaelB · 05.08.2009, 13:11

Можно скачать с MS process explorer и по нему, наглядно сразу выяснить, что же скрывается за любым процесом в т.ч и svchost.exe

lala · 05.08.2009, 15:50

Можете попробовать бесплатную антивирусную утилиту AVZ.
У неё, в разделе "сервис" есть почти всё что вам нужно для определения программы открывающей порт.
Кстати в ней ещё много полезного кроме собственно антивируса.

vovik · 05.08.2009, 16:36

Цитата:

Сообщение от lala

Можете попробовать бесплатную антивирусную утилиту AVZ.

А почитать, что выше написано:

Цитата:

Сообщение от ntspider

Установить файрволл не предлагать.
...
Потому что Касперский стоит, его нужно будет или отключать или сносить.

Файрвол не ставится - посоветуем второй антивирус?

vanpur · 05.08.2009, 19:37

Антивирус - дело десятое. Если есть интерес, то очень правильно написали в посте №8. После этой проги станет все ясно. А в зависимости от того станет ли ясно уже будем думать про антивирус или дальше искать

ntspider · 06.08.2009, 00:10

Кажется проблема решилась и при чём самым неожиданным образом! На работе и дома пользуюсь программкой Easy CD-DA Extractor - жму ей аудиокниги для записи их на сотовый. Вообщем запустил её на домашнем компьютере и случайно запустил на проверку в Каспере Критические области - опа! А в памяти то троян сидит! Пытаюсь полечить - Каспер удаляет его из памяти, но в самой программе не находит, только когда прога грузится в память, но и там только если проверку критических областей запускаешь - только тогда она решает, что в памяти троян. Вообщем снёс я старую версию проги дома, обновил её до новой версии - всё пучком. Думаю - нужно везде посносить эту зловредную прогу, наверное дистрибутив с вирусом. Везде посносил и что Вы думаете? Пропали сообщения от киски! Вот тебе и раз! вот тебе и двас! Получается что-то Каспер намудрил? Не смог определить вируса в памяти? Но процесс пропускал как чистый! Правда непонятно зачем вирус лез по старому адресу прокси в Инет?

08.07.2009, 12:05	# 1
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	Выяснение программы, которая ломится в инет Добрый день! Со вчерашнего дня возникла проблема - какая то программа пытается выйти в инет, об этом радостно сообщает циска, которая отслеживает все пакеты, идущие в Инет наружу. Циска ругается потому, что адрес прокси, с которым программа пытается выйти в инет уже устарел..... В реестре искал, убрал все места где был прописан старый прокси. Как узнать какая программа ломится в инет со старым адресом прокси? ОС Windows XP sp2 лицензионная, на машине стоит Каспер 6.0 для Workstation. P.S. Установить файрволл не предлагать.... __________________ Дмитрий К.

08.07.2009, 12:29	# 3
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	Merlin Cori, Потому что Касперский стоит, его нужно будет или отключать или сносить....Вроде должна быть программа, которая за активностью приложений можетнаблюдать? __________________ Дмитрий К.

08.07.2009, 13:10	# 4
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	ntspider, можно увидеть все соединения всех активных процессов при помощи TaskInfo или TCPView __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894

25.07.2009, 21:30	# 6
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	Borland, Антихакер выключен стоит с самого начала Дело в том, что TCPView показал, что трафик генерит Касперский, после отключения Касперского выяснилось, что зачем то на прокси (на старый адрес прокси потому он и не проходит и потому засветился) ломится процесс svchost -k services (прошу прощения если ошибся - пишу по памяти так как только в понедельник на работе смогу снова полюбоваться на данную фигню). __________________ Дмитрий К.

06.08.2009, 00:10	# 12
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	Кажется проблема решилась и при чём самым неожиданным образом! На работе и дома пользуюсь программкой Easy CD-DA Extractor - жму ей аудиокниги для записи их на сотовый. Вообщем запустил её на домашнем компьютере и случайно запустил на проверку в Каспере Критические области - опа! А в памяти то троян сидит! Пытаюсь полечить - Каспер удаляет его из памяти, но в самой программе не находит, только когда прога грузится в память, но и там только если проверку критических областей запускаешь - только тогда она решает, что в памяти троян. Вообщем снёс я старую версию проги дома, обновил её до новой версии - всё пучком. Думаю - нужно везде посносить эту зловредную прогу, наверное дистрибутив с вирусом. Везде посносил и что Вы думаете? Пропали сообщения от киски! Вот тебе и раз! вот тебе и двас! Получается что-то Каспер намудрил? Не смог определить вируса в памяти? Но процесс пропускал как чистый! Правда непонятно зачем вирус лез по старому адресу прокси в Инет? __________________ Дмитрий К.

05.08.2009, 13:11	# 8
MichaelB Newbie Регистрация: 05.08.2009 Адрес: Москва Сообщения: 1	Можно скачать с MS process explorer и по нему, наглядно сразу выяснить, что же скрывается за любым процесом в т.ч и svchost.exe

05.08.2009, 15:50	# 9
lala Newbie Регистрация: 08.08.2004 Сообщения: 32	Можете попробовать бесплатную антивирусную утилиту AVZ. У неё, в разделе "сервис" есть почти всё что вам нужно для определения программы открывающей порт. Кстати в ней ещё много полезного кроме собственно антивируса.

05.08.2009, 19:37	# 11
vanpur Newbie Регистрация: 26.05.2005 Сообщения: 10	Антивирус - дело десятое. Если есть интерес, то очень правильно написали в посте №8. После этой проги станет все ясно. А в зависимости от того станет ли ясно уже будем думать про антивирус или дальше искать