Перейти к содержанию

Идет большой трафик


Сергей Яковлевич

Рекомендуемые сообщения

Подключаюсь к интернету, ничего не качаю и даже не запускаю еще IE, а мегабайты уже летят, как сумасшедшие. Причем на отправку - больше, чем на прием. Уже был похожий вопрос. Там больше мегабайт летело на прием. У меня скорость еще выше: см. картинку. По расчету за час должно в сумме набежать ок. 30 Мб. Фактически получается еще больше. Наверно со временем еще ускоряется.

 

На тот вопрос в теме не ответили, может быть лично написали, не знаю. Предложили исследовать систему и отправить специалистам протоколы. Я последовал этому совету и отправляю свои протоколы. Не сердитесь, если что-то не так сделал, все-таки тема очень сложная, а я не такой уж специалист. Если не сможете определить в чем дело, то хотя бы выскажите свои соображения или предположения.

 

Кстати, как картинку непосредственно в текст вставить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

HJT_GSI.zip

Risunok.zip

Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\drivers\Mgl37.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Mgl37.sys');
BC_DeleteSvc('Mgl37');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

Если будет возникать ошибка при выполнении скрипта удалите вторую и третью строчки.

Затем выполните скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantinefk4539.zip');
end.

 

Вышлите файл quarantinefk4539.zip из папки с АВЗ на адрес 54712@rambler.ru

 

Повторите логи АВЗ.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

В компьютерном еженедельнике "UP"-официальный сайт http//www. upweek.ru, за номером 39(336) за 2007 год,в разделе Техподдержки,на 40 странице, был поставлен очень похожий вопрос-использовался ADSL. ,так специалист из техподдержки, уважаемый Сергей Трошин, постарался подробно осветить эту тему,ставшую такой актуальной в последнее время.

Ежели где найдете этот материал-могло бы помочь... Еще редакция еженедельника напоминает,что ииеется конференция по адресу:

http//www.computery.ru/conf на этом сайте может быть удасться прочитать информацию по тематике...

Ссылка на комментарий
Поделиться на другие сайты

Большое спасибо! Сейчас буду пробовать.

У меня такое чувство, что кто-то через мой компьютер производит рассылку или что-то подобное. Я сегодня посмотрел статистику по своему трафику. Получается около 1 Мб в минуту. Это очень много.

 

wise-wistful, сделал, что вы предложили и вам отправил.

 

Сейчас подключался к ByFly (если вы не в курсе, это скоростной Интернет в Беларуси) по гостевому доступу, т.е. доступ только на сервер ByFly. Разительный контраст: за 12 минут – ок. 400 Кб (Килобайт). Напомню, по оплачиваемому трафику – больше 1 Мб в минуту.

Ссылка на комментарий
Поделиться на другие сайты

Высылаю последние логи.

Одновременно сообщаю радостную новость: после последнего прогона всей процедуры, трафик резко упал. Ну вот сейчас за 7 минут - 700 Кб. Это в десять раз с лишним меньше, чем еще вчера.

Что это было? По-моему программа поймала какой-то вирус. Это он?

virusinfo_syscheck.zip

002.zip

Ссылка на комментарий
Поделиться на другие сайты

Сергей Яковлевич, Скачайте IceSword.

 

Запустите программу.

Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\drivers\Mgl37.sys.

Нажмите по нему правой кнопкой мыши и выберите Copy to.

Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу набирите произвольное имя файла, например malware.

Скопированный файл заархивируйте под пароль virus и вышлите на адрес 54712@rmbler.ru

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\drivers\Mgl37.sys.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Повторите лог virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

При помощи АВЗ--сервис--поиск файлов на диске поищите Mgl37.sys. Если найдётся дайте в теме полный путь к нему, если нет, тогда выполните в АВЗ

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('Mgl37.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

и повторите лог virusinfo_syscheck.zip.

 

Если при помощи АВЗ найдёте такой файл, полный путь к нему дайте в теме, а скрипт выполнять и лог не нужно.

Ссылка на комментарий
Поделиться на другие сайты

Огромное спасибо wise-westful за помощь!

Пожалуйста, сообщите ваше настоящее имя, страна должна знать своих героев.

И было бы интересно узнать последнее резюме. Что это был за вирус? Я, хоть и следовал вашим рекомендациям, но совершенно не понимал, что происходит. А всё было захватывающе, в духе "ночного дозора".

Большое спасибо всем, кто следил за событиями и высказывал свои пожелания: Dimya, akoK и другим неизвестным.

 

Что я могу сделать полезного для вас?

Изменено пользователем Сергей Яковлевич
Ссылка на комментарий
Поделиться на другие сайты

Сказать трудно кто это был. Руткит какой-то скорее всего, но какой, кто его знает в карантин не захотел. Странно что он один был, но это и к лучшему.

Насчёт имени и страны в Рунете я известен как wise-wistful, а моё настоящее имя никому (ну почти никому) ничего не говорит. Надеюсь, что и на западных форумах скоро буду немного известен, по крайней мере прохожу там на одном из форумов проверку знаний на право иметь статус helper на западных сайтах. О стране. так я из Украины, а Вы из Белорусии, насколько я понял. Если хотите немного лучше понять, что я делал - читайте справку АВЗ, весьма полезная и эффективная утилита. При условии обновления и регулярного сканирования системы она сама кое-кого из врагов сносит. Если будут проблемы обращайтесь, постараемся помочь.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • E.K.
      От E.K.
      Всем привет!

       

       
      Фото-видео материалов терабайта два, не меньше. Впечатлений и эмоций море-океаны. Продолжение следует.
    • Auyr
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • Vadya
      От Vadya
      здравствуйте! заметил, что svchost жрет трафик. а еще на одном сайте написано, что если службы svchost запущены не от системы а от пользователя верный признак вирусни. а у меня некоторые запущены от пользователя. а еще при сканировании аутологер выдал отладчик процесса "compattelrunner.exe в системном процессе svchost. 
      CollectionLog-2023.10.20-09.12.zip
    • KL FC Bot
      От KL FC Bot
      Уже через год Google планирует прекратить в своем браузере Chrome поддержку так называемых сторонних кукис — технологии, которую долгие десятилетия использовали интернет-рекламщики для отслеживания пользователей.
      Разумеется, это вовсе не означает, что такой слежки больше не будет: было бы странно, если бы крупнейшая технологическая компания, которая зарабатывает исключительно на онлайн-рекламе, добровольно отказалась от возможности собирать данные о пользователях. Сторонним кукис придет на смену новая технология — Google Ad Topics. По сути, она уже пришла: за это лето Google встроила Ad Topics в браузер Chrome, и недавно технологию начали раскатывать уже и в операционной системе Android.
      В этом посте разберемся с тем, как работает Ad Topics, где эту штуку можно отключить в настройках Chrome и Android и что еще стоит сделать, чтобы избежать слежки со стороны онлайн-рекламщиков.
      Немного истории: Google Privacy Sandbox и FLoC
      Начнем, впрочем, немного издалека — с Google Privacy Sandbox. Таким образом в Google назвали всю инициативу по отказу от сторонних кукис и замене их для выдачи таргетированной рекламы какими-то иными технологиями. Впервые об этой инициативе в Google заговорили еще в августе 2019 года — как видите, на разработку конкретных решений, с помощью которых можно было бы реализовать отказ от кукис, компании Google потребовалось целых четыре года.
      Суть этой инициативы состоит в том, чтобы, с одной стороны, отбросить технологию, которая всеми уже прочно воспринимается как нарушение приватности. А с другой стороны — продолжить каким-то образом показывать пользователям персонализированную рекламу, сохраняя то конкурентное преимущество, которое позволило Google стать интернет-гигантом.
      Если посмотреть статью в Википедии про Privacy Sandbox, то в глаза бросается длиннющий список технологий-кандидатов, с помощью которых Google планировала отказаться от сторонних кукис. Однако еще в 2021 году звание основного кандидата получила технология под названием Google FLoC. Поговорим о ней чуть подробнее.
       
      Посмотреть статью полностью
    • achskull90
      От achskull90
      Блокируется шифрованный трафик расширения VPN в браузере Edge 124.0.2478.51 при активном антивирусе Kaspersky 21.17.7.539. 
       
      Вчера обновился антивирус до версии 21.17 и заметил данную проблему (на версии 21.16 такой проблемы не было) в браузере. Если антивирус выключить или в настройках антивируса для браузера активировать параметр не проверять зашифрованный трафик, то расширение начинает работать, то есть пропускать зашифрованный трафик через себя... 
       
      Разработчики, прошу, решить данную проблему. 
       
×
×
  • Создать...