#1
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 31 Январь 2013 — 11:35
Доброго времени суток, столкнулся с проблемой утечки интернет трафика, все случилось после того, как я установил на компьютер Windows 8 (возможно вирус был в образе диска, либо в лекарстве). Жесткий диск разбит у меня на 2 части, после полного форматирование диска с системой и с последующей установкой Windows 7 на него, все работало вполне нормально, до того момента, пока я не начел устанавливать программы (предполагаю, что вирус заразил все exe файлы). Сканировал систему с помощью CureIt, но не каких вредоносных программ обнаружено не было. За трафиком следил с помощью TCPView, в краткий период времени он выявлял различные соединения, идущие от процесса svchost.exe (C:WindowsSystem32svchost.exe). Вот не которые ip адреса: 77.67.4.49, 77.67.4.57, 77.67.4.67, 77.67.29.160, 77.67.29.169, 77.140.80.99, 79.140.81.59, 79.140.81.89, 195.27.183.158, 195.27.183.175 (стабильного адреса нет). Автоматическое обновление Windows и программ отключено, удалены не нужные интернет службы. Трафик отправляется по 2кб, каждые 3-5 секунд, принимается чуть реже, это при обычном подключении к интернету, когда ничего не используется. Если же начать работать с интернетом, а после завершить все приложения, то скорость трафика может самопроизвольно увеличится.
Для теста помимо логов загрузил активаторы, программу и svchost.exe, возможно потребуются ( http://f-bit.ru/64308 ).
Что порекомендуете сделать?
Прикрепленные файлы:
-
logs.rar 1,71Мб
4 Скачано раз
- Наверх
#2
Dr.Robot
Dr.Robot
-
- Helpers
- 2 980 Сообщений:
Poster
Отправлено 31 Январь 2013 — 11:35
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
— собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
- Наверх
#3
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 31 Январь 2013 — 11:53
Вывод netstat -a -b -n нужен.
- Наверх
#4
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 31 Январь 2013 — 13:50
Это при обычном включенном интернете, когда ничего не используется. Изначально грешил на программу PowerDVD, но после ее удаления положительных результатов не наступило. Периодически слышно как трещит жесткий диск, хотя никакой нагрузки с моей стороны на него не осуществляется.
- Наверх
#5
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 31 Январь 2013 — 14:46
Все три ключа надо указать. Одновременно. И не скрин, а лог вывода.
Сообщение было изменено v.martyanov: 31 Январь 2013 — 14:47
- Наверх
#6
userr
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 31 Январь 2013 — 14:49
NeoJoker666,
Смените аватару.
Модератор.
- Наверх
#7
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 31 Январь 2013 — 15:43
Вроде все правильно сделал…
- Наверх
#8
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 31 Январь 2013 — 17:23
Что-то у вас PowerDVD в сеть лезет. Снесите и проверьте.
- Наверх
#9
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 07:46
Снес, трафик вроде перестал течь, хотя раньше проблем с PowerDVD не наблюдалось.
Еще обнаружил утечку трафика при скачивании файлов с торрентов. Например: загрузил какой не будь файл, закрыл торрент клиент, но трафик при это не останавливает, а капает постоянно по 1-2 кб, каждые 2-3 секунды. С чем это может быть связано?
- Наверх
#10
l.e.e.
l.e.e.
-
- Posters
- 4 789 Сообщений:
Guru
Отправлено 01 Февраль 2013 — 08:22
С чем это может быть связано?
Становится на раздачу. Надо останавливать после закачки (не пауза).
Сиюминутное Ригпа бессущностно и ясно.
- Наверх
#11
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 09:49
Всем громадное спасибо за помощь!
- Наверх
#12
SergM
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 01 Февраль 2013 — 09:51
Надо останавливать после закачки (не пауза).
На торентах жадных не любят.
- Наверх
#13
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 10:04
Все ровно странно, трафик куда-то плывет. Зашел на сайт dr.web’a, далее закрыл браузер, а трафик продолжает отправляться (примерно по 1кб в 10 секунд).
- Наверх
#14
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 11:14
За 20 минут набежало.
- Наверх
#15
SergM
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 01 Февраль 2013 — 11:25
80 кб за 20 минут? Ничего страшного.
109.110.60.102 это Ваш провайдер (Владивосток)?
- Наверх
#16
pig
pig
-
- Helpers
- 10 828 Сообщений:
Бредогенератор
Отправлено 01 Февраль 2013 — 11:26
Если у вас компьютер одинокий, отрубите на нём вообще клиента сети MS от сетевых адаптеров. Незачем себя наружу светить. А L2TP, IMHO, так и будет контрольные пакеты гонять, пока не отключитесь от интернета.
Почтовый сервер Eserv тоже работает с Dr.Web
- Наверх
#17
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 12:10
80 кб за 20 минут? Ничего страшного.
Это после просмотра сайтов с накруткой в 5 мегабайт, если же посмотреть видео, а потом закрыть все приложения, то скорость моментально увеличивается, принимает по 2-3 кб каждую секунду.
109.110.60.102 это Ваш провайдер (Владивосток)?
Да.
Если у вас компьютер одинокий, отрубите на нём вообще клиента сети MS от сетевых адаптеров.
Я так и сделал.
- Наверх
#18
pig
pig
-
- Helpers
- 10 828 Сообщений:
Бредогенератор
Отправлено 01 Февраль 2013 — 12:32
если же посмотреть видео, а потом закрыть все приложения, то скорость моментально увеличивается, принимает по 2-3 кб каждую секунду.
Тоже L2TP?
Почтовый сервер Eserv тоже работает с Dr.Web
- Наверх
#19
NeoJoker666
NeoJoker666
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 01 Февраль 2013 — 14:47
Не знаю в чем загвоздка, поможете разобраться? Просканировал сниффером (Wireshark) трафик, вот 10 минутный отчет.
- Наверх
#20
v.martyanov
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 01 Февраль 2013 — 15:00
Не канает. Нужен pcap-файл.
- Наверх
Вы каждую неделю проверяете компьютер на вирусы, вовремя обновляете системы и программы, устанавливаете сложные пароли и вообще ведете себя осторожно… но почему-то тормозит Интернет, а некоторые сайты совсем отказывают в доступе? Дело может быть в зловреде, который поселился не в вашем компьютере, а в роутере.
Зачем преступникам роутеры
Злоумышленники выбирают роутеры во многом потому, что через них проходит весь трафик сети, и при этом стандартные антивирусы их не проверяют. Таким образом, у зловреда, поселившегося в роутере, возникает много возможностей для атаки и меньше шансов, что его обнаружат. Вот что преступники могут сделать с зараженным маршрутизатором.
Создать ботнет
Один из наиболее распространенных случаев — зараженный роутер становится частью ботнета, то есть сети устройств, которые отправляют множество запросов на некий сайт или онлайн-ресурс во время DDoS-атак. Цель преступников — довести ресурс до такого состояния, когда он уже не сможет справляться с загрузкой, начнет тормозить и в итоге выйдет из строя.
Тем временем обычный пользователь, чей роутер захватили злоумышленники, расплачивается за это падением скорости Интернета из-за того, что во время DDoS-атаки маршрутизатор занят отправкой вредоносных запросов, а остальные он передает «как придется».
По нашим данным, в 2021 году наиболее активно атаковали роутеры два семейства зловредов — Mirai и Mēris. Причем первый лидирует с огромным отрывом — на него вообще приходится почти половина всех атак на роутеры.
Mirai
Семейство зловредов со звучным именем Mirai (в переводе с японского — «будущее») известно с 2016 года. Помимо роутеров его жертвами становятся IP-камеры, «умные» телевизоры и другие IoT-устройства, в том числе корпоративные — беспроводные контроллеры и цифровые рекламные панели. Изначально ботнет Mirai был задуман для проведения масштабных DDoS-атак на серверы Minecraft, а потом стал использоваться и для атак на другие ресурсы. Исходный код зловреда давно утек в Сеть, и на его базе создаются все новые варианты.
Mēris
Mēris не зря назвали латышским словом «чума». Он поразил уже тысячи высокопроизводительных устройств, в основном роутеров MikroTik, и связал их в сеть для последующих DDoS-атак. Так, во время мощнейшей атаки на «Яндекс», «Сбербанк» и ряд других российских компаний в 2021 году число запросов от созданной Mēris сети устройств доходило до 21,8 миллионов в секунду.
Украсть данные
Некоторые зловреды, заражающие роутер, могут нанести ущерб и посерьезнее — например, украсть ваши данные. Пользуясь Интернетом, вы передаете и получаете много важной информации: вводите платежные данные в онлайн-магазинах, проходите аутентификацию в соцсетях, отправляете по почте рабочие документы. Все эти сведения вместе с остальным сетевым трафиком неизбежно проходят через роутер. Если роутер заражен, то зловред может их перехватывать и отправлять прямо в руки преступника.
Один из таких зловредов, ворующих пользовательские данные, — VPNFilter. Он заражает роутеры и NAS-серверы, после чего может собирать информацию, отдавать роутеру команды и выводить его из строя.
Подменить сайты
Засевший в роутере зловред может незаметно перенаправлять вас на страницы с рекламой или вредоносные сайты вместо тех, куда вы пытались попасть. Вы (и даже ваш браузер) будете думать, что переходите на легитимный ресурс, а на самом деле попадете в руки к кибернегодяям.
Работает это так: когда вы вводите в адресной строке URL какого-либо сайта, например google.com, компьютер или смартфон посылает запрос специальному DNS-серверу — там хранятся все зарегистрированные IP-адреса и соответствующие им URL. Если роутер заражен, вместо легитимного DNS-сервера он может отправлять запросы на поддельный, который будет отвечать на запрос «google.com» IP-адресом совершенно другого сайта — к примеру, фишингового.
Троян Switcher известен как раз тем, что проникал в настройки роутера и выставлял в них адрес вредоносного DNS-сервера «по умолчанию». Естественно, все данные, введенные на поддельных страницах, утекали к злоумышленникам.
Как зловреды проникают в роутеры?
Есть два основных способа «подселить» зловреда в роутер — подобрать к устройству пароль администратора, чтобы иметь возможность им управлять, или воспользоваться его уязвимостями.
Подбор пароля
Как правило, во всех роутерах одной модели еще на этапе производства устанавливается один и тот же пароль администратора. Речь идет не о тех символах, которые вы вводите при подключении к Wi-Fi, а о пароле, который нужен для входа в меню настроек роутера. Если пользователь по незнанию оставил на нем заводские настройки, злоумышленники могут быстро подобрать верный пароль, особенно если поставщик устройства им уже известен.
В последнее время производители начали задумываться о безопасности своих устройств и присваивать им уникальные пароли, поэтому эффективность подбора упала. Однако «угадать» подходящую комбинацию для старых моделей все еще несложно.
Эксплуатация уязвимостей
Уязвимости в роутере — это дыры в ваших воротах в Интернет, через которые в домашнюю или корпоративную сеть может пробраться множество различных угроз. А может и не пробираться, а остаться на самом роутере, где их сложнее заметить. Ботнет Mēris, о котором мы говорили ранее, как раз эксплуатирует незакрытые уязвимости роутеров MikroTik.
По данным нашего исследования, только за два предыдущих года в роутерах выявили несколько сотен новых уязвимостей. Чтобы защитить уязвимые места, производители роутеров выпускают патчи и новые версии прошивок (по сути — операционных систем) для них. К сожалению, многие пользователи попросту не знают, что роутер необходимо обновлять — так же, как и остальные программы.
Как защитить свою сеть?
Если вы хотите защитить домашний или корпоративный роутер и сохранить свои данные в безопасности….
- Хотя бы раз в месяц проверяйте на сайте производителя, не появились ли актуальные обновления прошивки роутера. Устанавливайте их сразу, как только они станут доступны. Для некоторых моделей патчи приходят автоматически, но иногда их нужно устанавливать вручную. Узнать, как обновить ПО вашего устройства, можно также на сайте поставщика.
- Придумайте длинный и сложный пароль администратора для своего роутера. А чтобы не забыть комбинацию, используйте менеджер паролей.
- Отключите удаленный доступ к настройкам администратора для вашего роутера, если вам хватит квалификации или вы найдете инструкцию — на том же сайте производителя, например.
- Правильно настройте Wi-Fi: придумайте уникальный пароль и выберите надежный вариант шифрования данных, включите гостевую сеть — так недобросовестные или просто безалаберные гости и соседи не наплодят в вашей сети зловредов со своих зараженных устройств.
- А приложение для создания защищенного соединения зашифрует всю передаваемую информацию до отправки на роутер и не даст преступникам собрать ценные сведения, даже если они его заразили.
Их полно вирусов, которые могут занять трафик. Но также есть вполне приличные программы от своего же провайдера, которые напрасно гонят трафик. Но ларчик тут просто открывается — провайдеру выгодно, что вы быстрее израсходовали свой трафик и купли у него «еще немножечко трафика»! Воровство у них в крови и на этом у них фундамент основан.
Еще одной из причин может быть просто испорченная программа, которая постоянно делает запросы, из-за чего тратится много трафика.
Поставьте фаервол, он вам покажет, кто куда и сколько пакетов отсылает. А там уже разберетесь. А можно установить полный пакет, с антивирусом, фаерволом и защитой файлов. Они бесплатны и для дома их вполне хватает.
1) Можно сделать откат системы до даты начала возникновения проблем. Для этого заходим в свойства сисетмы -> защита системы.
2) Грузитесь с Live CD с модернизированной Windows PE, например Alkid. Настройте интернет, проверьте скорость.
Для чего? А для того что бы 100% быть увереным что физически канал работает хорошо.
3) Если все в режиме Live CD работает хорошо, то проблема в Windows 7. Для этого надо удалить все рекламное ПО, просканировать на вирусы через LIVE CD (http://support.kaspersky.ru/viruses/rescuedisk). Зачем? А затем что некоторые вирусы невозможно обнаружить в рабочей Windows (руткиты).
4) Скачать Sysinterlanls suite (http://technet.microsoft.com/e… 42062.aspx) от Марка Руссиновича, запустить tcpview и смотреть кто и куда бегает.
5) Проснифать трафик либо на самом копьютере (может не получиться), на роутере. Посмотреть куда идет трафик, и что внутри. Для этого качаем WireShark.
6) Зайти на бесплатный VPN (порт 1723 и 47), и черзе него использовать интернет. (только для теста, никакого банкинга и почтовых ящиков).
Добавлено через 1 час 0 минут
Добавлю:
1) Пуск — выполнить — mrt. Проверить на малварь.
2) Пуск — выполнить — sigverif — Проверить цифровые подписи драйверов.
3) Из sysinternals или диспетчера задач найти файл процесса физически, проверить его. Забить имя и размер в поисковике. + Если можешь то посмотреть список подключенных dll.
4) Многие палятся на дате создания файла, проверь директорию Windows на новые файлы со дня проблемы. (сортировать по дате).
Мой интернет постоянно «виснет».Я опишу как.При закачке файла скорость колеблется +/- 50kb,затем начинает медленно падать и исчезает вовсе,а через 30-40 сек. вновь появляется.И так происходит систематически.Пробовал загружать с разных серверов и разными прогами.При игре онлайн ужасные лаги.Потоковое видео грузит медленно.Звонил своему оператору,говорят у них все в порядке.Пропинговал с ними инет.Переодически появлялось сообщение: «превышен интервал ожидания для запроса».Команда netstat показала минимум 6 активных подключений.Сказали проверять на вирусы.Поверил на вирусы Касперским,Dr.Web,avast,Panda,Microsoft SE,Spiware Terminator,Spiware Doctor.Делал откат системы — не помогло.Винду не охота сносить.Что делать?Это вирус?Как вылечит комп? 