Internetni promet na maksimum brez razloga?
- Ustvarjalec teme fikus
- Začetni datum
Vem, da bi v tem času lahko že parkrat na novo namestil cel sistem, ki ga tudi bom.
Ampak to temo sem predvsem odprl zato, da o tej zadevi zvem kaj več in se naučim v bodoče proti tem proxijem tudi bolje zaščititi.
Najbližji PID je imel nek nsisrv in mislim, da je on krivec-enostavno sem ga zaprl in bom videl, če se še kdaj pojavi.
Me pa še posebej zanima kako se tako zadevo dobi-se ga dobi izključno z nameščanjem kakšnih okuženih programov ali tudi preko kakšne spletne strani na daljavo(da bom v bodoče še bolj pazljiv) in katere Firewale ter AV programe imate sami?
Bi pomagalo, če bi vse sumljive stvari-keygene, activatorje in podobno v bodoče odpiral izključno na virtualnem PCju ali lahko tudi iz virtualnega PCja okužijo sistem?
Ampak to temo sem predvsem odprl zato, da o tej zadevi zvem kaj več in se naučim v bodoče proti tem proxijem tudi bolje zaščititi.
Najbližji PID je imel nek nsisrv in mislim, da je on krivec-enostavno sem ga zaprl in bom videl, če se še kdaj pojavi.
Me pa še posebej zanima kako se tako zadevo dobi-se ga dobi izključno z nameščanjem kakšnih okuženih programov ali tudi preko kakšne spletne strani na daljavo(da bom v bodoče še bolj pazljiv) in katere Firewale ter AV programe imate sami?
Bi pomagalo, če bi vse sumljive stvari-keygene, activatorje in podobno v bodoče odpiral izključno na virtualnem PCju ali lahko tudi iz virtualnega PCja okužijo sistem?
Radirko ti očitno obvladaš, daj mi povej, če se take vrage, dobi samo preko namestitve kakšnega skrekanega programa ali mi lahko to kdo naloži samo preko obiska kakšne internetne strani?
Pa katere programe sam uporabljaš proti temu.
Je pa proces očitno skrit, ker promet gre na maksimum, wireshark leti, v task managerju pa programa s tistim PID ni.
Pa katere programe sam uporabljaš proti temu.
Je pa proces očitno skrit, ker promet gre na maksimum, wireshark leti, v task managerju pa programa s tistim PID ni.
Po zaslugi bugastega IE sem enkrat tudi sam pokasiral zbirko redirecterjev/trojancev, tako da lahko potrdim: seveda se kaksno slabo stvar lahko dobi z obiskom kaksne strani z bugstim brskalnikom in prenizko stopnjo izbircnosti kar se tice izvajanja skript, kontrolnikov, itd. Ce bi brskalnik pocel samo to, kar vecina ljudi misli da naj bi pocel (torej renderiral HTML dokumente), potem taklih varnostnih lukenj sploh ne bi moglo biti. Jaz sem vse skupaj staknil na eni strani s podnapisi, opravljeno je bilo v parih sekundah, tako da niti nisem mogel odreagirati, potem sem pa celo popoldne pospravljal nesnago ... Tezko je najti kompromis med omejevanjem funkcij brskalnika in zmazki od strani, kakrsne zdaj ustvarjajo - ce hoces videti vsebino, moras pogosto dovoliti vec, kot bi bilo zdravo.
Ne razumem pa zakaj sprasujes take hipoteticne stvari, o katerih je mnogo napisano po forumih, revijah, itd., saj se vedno ne ves kaj je tisto, kar pri tebi generira promet. Ce hoces 100% zanesljivost, potem odklopi kabel.
Wireshark imas, pusti skatlo pri miru, da zajema promet (sam ne ustvarjaj dodatnega prometa, ki bi se ti mesal v rezultate ... ze tako bodo Windowsi nasmetili dovolj vmes in bos moral ugotavljati kaj je upraicen promet in kaj ni), potem pa poglej kaj konkretno se tvoj racunalnik pogovarja z drugimi. Ne bi me presenetilo, ce bi se iskazalo, da ti isces napacne stvari, ker si se pac zapicil v tisti en IP (v mnozici drugih).
Ne razumem pa zakaj sprasujes take hipoteticne stvari, o katerih je mnogo napisano po forumih, revijah, itd., saj se vedno ne ves kaj je tisto, kar pri tebi generira promet. Ce hoces 100% zanesljivost, potem odklopi kabel.
Wireshark imas, pusti skatlo pri miru, da zajema promet (sam ne ustvarjaj dodatnega prometa, ki bi se ti mesal v rezultate ... ze tako bodo Windowsi nasmetili dovolj vmes in bos moral ugotavljati kaj je upraicen promet in kaj ni), potem pa poglej kaj konkretno se tvoj racunalnik pogovarja z drugimi. Ne bi me presenetilo, ce bi se iskazalo, da ti isces napacne stvari, ker si se pac zapicil v tisti en IP (v mnozici drugih).
Evo sedajle mi je promet spet šel na maksimum in spet isti IP-v Wiresharku mi napiše to:
90.157.151.230 89.212.150.51 TCP mc-brk-srv > http [ACK] Seq=1 Ack=65320577 Win=65535 Len=0
Če prav te šifre razumem je na mojem računalniku en mc-brk-server.
Vsekakor ne gre za nobeno posodobitev in nobeno želeno prenašanje tako, da tukaj nekdo nekaj dela z mojim računalnikom brez moje volje.
Netstat -aon prav nič ne pomaga, ker PID, ki je za tisto ip številko med procesi sploh ne obstoja, ostalih programov pa ne vem kako naj sploh uporabljam.
Bi pa rad izvedel imena datotek, ki jih prenaša?
Uporabljam FF, ki pa mislim, da ni prav nič bolj varen kot IE(glede na to, da mi po nekajurni uporabi pobere tudi 500MB sistemskih sredstev) in mi sem ter tja za kakšno sekundo popolnoma zamrzne računalnik je očitno ravno tako zelo bugast.
Se za Chrome, da dobiti enake razširitve kot so za ff?
Vidim pa, da tisti, ki res obvlada lahko vdre v računalnik tudi samo prek obiska spletne strani-ne vem pa zakaj Bitdefender total tega ni sposoben preprečiti?
Bi pa prosil kaj točno je naloženo na tej strani http://dvb-t.apek.si/forum?index
da mi skoraj vedno po obisku te strani promet nabije na maksimum in ostane ne glede ali imam brskalnik odprt ali ne?
Doto je nekaj odkril ampak nimam pojma kaj.
Lp
90.157.151.230 89.212.150.51 TCP mc-brk-srv > http [ACK] Seq=1 Ack=65320577 Win=65535 Len=0
Če prav te šifre razumem je na mojem računalniku en mc-brk-server.
Vsekakor ne gre za nobeno posodobitev in nobeno želeno prenašanje tako, da tukaj nekdo nekaj dela z mojim računalnikom brez moje volje.
Netstat -aon prav nič ne pomaga, ker PID, ki je za tisto ip številko med procesi sploh ne obstoja, ostalih programov pa ne vem kako naj sploh uporabljam.
Bi pa rad izvedel imena datotek, ki jih prenaša?
Uporabljam FF, ki pa mislim, da ni prav nič bolj varen kot IE(glede na to, da mi po nekajurni uporabi pobere tudi 500MB sistemskih sredstev) in mi sem ter tja za kakšno sekundo popolnoma zamrzne računalnik je očitno ravno tako zelo bugast.
Se za Chrome, da dobiti enake razširitve kot so za ff?
Vidim pa, da tisti, ki res obvlada lahko vdre v računalnik tudi samo prek obiska spletne strani-ne vem pa zakaj Bitdefender total tega ni sposoben preprečiti?
Bi pa prosil kaj točno je naloženo na tej strani http://dvb-t.apek.si/forum?index
da mi skoraj vedno po obisku te strani promet nabije na maksimum in ostane ne glede ali imam brskalnik odprt ali ne?
Doto je nekaj odkril ampak nimam pojma kaj.
Lp
Na daljavo je težko pametovat, kaj je vzrok, ker lahko le ugibaš. Glede procesov lahko uporabiš tudi process explorer , ki ti nudi malo več informacij od task managerja.
Jaz bi na tvojem mestu poiskal nekoga, ki to bolj obvlada. Ali pa enostavno postaviš sistem iz nule. Če gre za rootkit, ga je itak težko spraviti dol. Antivirus ni vsemogočni, v večini primerov te varuje le pred prehitrimi prsti (ko neko stvar prehitro zaženeš).
Jaz bi na tvojem mestu poiskal nekoga, ki to bolj obvlada. Ali pa enostavno postaviš sistem iz nule. Če gre za rootkit, ga je itak težko spraviti dol. Antivirus ni vsemogočni, v večini primerov te varuje le pred prehitrimi prsti (ko neko stvar prehitro zaženeš).
A process explorer je zastonj-jaz ga pa brez uspeha iščem na vseh mogočih torrentih
))
Sistem bom itak naložil na novo in me sploh ne zanima kako tega vraga odstraniš.
Bolj me zanima kako ga ponavadi dobiš?
Zanima me kaj ima od tega početja ter katere datoteke sploh prenaša-gre pri teh rootkitih za krajo mojih datotek ali samo za prenašanje kakšnih njegovih vsebin?
Pa prosil bi, če mi lahko po kmečko razložiš kaj je s tistim bugs.apek.si, ker mi ni čisto nič jasno.
Opažam pa, da se to začne dogajati pogosto nekaj časa potem, ko obiščem Apekov forum o digitalni TV.
Sistem bom itak naložil na novo in me sploh ne zanima kako tega vraga odstraniš.
Bolj me zanima kako ga ponavadi dobiš?
Zanima me kaj ima od tega početja ter katere datoteke sploh prenaša-gre pri teh rootkitih za krajo mojih datotek ali samo za prenašanje kakšnih njegovih vsebin?
Pa prosil bi, če mi lahko po kmečko razložiš kaj je s tistim bugs.apek.si, ker mi ni čisto nič jasno.
Opažam pa, da se to začne dogajati pogosto nekaj časa potem, ko obiščem Apekov forum o digitalni TV.
Citat:
Uporabnik fikus pravi:
A process explorer je zastonj-jaz ga pa brez uspeha iščem na vseh mogočih torrentih))
Je free. Na strani, ki sem jo postal, imaš na vrhu link za download.
Dobiš ga skoraj izklučno tako, da zaženeš neko datoteko, vsaj če imaš nameščene vse posodobitve.
Ne vem. Ta domena je na tem IP-ju. Verjetno ima apek še katere druge domene gor. Glede na to, da deluje bugs na ssl (port 443), ti pa imaš promet na port 80. Se pravi, da verjetno na drugi domeni, verjetno povezani z apekovim forumom. Po tem ko v browserju obiščeš neko stran, ostane povezava še vedno aktivna nekaj časa in jo vidiš v netstat-u. To še ne pomeni, da je kak program gor.
Koliko prometa je v wiresharku res na to domeno? Če spremljaš recimo 2-3 sekunde, koliko vrstic ti izpiše? Pri res obremenjeni liniji, ne moreš sproti brati, tako hitro ti wireshark zpisuje podatke. Pa še pretežno morajo biti vsi na ta IP. Če računaš, da ima 1 paket max do 1500 B podatkov. Si pa zračunaj koliko mora biti teh paketov, da ti zabije linijo.
Hvala za pojasnila.
Kadar začne gre promet na maksimum, gre v Wiresharku tako hitro, da se ne da brati-če hočem videti ip moram drsnik držati, da se ustavi.
Imam pa takrat zaprte vse moje programe, ki se lahko povezujejo z internetom.
Bitdefender in Netlimiter pa ne kažeta nobenega prometa.
Sedaj me samo še zanima, če se slučajno da s kakšnim programom ugotoviti kaj se prenaša(ime datoteke, morda mesto datoteke) ter če kaj pomaga, da bi recimo kakšne keygene zaganjal izključno na Virtual PC?
Kadar začne gre promet na maksimum, gre v Wiresharku tako hitro, da se ne da brati-če hočem videti ip moram drsnik držati, da se ustavi.
Imam pa takrat zaprte vse moje programe, ki se lahko povezujejo z internetom.
Bitdefender in Netlimiter pa ne kažeta nobenega prometa.
Sedaj me samo še zanima, če se slučajno da s kakšnim programom ugotoviti kaj se prenaša(ime datoteke, morda mesto datoteke) ter če kaj pomaga, da bi recimo kakšne keygene zaganjal izključno na Virtual PC?
Vtipkaš v google: tcpview
Prvi zadetek: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Tam takoj na vrhu klikneš: Download TCPView (208 KB)
Ko vpraša klikneš Open
Ko ti prikaže vsebino ZIP fajla, klikneš (dvakrat, po potrebi) Tcpview(.exe)
Še enkrat klikneš Run.
Ko laufa, pustiš in pol obiščeš ono stran, ki ti nabije promet, se prepričaš, da res poteka promet (Wireshark), zapreš Firefox, preveriš. če še vedno laufa promet, pauziraš WireShark, da pogledaš kateri IP naslov je najbolj aktiven, pol pa v TCPView daš meni View / Update Speed / Paused , pa Options / Resolve Adresses izklopiš. pol klikneš na stolpec Remote Address, da ti jih lepo sortira in pol poiščeš oni IP naslov. Ko ga najdeš, imaš na levi ime procesa. Če ga odpreš, pa ti izpiše še ime fajla.