Странный трафик

Смотрю вкладку "Состояние подключения" и там траффик исходящий в 5-10 раз больше входящего. И это при том, что я просто по нету серферю!, никакой почты не отправляю, ничего с компа не выкачиваю. Раньше-то при такой нагрузке все было как раз наоборот.

Ясно, что тут какая-то прога виновата: смотрю диспетчер, вроде все процессы нормальне. Но что-то все-таки не так явно!

Да, кстати, когда врубаю нет (У меня DialUp.), то получаю окошечко подключения, где сообщается "вы или программа запросили информацию с узла [и каждый раз узлы-то разные]"

Антивирус DrWeb, последнее обновление, вирусы регулярно обнаруживает в local settings/temprory internet files/... и удаляет само собой. Но проблему это не решает.

А у меня из-за этого связь явно притормаживает.

Подскажите, в чем может быть причина?

[ysf]

Цитата:

Сообщение от romaro

Смотрю вкладку "Состояние подключения" и там траффик исходящий в 5-10 раз больше входящего. И это при том, что я просто по нету серферю!, никакой почты не отправляю, ничего с компа не выкачиваю. Раньше-то при такой нагрузке все было как раз наоборот.

Ясно, что тут какая-то прога виновата: смотрю диспетчер, вроде все процессы нормальне. Но что-то все-таки не так явно!

Да, кстати, когда врубаю нет (У меня DialUp.), то получаю окошечко подключения, где сообщается "вы или программа запросили информацию с узла [и каждый раз узлы-то разные]"

Антивирус DrWeb, последнее обновление, вирусы регулярно обнаруживает в local settings/temprory internet files/... и удаляет само собой. Но проблему это не решает.

А у меня из-за этого связь явно притормаживает.

Подскажите, в чем может быть причина?

Всегда стоит проверить, что происходит в автозагрузке (msconfig - всегда советую)! Потом ты говоришь, что процессы нормальные! Бывают не нормальные? Укажи какие, ведь что-то лезет в и-нет! Кроме того какая система у тебя стоит, не включен, очевидно, никакой firewall. Посмотри когда окошко появляется (в процессах) не появился ли кто еще!

Я...просто не знаю что такое firewall, зачем он нуже и как его включать?

И в процессах разобраться непросто. Многое конечно узнаю, но есть такие, которые для меня загадка. Поэтому запросто там може быть что-то такое, чего мне не нужно...

По поводу нового процесса после выруба нета - посмотрю обязательно и наишу здесь.

Смотрю автозагрузку, там непонятно:
1) wvsvc.exe
2) MSPRCSS32.exe
3) CTFMON.exe
4) NvCpl.dll (in sistem32)


Что из этого можно, а что нужно выбурить?

[Ghost]

romaro
Firewall, если по-простому, следит за тем, кто и куда лезет по сети и определяет кому можно, кому нельзя. Поставь Agnitum Outpost - он достаточно прост в настройке и при установке сразу сам сконфигурится для пропускания только установленных инет-софтин (IE, Bat! и проч.), а если начнет ломится какая другая прога - спросит у тебя, что ему делать: пускать или запретить?

[trimel]

Процесс не исчезнет , если ты отключишься от инета . Думаю у тебя или троян или какая то софтина пытается обновится. Какая у тебя ОС ?

Я бы тебе рекомендовал Kerio Firewall - посмотри по нему здесь - http://www.imho.ws/showthread.php?t=...ighlight=kerio

Цитата:

trimel:
Какая у тебя ОС ?

XP pro sp 2 with crack

Цитата:

Ghost:
Поставь Agnitum Outpost

а можно ссылочку на эту пргогу?

[SergoZD]

romaro
По части процессов - заюзай Process Explorer, так в меню файл можно сохранить в текстовый файл. Запусти прогу когда появится непонятный исходящий трафик и вложи отчет, попробуем найти заразу, если таковая имеется.

[Ghost]

romaro
Поиск по разделу AppZ - есть там. Вот: http://www.imho.ws/showthread.php?t=818

В XP+SP2 есть вмазанный в систему firewall. Можешь попробовать заюзать его. Хотя, лично я, его всегда отрубаю и ставлю Outpost. Если надумаешь юзать встроенный - скачай софтинку FirePanel - надстройка для управления этой стенкой.

Впечатление такое, что проблема была в wvsvc.exe. Это я так понял не системный файл (уже после того, какProcess Explorer поставил) . Очень неспокойно поддерево процессов этой проги себя вело. Ну я ее выкинул и пока вроде все нормально с трафиком. Выкину еще ее из автозагрузки.

Но меня смущает, что процесс этот знакомый, м.б. компнент нормальная, только инфицирован (но вроде дрвеб не пишет ничего). Кто что знает о wvsvc.exe?

[SergoZD]

romaro

Цитата:

Name: wvsvc
Filename: wvsvc.exe
Location: Unknown
Description: Added by the AGOBOT.YM WORM!
Startup Type: Currently being identified.

http://fr.trendmicro-europe.com/ente...WORM_AGOBOT.YM

т.е. это червяк и трафик у меня исходящий был загружен именно потому, что эта гадина всем чего-то расслала?

[ysf]

Цитата:

Сообщение от romaro

т.е. это червяк и трафик у меня исходящий был загружен именно потому, что эта гадина всем чего-то расслала?

На самом деле это следствие. Причина в незащищенности компьютера, ибо защищать надо. Начни с установки firewall и чистки системы (ссылки на темы выше). Удачи!

Цитата:

Сообщение от romaro

Там все по англицки, а я еще не такой мостак, понял кое-что, но как правильно побороть и что эта гадина делала не дошло. Не напишешь оч. кратко?

Ушлю в ПМ!

Там все по англицки, а я еще не такой мостак, понял кое-что, но как правильно побороть и что эта гадина делала не дошло. Не напишешь оч. кратко?

[trimel]

Цитата:

romaro:
гадина всем чего-то расслала

Да , возможно ты был все это время спамером , а возможно раздавал свои адресные книги или еще что нибудь подобное , присущее троянам.

Цитата:

ysf:
деле это следствие. Причина в незащищенности компьютера, ибо защищать надо. Начни с установки firewall и чистки системы (ссылки на темы выше). Удачи!

уже начал >>>>

romaro, мало того, что это червь, это еще и бэкдор _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=74364 по крайней мере оч.похоже. стоило бы тебе хорошо проверить всю сетку (если ты в сети). в таких случаях в первую очередь если какое-то подозрение, лучше сразу отключать (выдергивая кабель) сеть. что в системе не должно быть такого файла wvsvc.exe это 99,8%

до меня только сейчас дошло, что брандмауэр и firewall - одно и то же. Проверил 33 своих диалопных подключения и кака вы догадались на одном из них отсутствовала галка напротив "Защитить мое подключение к Интернету". Короче, офигенная дыра в безопасности, если учитывать, что файерволл у меня виндишный.

Пользуясь случаем да не сочтут за оффтоп: какой файерволл выбрать, чтобы:
1) по-русски;
2) немного ресурсов;

я установил kerino и понял, что это не мое... вещь конечно рулезная, но я нихрена не понял в ней. Что бы попроще, я ж не админ сетки из 50 компов

[Ghost]

romaro
Как уже говорилось - Agnitum Outpost 2.5. Есть русские версии, русские мануалы.

Цитата:

Сообщение от romaro

до меня только сейчас дошло, что брандмауэр и firewall - одно и то же. Проверил 33 своих диалопных подключения и кака вы догадались на одном из них отсутствовала галка напротив "Защитить мое подключение к Интернету". Короче, офигенная дыра в безопасности, если учитывать, что файерволл у меня виндишный.

Пользуясь случаем да не сочтут за оффтоп: какой файерволл выбрать, чтобы:
1) по-русски;
2) немного ресурсов;

я установил kerino и понял, что это не мое... вещь конечно рулезная, но я нихрена не понял в ней. Что бы попроще, я ж не админ сетки из 50 компов

чем тебя не устраивает виндовый фаервол? из-за того, что я не люблю ничего внешнего устанавливать, у пользователей (по домам в смысле) включаю родной ХРшный фаервол, никаких проблем еще не возникало и никто не жаловался. делаешь из него "черную дыру" которая даже на пинги не отвечает и все в порядке. подчеркиваю, на данный момент никто не жаловался.

[Al-x]

Поставь Антихакер Касперского - русский и прост в настройке, хотя IMHO Kerio прикольнее.