Форум: "Прочее";
Текущий архив: 2007.08.19;
Скачать: [xml.tar.bz2];

Вниз

Проблема с трафиком   Найти похожие ветки 

← →
vasIZmax ©   (2007-07-16 10:04) [0]

День добрый! Не могу никак выловить что съедает трафик.
Думал вирь, Нод молчит... Файервол молчит... В реестре чисто (автозагрузка по крайней мере).
StatisXP и BWMeter и статистика подключения разнятся примерно на 200 кб.
У нода, фаервола и винды автообновление отключено.
Process Explorer показывает следующее (но ничего такого странного... см. ниже. надеюсь не расплывется)
Process PID CPU Description Company Name
System Idle Process 0 83.08  
Interrupts n/a  Hardware Interrupts
DPCs n/a 6.15 Deferred Procedure Calls
System 4  
 smss.exe 916  Диспетчер сеанса  Windows NT Корпорация Майкрософт
  csrss.exe 980 1.54 Client Server Runtime Process Microsoft Corporation
  winlogon.exe 1004  Программа входа в систему Windows NT Корпорация Майкрософт
   services.exe 1048 1.54 Приложение служб и контроллеров Корпорация Майкрософт
    svchost.exe 1216  Generic Host Process for Win32 Services Microsoft Corporation
    svchost.exe 1280  Generic Host Process for Win32 Services Microsoft Corporation
    svchost.exe 1480  Generic Host Process for Win32 Services Microsoft Corporation
     wscntfy.exe 3052  Windows Security Center Notification App Microsoft Corporation
     irftp.exe 1684  Передача файлов по инфракрасной связи Корпорация Майкрософт
    svchost.exe 1532  Generic Host Process for Win32 Services Microsoft Corporation
    svchost.exe 1576  Generic Host Process for Win32 Services Microsoft Corporation
    nod32krn.exe 588  NOD32 Kernel Service Eset
    SMAgent.exe 2304  SoundMAX service agent component Analog Devices, Inc.
    wdfmgr.exe 2412  Windows User Mode Driver Manager Microsoft Corporation
    alg.exe 3728  Application Layer Gateway Service Microsoft Corporation
    spoolsv.exe 2960  Spooler SubSystem App Microsoft Corporation
   lsass.exe 1060  LSA Shell (Export Version) Microsoft Corporation
   taskmgr.exe 968  Диспетчер задач Windows Корпорация Майкрософт
explorer.exe 2036 1.54 Проводник Корпорация Майкрософт
igfxtray.exe 520  igfxTray Module Intel Corporation
hkcmd.exe 532  hkcmd Module Intel Corporation
daemon.exe 564  Virtual DAEMON Manager DT Soft Ltd.
SMax4PNP.exe 668  SMax4PNP MFC Application Analog Devices, Inc.
SMax4.exe 680  SoundMAX Control Center Analog Devices, Inc.
ctfmon.exe 688  CTF Loader Microsoft Corporation
JetAudio.exe 720 4.62 jetAudio COWON America, Inc.
cinetray.exe 936   Sonic Solutions
Totalcmd.exe 3880  Total Commander 32 bit international version, file manager replacement for Windows C. Ghisler & Co.
qip.exe 1176  Quiet Internet Pager The Author of QIP
globax_daemon.exe 1824 1.54  
Server4PC.exe 2524  Server4PC B2C2, Inc.
IEXPLORE.EXE 2660  Internet Explorer Корпорация Майкрософт
procexp.exe 1592  Sysinternals Process Explorer Sysinternals
nod32kui.exe 772  NOD32 Control Center GUI Eset

Подскажите как можно еще определить куда уходит трафик?

---

← →
Ega23 ©   (2007-07-16 10:05) [1]

> Подскажите как можно еще определить куда уходит трафик?
>


http://www.delphimaster.ru/cgi-bin/forum.pl?n=3  ?

---

← →
vasIZmax ©   (2007-07-16 10:10) [2]

> Ega23 ©   (16.07.07 10:05) [1]

Впечатлило:-)...
Но если бы это было так на самом деле не спрашивал бы тогда.

ЗЫ. Только подключился к нэту, а уже до 50кб нагорает, имхо, это странно, по крайней мере раньше такого не было!

---

← →
ANTPro ©   (2007-07-16 14:32) [3]

> [0] vasIZmax ©   (16.07.07 10:04)
> Файервол молчит

Дык его у тебя нету :)
Comodo Firewall в помощь

---

← →
Dimaxx ©   (2007-07-16 15:41) [4]

Отключай все в автозагрузке (msconfig) и проверяй трафф. Далее по одной включай нужное и лови вора...

JetAudio.exe
cinetray.exe
globax_daemon.exe

Нафиг винде не уперлись - возможно вор среди них.

Server4PC.exe - хз что, тоже под подозрением.

А про файервол правильно сказали - там все увидишь в логах: кто куда ломится, кто что передает.

---

← →
Anatoly Podgoretsky ©   (2007-07-16 16:46) [5]

> Server4PC.exe - хз что, тоже под подозрением.

Вот он может и воровать, у него явно стоит тюнер или просто сервер трансляций видео

---

← →
Игорь Шевченко ©   (2007-07-16 16:51) [6]

> daemon.exe


А это что за зверь ?

Автору: скачай с sysinternals tcpview - очень полезная программа.
В Process Explorer выстави в процессах IO Other Bytes и IO Other delta - узнаешь, какой процесс трафик кушает.

---

← →
vasIZmax ©   (2007-07-16 16:59) [7]

> ANTPro ©   (16.07.07 14:32) [3]
> Дык его у тебя нету :)

На момент копирования - я его выключил:-), была необходимость


> Dimaxx ©   (16.07.07 15:41) [4]

Пробовал так... Не ловится...

> JetAudio.exe
проигрыватель (автообновление отключено)
> cinetray.exe
идет совместно с Server4PC.exe, и ранее не был замечен в нарушении
> globax_daemon.exe
это прога для инэта, т.е. в общих чертах - "вырублю" ее - вырублю инэт



> Anatoly Podgoretsky ©   (16.07.07 16:46) [5]

Это прога для спутника через который я собственно и нахожусь в сети. Поэтому ей доверяю, как и всем вышеозначенным - так как "кражи" не наблюдалось ранее.

Какие еще есть способы "подсечь", когда упомянутые способы перепробованы? Никто не оказывался в такой щекотливой (даже наверно глупой) ситуации?

---

← →
@!!ex ©   (2007-07-16 17:06) [8]

А че мешает троянцу сидеть в одной из запущенных прог?

---

← →
@!!ex ©   (2007-07-16 17:06) [9]

Я имею ввиду, раньше положи JA ниче не качал, сейчас зараженный, вот и качает.

---

← →
vasIZmax ©   (2007-07-16 17:37) [10]

Несколько странным кажется что нод неловит-то его, троянца (базы обнолены), а он меня еще не подводил, ему доверяю пока что.

Вот только что заметил через PE.
от диспечера очереди печати (spoolsv.exe) отделился CNAB4RPK.EXE и проявляет, имхо, сетевую активность, т.к. свойства->TCP/IP в разделе State написано listening.
Ни у кого не "подкрадывалась вражина" со стороны спойлера печати?

ЗЫ. сейчас поэкспериментирую

---

← →
Игорь Шевченко ©   (2007-07-16 17:53) [11]

http://www.google.ru/search?hl=ru&q=CNAB4RPK.EXE&lr=

---

← →
_XXX_   (2007-07-16 17:56) [12]

проверся AVZ"-ом на предмет перехвата API

---

← →
Rouse_ ©   (2007-07-16 18:40) [13]

проверь через msinfo32  в списке драйверов наличие runtime2.sys - ежели есть, то поздравляю (чичас эпидемия этой гадости пошла, плюс этот рутки достаточно неотлаженный и периодически падает с BSOD-ом)

---

← →
vasIZmax ©   (2007-07-19 01:00) [14]

> _XXX_   (16.07.07 17:56) [12]

проверил, ничего такого сверх уж естественного.


> Rouse_ ©   (16.07.07 18:40) [13]

проверил - это зверька нет.

В итоге: как это не странно - это оказался кип, хотя раньше за ним такого замечено не было(!!!), т.е. я его только запустил(сообщения, ни какие никому не писал), и он начинает щелкать килобайты, вместо привычных байтиков... Переустановил, сейчас наблюдаю за его поведением.

---

← →
Германн ©   (2007-07-19 02:59) [15]

> В итоге: как это не странно - это оказался кип

Аська - это зло!
P,S, Это всё придумал Черчиль в восемнадцатом году!
:)

---

← →
Prohodil Mimo ©   (2007-07-19 12:47) [16]

TCPView покажет кто куда ломится

---

← →
Loginov Dmitry ©   (2007-07-19 13:29) [17]

На всякий случай загляни в %WINDOWS%\System32
Если заразился, то нечисть там чаще прячется (по дате смотри).

---

Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2007.08.19;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.5 MB
Время: 0.044 c