Привет.
Windows 7 Home Premium 64bit
Начал замечать в логах роутера, что с мой компьютер время от времени пытается лезть на непонятные IP адреса.

Часть лога с роутера:
[INFO] Fri Jun 10 09:01:27 2011 Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO] Fri Jun 10 09:01:27 2011 Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)
[INFO] Fri Jun 10 09:01:21 2011 Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO] Fri Jun 10 09:01:21 2011 Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)
[INFO] Fri Jun 10 09:01:18 2011 Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO] Fri Jun 10 09:01:18 2011 Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)

Погуглив, выяснил, что это делает так называемый Host Procces For Windows Services, в простонародье c:\windows\system32\svchost.exe, в логах касперского входящий\исходящий трафик - 340\710 мб :o
Сканирование всеми возможными антивирусами результата никакого не дали, гугл подсказал, что возможно это может быть связано с работой службы "Фоновая интеллектуальная служба передачи (BITS)", отключил, нечего не поменялось.
В данный момент спасаюсь от кары одмина, забивая диапазоны IP адресов в сетевой экран касперыча :( Ломиться стало меньше, но не перестало, все равно время от времени всплывают новые IP

Что посоветуете ?:(

з.ы. Да, а что есть "Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)" ?

Зашел только что на вкладку "Internet Sessions" в роутере и офигел :o Это начало и конец лога. И между ними еще раз 20 по столько же.

Это штозанафик ?

korsh, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи (http://forum.oszone.net/post-717373-2.html).

To Mods. В случае отсутствия поводов для беспокойства, перенесите в Windows 7, пожалуйста.

Прикрепил логи.

з.ы. Да, а что есть "Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)" ? »
Ломится сюда http://www.e1.ru/
http://www.sitetrail.com/e1.ru

Ломится сюда
Мне больше интересно, почему ip в таком странном виде (0.0.194.102) и что за странный № протокола (protocol 3269628421) :)

и что за странный № протокола (protocol 3269628421) »
http://servisator.ru/service/ip/info/194.226.146.5

Спасибо, растолковали.

з.ы. По поводу 1го сообщения: удалил ipv6, путем добавления параметра в реестре (на этом сайте инструкция была) - вроде ломиться перестало.. Но темнеменее жду, пока кто-нибуть прокомментирует логи :)

korsh, привет

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

Если не ставили стартовой страницей в браузере
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.searchcompletion.com/?si=10197&home=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=audio&s={searchTerms}&f=4

Если не добавляли сами записи в файл Hosts
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 www.custom
O1 - Hosts: 127.0.0.2 custom


Если не ваши настройки в прокси
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*;test1.ru;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sowa.ru:3128



Если домен Domain = sowa.ru вам не знаком
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
017 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sowa.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sowa.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sowa.ru


Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
___________________________________

SolarSpark, привет, спасибо за рекомендации!
Лог прикрепил, нечего интересного в нем нет: только кряки и radmin :(

все в порядке? :)

Судя по логам - да :)

Включил сейчас протоколирование правил для отчета в KIS - на заблокированные адреса система продолжает лезть.
Про некоторые из них кое-что сказал гугль: чтото пренадлежит Adobe, чтото самому Гуглу, чтото microsoft.. По протоколу UDP лезет на 2001 внешний порт, по TCP - на 443.
Причем раньше такого не наблюдалось, одмин на прошлой неделе только активность эту увидел.
Какбэ нет сомнений в том, что это все таки не вирус, просто понять хочется, чего системе то надо :unsure:

чтото пренадлежит Adobe, чтото самому Гуглу, чтото microsoft.. »
Установленное ПО проверяет доступность обновлений у своего производителя.

Тоже так думал.
Но так же не бывает, что прям ВСЁ ПО одновременно начинает это делать! Там по 3 обращения в секунду было на разные ip-адреса.
Да и раньше такого не было, говорю же.