Непрерывно растет входящий трафик. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)

- - Непрерывно растет входящий трафик. (http://forum.oszone.net/showthread.php?t=84787)

Непрерывно растет входящий трафик.

Недавно появилась проблема. Как только комп подключается к сети, в окне состояния сетевого подключения начинает быстро и непрерывно расти цифра исходящего трафика. Даже если никаких действий не происходит, никаких программ не открыто. Входящий тоже растет, но мало. Комп, соответственно, тормозит, будто жутко загружен, в инете работать невозможно, все очень медленно. Проблема одинакова на всех подключениях (выделенка и модем).
Почистила от вирусов. Было дня три, когда все успокоилось, и тут снова...
Подскажите, что это может быть и что с этим делать.

http://tomcoyote.org/hjt/hjt199//hijackthis.zip Скачай эту программу, выполни сканирование и выкладывай отчет здесь.

Вирусы однозначно! Проверяться и лечиться!

Severny

Logfile of HijackThis v1.99.1
Scan saved at 20:47:40, on 31.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Work\Antivir\DrWeb\spidernt.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Work\Office\PSw\ps.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Work\Antivir\DrWeb\SpiderNT.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Work\Cmnd\TotalCmd70rc2\TOTALCMD.EXE
C:\Мои документы\Мои закачки\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\work\Office\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\Work\Internet\Zakach\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Work\Internet\Zakach\Download Master\dmbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Work\Internet\Zakach\ReGetDx\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpIDerNT] C:\Work\Antivir\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Work\Office\PSw\ps.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\Work\Office\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Work\Internet\Zakach\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Work\Internet\Zakach\Download Master\dmie.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Work\Internet\Zakach\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Work\Internet\Zakach\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Work\Office\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3C7A0F8-D938-4E18-B186-E24C406DFDE8}: NameServer = 212.120.160.139 212.120.160.130
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_6.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: Служба администрирования диспетчера логических дисков dmadminSSDPSRV (dmadminSSDPSRV) - Unknown owner - C:\WINDOWS\system32\1033v.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Work\Antivir\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Кто-то в этом что-то понимает?... )

1. Пуск-- выполнить--msconfig. На вкладке "автозагрузка" убери галочки с файлов, относящихся к обновлениям Corel.
Имеют вид ISUSPM Startup, ISUSScheduler.
Там же отключи Messenger (если не пользуешься).
2. Отключи в службах ( поставь "отключено"):
Диспетчер сеанса справки для удаленного рабочего стола
NetMeeting Remote Desktop Sharing
Служба администрирования диспетчера логических дисков (обязательно. Это зараза). Вожможно, что у тебя их две будет. Одна настоящая, другая - зараза.
3. В Hijack пофикси (отметь галочкой и нажми Fix)
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_6.dll

O23 - Service: Служба администрирования диспетчера логических дисков dmadminSSDPSRV (dmadminSSDPSRV) - Unknown owner - C:\WINDOWS\system32\1033v.exe

Пробуй. О результатах отпишись, а лучше заново выложи лог после лечения.

З.Ы. ты Dr.Web обновляешь? Желательно файрволл поставить.

Severny

Messenger не нашла. По крайней мере, под таким именем.

Все остальное сделала, но ничего не изменилось.
За прошедшее время еще поставила Outpost. Тоже молчит насчет трафика. ((

Лог:

Logfile of HijackThis v1.99.1
Scan saved at 23:55:22, on 31.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Work\Antivir\DrWeb\spidernt.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Work\Office\PSw\ps.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Work\Internet\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Work\Antivir\DrWeb\SpiderNT.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Work\Internet\Browser\Maxton\maxthon\Maxthon.exe
C:\Work\Cmnd\TotalCmd70rc2\TOTALCMD.EXE
C:\Мои документы\Мои закачки\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\work\Office\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\Work\Internet\Zakach\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Work\Internet\Zakach\Download Master\dmbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Work\Internet\Zakach\ReGetDx\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpIDerNT] C:\Work\Antivir\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Outpost Firewall] C:\Work\Internet\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Work\Internet\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Work\Office\PSw\ps.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\Work\Office\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Work\Internet\Zakach\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Work\Internet\Zakach\Download Master\dmie.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Work\Internet\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Work\Internet\Zakach\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Work\Internet\Zakach\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Work\Office\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3C7A0F8-D938-4E18-B186-E24C406DFDE8}: NameServer = 212.120.160.139 212.120.160.130
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Work\Internet\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Work\Antivir\DrWeb\SpiderNT.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Думаю, стоит также воспользоваться TCPView. Эта утилита от Sysinternals покажет сетевые соединения и процессы, которые их инициировали. Когда программа будет идентифицирована, надо будет вручную в реестре вычистить все упоминания о ней. И в файерволе надо закрыть почти все порты, оставить только то, что действительно необходимо (почта, веб).
В списке мне не нравятся сл. вещи:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Может, я ошибаюсь, но убрав их мы ничего не потеряем. Ну, также стоит попробовать разные программы, например avz и AdAware

В Outpost надо посмотреть сетевую активность. К сожалению, у меня стоит другой фаерволл, и я не помню, на какой вкладке смотреть активность в Outpost.
СкачайтеTcpView, ссылку на который дал dimich22. В нем видно, какие приложения активны.

Если не получится, нужно будет провести сканирование с помощью AVZ.
Скачайте и запустите сканирование этой программой http://www.atribune.org/public-beta/VundoFix.exe

P.S. Обновление Corel осталось запущенным. Вы компьютер не перезагрузили чтоли? Перегрузить надо было обязательно.
Процессы то запущенные мы не фиксим.

dimich22

Цитата:

В списке мне не нравятся сл. вещи

Не надо убирать. Это драйвера nVidia.

Severny
Раз nVidia, тогда оставим. Бывает, просто вирусы маскируются под существующие программы. Однажды видел вирус, который прописывался в реестре как NortonAntivirus))

Не знаю, что именно из предложенного помогло, но пока все успокоилось. Еще drWeb нашел-почистил пару вирусов, которых раньше не находил. Надеюсь, больше не будет таких косяков.
Спасибо всем. Если повторится, приду снова. )

iriss
На будущее обязательно нужно ставить файерволл. Порекомендую простой, понятный, с бесплатной регистрацией: Ashampoo. Отслеживает всю сетевую активность, т.е. будет спрашивать что делать с каждой программой, которая пытается вылезть в инет. Он на русском и понятен. Будет нужно, пиши на PM, скину.

Попробуйте на всякий случай провериться из-под чистой системы. Существуют звери, которые при попытке проверки из-под зараженной системы выгружают антивирус.