Какую информацию передает комп в инет - Безопасность

Dimbas4 · 21.11.2007, 07:09

Как узнать, что передает комп в инет? Исходящий трафик всегда выше входящего, что это может быть?

Dede · 21.11.2007, 07:28

Что именно вряд ли удастся определить, но какое приложение - вполне. Нужен хороший фаервол, либо прога для контроля за трафиком

Такое соотношение ненормально для обычного пользователя, советую тщательно провериться на вирусы, возможно с вашей машины рассылается спам. Скорее бывает наоборот, когда винда, например, тянет обновления в фоновом режиме, либо какие другие проги, но чтоб исходящий стал выше, тут дело явно не чисто

Dimbas4 · 21.11.2007, 07:51

Антивирус стоит каспер, базы каждый день новые. Пробовал переставить систему, результат тотже.
Инет вообще перестает работать, когда комп начинает пытаться подключиться к инету, хотя я в это время подключен.
Как узнать какая программа или кто из сети пытается подключиться к инету, ч.з. мой комп?

добавлено через 5 минут
Выход в инет общий через АДСЛ по сети.

Brainiacs · 21.11.2007, 11:20

To Dimbas4

1.

Цитата:

Сообщение от Dimbas4

..когда комп начинает пытаться подключиться к инету, хотя я в это время подключен..

Не сильно понятно, ты подключен или пытаешься подключиться???

2.

Цитата:

Сообщение от Dimbas4

Выход в инет общий через АДСЛ по сети.

Домашняя сеть или на работе, с кем инет общий???

3. Попробуй поставь Agnitum посмотри что да как, он тебе все подключения покажет и трафик!!!

With Best Regards
Brainiacs

Dimbas4 · 21.11.2007, 16:24

Brainiacs,
1. я подключен к инету, но когда начинает тупить инет, то начинает постоянно выскакивать окно попытки подключений к инету.

2. Выходим в инет через домашнюю сеть, нас 3 человека в сети.

По локалке тоже самое, уходит больше чем приходит хотя все шары закрыты!

Brainiacs · 21.11.2007, 16:39

To Dimbas4

1. Как организованно распределенние интернета на 3 компьютера???
Прокси, хаб (маршрутизатор, коммутатор) или на прямую через один из
компьютеров (без прокси)???

2. Если инет вообще отключить у всех, то по локалке остаётся трафик -
отправленного больше чем принятого???

3. Систему переустанавливал только у себя???

4. На остальных компах такая же ситуация, как и у тебя???

With Best Regards
Brainiacs

Dimbas4 · 21.11.2007, 16:48

Brainiacs,
1. Выходим в инет через шлюзы, в свич подключили модем.

2. Да трафик идет, хотя все закрыли свои шары

3. На 2 машинах переставили систему.

Brainiacs · 21.11.2007, 17:04

To Dimbas4

Трафик (служебный) будет идти вне зависимости от шар. Я имею ввиду, трафик
исходящий остаётся больше,чем входящий при выключенном интернете???
(если адсл модем вообще из розетки вынуть)

Вообщем нужно больше информации, давай:

Пуск --->> Выполнить --->> cmd --->> ok Далее пишешь:

ipconfig /all

Со всех трех компьютеров информацию сюда!!!!

Компьютеры в одной рабочей группе???

P.S.

Отвечай, пожалуйста, на все вопросы!
Если что-то не понятно, лучше спроси, постараемся объяснить
для этого и форум!!!

With Best Regards
Brainiacs

Dimbas4 · 21.11.2007, 17:19

Трафик явно не служебный так как очень много его уходит!
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Dimbas4>ipconfig/all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dimbas
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet A
dapter
Физический адрес. . . . . . . . . : 00-19-5B-6A-8A-51
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.168.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.168.3
DNS-серверы . . . . . . . . . . . : 192.168.168.3

12 - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 89.109.180.116
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 89.109.180.116
DNS-серверы . . . . . . . . . . . : 85.88.160.66
85.88.160.65
NetBIOS через TCP/IP. . . . . . . : отключен

Компьютеры в одной рабочей группе

Brainiacs · 21.11.2007, 17:48

Хорошо, давай уточним:

Есть модем (ADSL, стрим я так полагаю?), есть свич, в который воткнут
модем, правильно???

В свич воткнут один из трех компьютеров (№1), правильно?? Судя по 2 сетевым
интерфэйсам ipconfig /all, который ты предоставил, с этого компьютера, правильно???
На этом компьютере 2 сетевые карты. Одна подключена в свич, другая ко
второму компьютеру (№2), так???

Третий компьютер (№3) как подключен, через второй (№2) или через свич или через первый (№1)???

ipconfig /all с №2 и №3 нужен, это возможно???

With Best Regards
Brainiacs

Dimbas4 · 21.11.2007, 17:54

1. На других компах все тоже самое должно быть! отличие только в крайней цифре IP.

2. Модем и три компа включены в один свич.

3. Сетевая карта одна, просто я назвал случайным образом сетевое подключение "2"

21.11.2007, 23:47

Цитата:

Сообщение от Dimbas4

Как узнать какая программа или кто из сети пытается подключиться к инету, ч.з. мой комп?

в тот момент, когда используется инет, хотя вы уверены, что сами вданный момент нигде не серфите, проверьте тек соединения с помощью
netstat -no
эта команда выдаст вам список наподобие:
C:\Documents and Settings\aleksey>netstat -no | findstr EST
TCP 87.237.X.X:4899 64.12.24.160:443 ESTABLISHED 6768
TCP 87.237.X.X:21955 77.181.28.35:4796 ESTABLISHED 5192
TCP 87.237.X.X:21955 78.107.214.40:4376 ESTABLISHED 5192
TCP 87.237.X.X:21955 82.131.108.130:2105 ESTABLISHED 5192
TCP 87.237.X.X:21955 84.108.188.162:51156 ESTABLISHED 5192
TCP 87.237.X.X:21955 85.140.153.42:2205 ESTABLISHED 5192
TCP 87.237.X.X:21955 87.69.68.60:46975 ESTABLISHED 5192
TCP 87.237.X.X:21955 89.112.2.176:44100 ESTABLISHED 5192
TCP 87.237.X.X:21955 92.112.16.243:2340 ESTABLISHED 5192
TCP 87.237.X.X:21955 195.24.159.18:3332 ESTABLISHED 5192
TCP 87.237.X.X:21955 195.248.173.230:17403 ESTABLISHED 5192
TCP 87.237.X.X:21955 212.4.116.170:36114 ESTABLISHED 5192
TCP 127.0.0.1:3389 127.0.0.1:4903 ESTABLISHED 2180
TCP 127.0.0.1:4903 127.0.0.1:3389 ESTABLISHED 1060

established - установленные соеднинения, последняя строка - pid процесса, открывшего соединение. в моем случае часть соединений идет на порт 443 - это доступ к https, это icq-клиент:
C:\Documents and Settings\aleksey>tasklist /fi "pid eq 6768"

Image Name PID Session Name Session# Mem Usage
========================= ======== ================ =========== ============
miranda32.exe 6768 Console 0 6,508 K
основная часть - pid = 5192 - это bitcomet.exe и т.д.

Dimbas4 · 22.11.2007, 08:53

Причина частично найдена!
svchost.exe у этого процесса слишком большая активность он передает и принимает основную массу трафика. Причем прием/передача информации идет на комп из локальной сети.

Вот что показывает Outpost Firewall --- web контроль:
постоянно идет запрос, этот комп находиться в локалке
2007/11/22 14:40:39 [svchost.exe:1736] request HTTP11 GET 192.168.168.2:2869 /upnphost/udhisapi.dll?control=uuid:a6d07b7d-9ea0-467e-b84e-07e2a8aec856+urn:upnp-org:serviceId:WANCommonIFC1 [8C00000744]

Что это за запрос?

добавлено через 4 минуты
в этой же программе журнал пакетов содержит очень много событий
получен UDP пакет:192.168.168.2:53->192.168.168.1:53

Brainiacs · 22.11.2007, 13:56

To Dimbas4

Скачай, распакуй, запусти (не требует установки) и скриншот выложи:

Имя файла ProcessExplorer.zip
Размер 1503 кб

With Best Regards
Brainiacs

Комментарий Модератора:

FantomIL:
Размещение ссылок на ЛЮБОЙ СОФТ в явном виде запрещено. Пост поправил.

Dimbas4 · 22.11.2007, 17:27

Сомнений нет это вирус! Подскажите где взять патчи на винду ХР 2 сервиспак русская версия. Переставлю систему, а то она вообще почти не работает. Все 3 компа заражены этой бякой.

Borland · 22.11.2007, 17:49

Цитата:

Сообщение от Dimbas4

Подскажите где взять патчи на винду ХР 2

Издеваешься что ли?

_http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru-ru
Либо, чтобы не качать заново при каждой переустановке, _http://www.microsoft.com/downloads/Search.aspx?displaylang=ru

Цитата:

Сообщение от Dimbas4

Все 3 компа заражены этой бякой

Важно при переустановке не включать одновременно в сеть заражённые и свежеустанавливаемые компьютеры!

Dimbas4 · 22.11.2007, 18:41

Borland, Я имел ввиду комплексный патч, т.к. качать по одному патчу и потом устанавливать каждый раз после переустановки системы 81 патч слишком долго и муторно! Эти адреса я знаю.

Dimbas4 · 24.11.2007, 18:00

Нашел комплексный патч для русской ХР-2.
Как найти эту заразу на своем компе? Жалко сносить все 320 Гигов на других дисках, и гдето в них сидит эта зараза, систему переставил, но опять тоже самое.

добавлено через 1 минуту
Антивирусы не видят его! Каспер и нод32 с новыми базами

bertran · 24.11.2007, 20:04

Цитата:

Сообщение от Dimbas4

Жалко сносить все 320 Гигов на других дисках, и гдето в них сидит эта зараза, систему переставил, но опять тоже самое

Если зараза сидит в сети, и если не можешь закрыть ее файрволлом, то имхо, нужно отключить сеть. А компьютер проверять загружая его через LiveCD. Если лечение дает результат, то аналогично лечить остальные, не забыв пропатчить последними обновлениями.

FantomIL · 24.11.2007, 21:27

Народ, вам не кажется, что вы уже оффтопом занимаетесь?

Об удалении вирусов уже есть соответствующая тема в другом разделе.
Надеюсь, намек понятен!?

21.11.2007, 07:09	# 1
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Какую информацию передает комп в инет Как узнать, что передает комп в инет? Исходящий трафик всегда выше входящего, что это может быть?

21.11.2007, 16:39	# 6
Brainiacs Member Регистрация: 28.02.2004 Адрес: Москва Пол: Male Сообщения: 352	To Dimbas4 1. Как организованно распределенние интернета на 3 компьютера??? Прокси, хаб (маршрутизатор, коммутатор) или на прямую через один из компьютеров (без прокси)??? 2. Если инет вообще отключить у всех, то по локалке остаётся трафик - отправленного больше чем принятого??? 3. Систему переустанавливал только у себя??? 4. На остальных компах такая же ситуация, как и у тебя??? With Best Regards Brainiacs __________________ Лучше не знать вкуса сахара, чтобы потом не мучатся от недостатка сладкого! Последний раз редактировалось Brainiacs; 21.11.2007 в 16:41. Причина: Добавил вопрос

21.11.2007, 17:04	# 8
Brainiacs Member Регистрация: 28.02.2004 Адрес: Москва Пол: Male Сообщения: 352	To Dimbas4 Трафик (служебный) будет идти вне зависимости от шар. Я имею ввиду, трафик исходящий остаётся больше,чем входящий при выключенном интернете??? (если адсл модем вообще из розетки вынуть) Вообщем нужно больше информации, давай: Пуск --->> Выполнить --->> cmd --->> ok Далее пишешь: ipconfig /all Со всех трех компьютеров информацию сюда!!!! Компьютеры в одной рабочей группе??? P.S. Отвечай, пожалуйста, на все вопросы! Если что-то не понятно, лучше спроси, постараемся объяснить для этого и форум!!! With Best Regards Brainiacs __________________ Лучше не знать вкуса сахара, чтобы потом не мучатся от недостатка сладкого! Последний раз редактировалось Brainiacs; 21.11.2007 в 17:07.

21.11.2007, 17:48	# 10
Brainiacs Member Регистрация: 28.02.2004 Адрес: Москва Пол: Male Сообщения: 352	Хорошо, давай уточним: Есть модем (ADSL, стрим я так полагаю?), есть свич, в который воткнут модем, правильно??? В свич воткнут один из трех компьютеров (№1), правильно?? Судя по 2 сетевым интерфэйсам ipconfig /all, который ты предоставил, с этого компьютера, правильно??? На этом компьютере 2 сетевые карты. Одна подключена в свич, другая ко второму компьютеру (№2), так??? Третий компьютер (№3) как подключен, через второй (№2) или через свич или через первый (№1)??? ipconfig /all с №2 и №3 нужен, это возможно??? With Best Regards Brainiacs __________________ Лучше не знать вкуса сахара, чтобы потом не мучатся от недостатка сладкого!

24.11.2007, 21:27	# 20
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Народ, вам не кажется, что вы уже оффтопом занимаетесь? Об удалении вирусов уже есть соответствующая тема в другом разделе. Надеюсь, намек понятен!? __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

21.11.2007, 07:28	# 2
Dede IMHO-::VIP::-2006 Web Hunter Регистрация: 15.01.2004 Адрес: 45-ая параллель Пол: Male Сообщения: 4 062	Что именно вряд ли удастся определить, но какое приложение - вполне. Нужен хороший фаервол, либо прога для контроля за трафиком Такое соотношение ненормально для обычного пользователя, советую тщательно провериться на вирусы, возможно с вашей машины рассылается спам. Скорее бывает наоборот, когда винда, например, тянет обновления в фоновом режиме, либо какие другие проги, но чтоб исходящий стал выше, тут дело явно не чисто

21.11.2007, 07:51	# 3
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Антивирус стоит каспер, базы каждый день новые. Пробовал переставить систему, результат тотже. Инет вообще перестает работать, когда комп начинает пытаться подключиться к инету, хотя я в это время подключен. Как узнать какая программа или кто из сети пытается подключиться к инету, ч.з. мой комп? добавлено через 5 минут Выход в инет общий через АДСЛ по сети.

21.11.2007, 16:24	# 5
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Brainiacs, 1. я подключен к инету, но когда начинает тупить инет, то начинает постоянно выскакивать окно попытки подключений к инету. 2. Выходим в инет через домашнюю сеть, нас 3 человека в сети. По локалке тоже самое, уходит больше чем приходит хотя все шары закрыты!

21.11.2007, 16:48	# 7
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Brainiacs, 1. Выходим в инет через шлюзы, в свич подключили модем. 2. Да трафик идет, хотя все закрыли свои шары 3. На 2 машинах переставили систему.

21.11.2007, 17:19	# 9
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Трафик явно не служебный так как очень много его уходит! Microsoft Windows XP [Версия 5.1.2600] (С) Корпорация Майкрософт, 1985-2001. C:\Documents and Settings\Dimbas4>ipconfig/all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : dimbas Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : нет Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet A dapter Физический адрес. . . . . . . . . : 00-19-5B-6A-8A-51 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.168.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.168.3 DNS-серверы . . . . . . . . . . . : 192.168.168.3 12 - PPP адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 89.109.180.116 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : 89.109.180.116 DNS-серверы . . . . . . . . . . . : 85.88.160.66 85.88.160.65 NetBIOS через TCP/IP. . . . . . . : отключен Компьютеры в одной рабочей группе

21.11.2007, 17:54	# 11
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	1. На других компах все тоже самое должно быть! отличие только в крайней цифре IP. 2. Модем и три компа включены в один свич. 3. Сетевая карта одна, просто я назвал случайным образом сетевое подключение "2"

22.11.2007, 08:53	# 13
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Причина частично найдена! svchost.exe у этого процесса слишком большая активность он передает и принимает основную массу трафика. Причем прием/передача информации идет на комп из локальной сети. Вот что показывает Outpost Firewall --- web контроль: постоянно идет запрос, этот комп находиться в локалке 2007/11/22 14:40:39 [svchost.exe:1736] request HTTP11 GET 192.168.168.2:2869 /upnphost/udhisapi.dll?control=uuid:a6d07b7d-9ea0-467e-b84e-07e2a8aec856+urn:upnp-org:serviceId:WANCommonIFC1 [8C00000744] Что это за запрос? добавлено через 4 минуты в этой же программе журнал пакетов содержит очень много событий получен UDP пакет:192.168.168.2:53->192.168.168.1:53

22.11.2007, 17:27	# 15
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Сомнений нет это вирус! Подскажите где взять патчи на винду ХР 2 сервиспак русская версия. Переставлю систему, а то она вообще почти не работает. Все 3 компа заражены этой бякой.

22.11.2007, 18:41	# 17
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Borland, Я имел ввиду комплексный патч, т.к. качать по одному патчу и потом устанавливать каждый раз после переустановки системы 81 патч слишком долго и муторно! Эти адреса я знаю.

24.11.2007, 18:00	# 18
Dimbas4 Junior Member Регистрация: 23.08.2007 Сообщения: 56	Нашел комплексный патч для русской ХР-2. Как найти эту заразу на своем компе? Жалко сносить все 320 Гигов на других дисках, и гдето в них сидит эта зараза, систему переставил, но опять тоже самое. добавлено через 1 минуту Антивирусы не видят его! Каспер и нод32 с новыми базами