Что-то блокирует интернет

← →
Galera (2010-01-27 14:20) [0]

Webstream. Что-то периодически блокирует интернет.
Тех.поддержка говорит у вас все ОК.
Пинг вот такой:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Admin>ping 195.162.32.5 -t

Обмен пакетами с 195.162.32.5 по 32 байт:

Ответ от 195.162.32.5: число байт=32 время=58мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=93мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=77мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=37мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=31мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=30мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=45мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=31мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=30мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=168мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=29мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=28мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=96мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=40мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=200мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=47мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=28мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=48мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=166мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=49мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=31мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=30мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=129мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=29мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=188мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=33мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=95мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=201мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=42мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=40мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=34мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=28мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=164мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=58мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=82мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=28мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=121мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=49мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=59мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=33мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=87мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=72мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=30мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=52мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=39мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=43мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=42мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=37мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=56мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=35мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=194мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=43мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=86мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=44мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=36мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=35мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=48мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=31мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=29мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=105мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=40мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=29мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=46мс TTL=59
Ответ от 195.162.32.5: число байт=32 время=32мс TTL=59

Статистика Ping для 195.162.32.5:
Пакетов: отправлено = 69, получено = 69, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 28мсек, Максимальное = 201 мсек, Среднее = 61 мсек

Чем бы отследить виновника?

← →
KSergey © (2010-01-27 14:28) [1]

А где в этом пинге блокирование? есть периодическое увеличение времени ответа, так может это шейпер у провайдера так работает, например?

← →
Galera (2010-01-27 14:34) [2]

Это еще пинг более менее. Иногда и потери есть.
На практике в браузере видео запускаешь, оно до например 30% доходит и все, не докачивается. Также с изображениями.

Торенты конечно и качалки справляются с таким интернетом, но раньше было все в порядке.

← →
Игорь Шевченко © (2010-01-27 14:36) [3]

Microsoft Network Monitor не поможет ?

← →
KSergey © (2010-01-27 14:55) [4]

> Игорь Шевченко © (27.01.10 14:36) [3]
> Microsoft Network Monitor не поможет ?

Это ведь только снифер? я правильно понимаю?
А как можно прикрутить снифер для решения пдобного рода задач? научите, пожалуйста.

← →
Galera (2010-01-27 15:04) [5]

Установил, что с этим делать пока не знаю.

На скриншоте видна программа unknown которая чего постоянно делает,
список типа IPV4 и в скобах адреса постоянно растет

http://imageshost.ru/links/c389b86bea013c7f327b080ed865810c

← →
Anatoly Podgoretsky © (2010-01-27 15:24) [6]

> Galera (27.01.2010 14:20:00) [0]

Так пинг надо делать до момента блокировки. Далее tracert, дальше логи файрвола.

← →
Anatoly Podgoretsky © (2010-01-27 15:48) [7]

Galera (27.01.10 15:04) [5]
У тебя успешно трудится вирус, при том не один. Явно работают две зомби машины

← →
Galera (2010-01-27 15:55) [8]

И чем их лучше обезвредить?

> Anatoly Podgoretsky © (27.01.10 15:48) [7]
> Galera (27.01.10 15:04) [5] У тебя успешно трудится вирус,
> при том не один. Явно работают две зомби машины

И как ты определил что их две?
Для меня это филькина грамота на скриншоте.

← →
KSergey © (2010-01-28 11:25) [9]

> Anatoly Podgoretsky © (27.01.10 15:48) [7]
> У тебя успешно трудится вирус, при том не один.

Дядя Толя, а можно секрет фокуса раскрыть?

← →
Мимо не прошел (2010-01-28 11:46) [10]

На скрине видно, что-то ломится по разным адресам. Очень похоже на работу какого-нить Кидо или Салити.
В любом случае, в первую очередь - ERD Commander + CureIt и смотреть по результатам.

← →
boa_kaa © (2010-01-28 20:18) [11]

возьми tcpviewer, он понятнее покажет, если здесь непонятно

> KSergey © (28.01.10 11:25) [9]
> > Anatoly Podgoretsky © (27.01.10 15:48) [7]
> > У тебя успешно трудится вирус, при том не один.
>
> Дядя Толя, а можно секрет фокуса раскрыть?

а разве не видишь открытые соединения в разные стороны?

> boa_kaa (28.01.2010 20:18:11) [11]

Я вижу множестов соединений на два порта, подразумеваю, что это два разных вируса. А то что вирус сомнения нет, и то что это часть ботнет тоже.

> Anatoly Podgoretsky © (28.01.10 22:02) [12]

не пользовался network monitor"ом, обычно tcpviewer"ом
но судя по всему, открыт только один порт на удаленном и один на локальном, идет прямой обмен, скорее всего один троян, но для полноты мне не хватает скрина tcpviewer"а :)
в tcpviewer"е можно глянуть хоть, кто конкретно лезет, потом прошерстить этот процесс в process explorer"е, если он, конечно, сразу карты не откроет, а потом грохнуть без пощады нужный трэд или сам процесс
90% фигни убиваю именно так
оставшееся - сложнее, там чувствовать процесс надо :)

С портам я невнимательно смотрел, но в левом дереве количество соединений впечатляет. Конечно лучше бы Нетворк монитором это смотреть, а соединения на файрволе, это более точно.

← →
Galera (2010-01-29 15:14) [15]

> Anatoly Podgoretsky © (28.01.10 22:02) [12]
....., и то что это часть ботнет тоже.

Уже нет. Прибил мерзавца. Спасибо за добрый совет.

← →
Galera (2010-01-29 15:16) [16]

Сейчас Ping от 20 до 30 мс.

Что-то блокирует интернет Найти похожие ветки