Форум: "Прочее";
Текущий архив: 2007.08.19;
Скачать: [xml.tar.bz2];
Вниз
Проблема с трафиком Найти похожие ветки
← →
vasIZmax © (2007-07-16 10:04) [0]День добрый! Не могу никак выловить что съедает трафик.
Думал вирь, Нод молчит... Файервол молчит... В реестре чисто (автозагрузка по крайней мере).
StatisXP и BWMeter и статистика подключения разнятся примерно на 200 кб.
У нода, фаервола и винды автообновление отключено.
Process Explorer показывает следующее (но ничего такого странного... см. ниже. надеюсь не расплывется)Process PID CPU Description Company Name
System Idle Process 0 83.08
Interrupts n/a Hardware Interrupts
DPCs n/a 6.15 Deferred Procedure Calls
System 4
smss.exe 916 Диспетчер сеанса Windows NT Корпорация Майкрософт
csrss.exe 980 1.54 Client Server Runtime Process Microsoft Corporation
winlogon.exe 1004 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 1048 1.54 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 1216 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1280 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1480 Generic Host Process for Win32 Services Microsoft Corporation
wscntfy.exe 3052 Windows Security Center Notification App Microsoft Corporation
irftp.exe 1684 Передача файлов по инфракрасной связи Корпорация Майкрософт
svchost.exe 1532 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1576 Generic Host Process for Win32 Services Microsoft Corporation
nod32krn.exe 588 NOD32 Kernel Service Eset
SMAgent.exe 2304 SoundMAX service agent component Analog Devices, Inc.
wdfmgr.exe 2412 Windows User Mode Driver Manager Microsoft Corporation
alg.exe 3728 Application Layer Gateway Service Microsoft Corporation
spoolsv.exe 2960 Spooler SubSystem App Microsoft Corporation
lsass.exe 1060 LSA Shell (Export Version) Microsoft Corporation
taskmgr.exe 968 Диспетчер задач Windows Корпорация Майкрософт
explorer.exe 2036 1.54 Проводник Корпорация Майкрософт
igfxtray.exe 520 igfxTray Module Intel Corporation
hkcmd.exe 532 hkcmd Module Intel Corporation
daemon.exe 564 Virtual DAEMON Manager DT Soft Ltd.
SMax4PNP.exe 668 SMax4PNP MFC Application Analog Devices, Inc.
SMax4.exe 680 SoundMAX Control Center Analog Devices, Inc.
ctfmon.exe 688 CTF Loader Microsoft Corporation
JetAudio.exe 720 4.62 jetAudio COWON America, Inc.
cinetray.exe 936 Sonic Solutions
Totalcmd.exe 3880 Total Commander 32 bit international version, file manager replacement for Windows C. Ghisler & Co.
qip.exe 1176 Quiet Internet Pager The Author of QIP
globax_daemon.exe 1824 1.54
Server4PC.exe 2524 Server4PC B2C2, Inc.
IEXPLORE.EXE 2660 Internet Explorer Корпорация Майкрософт
procexp.exe 1592 Sysinternals Process Explorer Sysinternals
nod32kui.exe 772 NOD32 Control Center GUI Eset
Подскажите как можно еще определить куда уходит трафик?
← →
Ega23 © (2007-07-16 10:05) [1]
> Подскажите как можно еще определить куда уходит трафик?
>
http://www.delphimaster.ru/cgi-bin/forum.pl?n=3 ?
← →
vasIZmax © (2007-07-16 10:10) [2]
> Ega23 © (16.07.07 10:05) [1]
Впечатлило:-)...
Но если бы это было так на самом деле не спрашивал бы тогда.
ЗЫ. Только подключился к нэту, а уже до 50кб нагорает, имхо, это странно, по крайней мере раньше такого не было!
← →
ANTPro © (2007-07-16 14:32) [3]
> [0] vasIZmax © (16.07.07 10:04)
> Файервол молчит
Дык его у тебя нету :)
Comodo Firewall в помощь
← →
Dimaxx © (2007-07-16 15:41) [4]Отключай все в автозагрузке (msconfig) и проверяй трафф. Далее по одной включай нужное и лови вора...
JetAudio.exe
cinetray.exe
globax_daemon.exe
Нафиг винде не уперлись - возможно вор среди них.
Server4PC.exe - хз что, тоже под подозрением.
А про файервол правильно сказали - там все увидишь в логах: кто куда ломится, кто что передает.
← →
Anatoly Podgoretsky © (2007-07-16 16:46) [5]> Server4PC.exe - хз что, тоже под подозрением.
Вот он может и воровать, у него явно стоит тюнер или просто сервер трансляций видео
← →
Игорь Шевченко © (2007-07-16 16:51) [6]
> daemon.exe
А это что за зверь ?
Автору: скачай с sysinternals tcpview - очень полезная программа.
В Process Explorer выстави в процессах IO Other Bytes и IO Other delta - узнаешь, какой процесс трафик кушает.
← →
vasIZmax © (2007-07-16 16:59) [7]
> ANTPro © (16.07.07 14:32) [3]
> Дык его у тебя нету :)
На момент копирования - я его выключил:-), была необходимость
> Dimaxx © (16.07.07 15:41) [4]
Пробовал так... Не ловится...
> JetAudio.exe
проигрыватель (автообновление отключено)
> cinetray.exe
идет совместно с Server4PC.exe, и ранее не был замечен в нарушении
> globax_daemon.exe
это прога для инэта, т.е. в общих чертах - "вырублю" ее - вырублю инэт
> Anatoly Podgoretsky © (16.07.07 16:46) [5]
Это прога для спутника через который я собственно и нахожусь в сети. Поэтому ей доверяю, как и всем вышеозначенным - так как "кражи" не наблюдалось ранее.
Какие еще есть способы "подсечь", когда упомянутые способы перепробованы? Никто не оказывался в такой щекотливой (даже наверно глупой) ситуации?
← →
@!!ex © (2007-07-16 17:06) [8]А че мешает троянцу сидеть в одной из запущенных прог?
← →
@!!ex © (2007-07-16 17:06) [9]Я имею ввиду, раньше положи JA ниче не качал, сейчас зараженный, вот и качает.
← →
vasIZmax © (2007-07-16 17:37) [10]Несколько странным кажется что нод неловит-то его, троянца (базы обнолены), а он меня еще не подводил, ему доверяю пока что.
Вот только что заметил через PE.
от диспечера очереди печати (spoolsv.exe) отделился CNAB4RPK.EXE и проявляет, имхо, сетевую активность, т.к. свойства->TCP/IP в разделе State написано listening.
Ни у кого не "подкрадывалась вражина" со стороны спойлера печати?
ЗЫ. сейчас поэкспериментирую
← →
Игорь Шевченко © (2007-07-16 17:53) [11]http://www.google.ru/search?hl=ru&q=CNAB4RPK.EXE&lr=
← →
_XXX_ (2007-07-16 17:56) [12]проверся AVZ"-ом на предмет перехвата API
← →
Rouse_ © (2007-07-16 18:40) [13]проверь через msinfo32 в списке драйверов наличие runtime2.sys - ежели есть, то поздравляю (чичас эпидемия этой гадости пошла, плюс этот рутки достаточно неотлаженный и периодически падает с BSOD-ом)
← →
vasIZmax © (2007-07-19 01:00) [14]
> _XXX_ (16.07.07 17:56) [12]
проверил, ничего такого сверх уж естественного.
> Rouse_ © (16.07.07 18:40) [13]
проверил - это зверька нет.
В итоге: как это не странно - это оказался кип, хотя раньше за ним такого замечено не было(!!!), т.е. я его только запустил(сообщения, ни какие никому не писал), и он начинает щелкать килобайты, вместо привычных байтиков... Переустановил, сейчас наблюдаю за его поведением.
← →
Германн © (2007-07-19 02:59) [15]
> В итоге: как это не странно - это оказался кип
Аська - это зло!
P,S, Это всё придумал Черчиль в восемнадцатом году!
:)
← →
Prohodil Mimo © (2007-07-19 12:47) [16]TCPView покажет кто куда ломится
← →
Loginov Dmitry © (2007-07-19 13:29) [17]На всякий случай загляни в %WINDOWS%\System32
Если заразился, то нечисть там чаще прячется (по дате смотри).
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2007.08.19;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.048 c
