К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Реклама
Рекомендовать в новости

Вирь или не вирь, как разобраться?

tmp
0 - 10.11.2016 - 14:44
В общем пришла мне от "Мегафона" на телефон недавно SMS-ка с предложением интернета на льготных условиях (дешевле). Согласился. Это интернет с ограничением суточного трафика 150Mb. Симку воткнул в компьютер в USB модем. Компьютер этот (и проги, установленные на нём) не обновлялся где-то год. Подключился к интернету, что блин началось! Трафик в начале суток улетает очень быстро и с интернетом наступает оппа (64kbit/s), да ещё при этом всякоразные обновляльщики канал забивают, получается не пользование интернета, а мазохизм.
Возможно так и должно быть - обнови софт и будет тебе счастье. Но вот что странно. Служба BITS почему-то качает обновления с ip-шников, принадлежащих сети "Мегафон", вроде год назад такого не было, обновления качались или с сайтов программ или облачных служб типа акамй_технолоджис. Остановил службу BITS. Тогда программы начинают обновлять себя без неё. GoogleUpdate.exe тоже стал качать что-то с мегафоновского ip-шника, грохнул пока. Обновляльщик Оперы тоже что-то пытается качать с мегафоновского ip. Антивирус Avast (не пользуется BITS-ом вообще) запускает instup.exe (обновляльщик) и тоже качает что-то с мегафоновского ip. Опера открывает сайты, но параллельно с установкой с соединений с ними устанавливает соединение с мегафоновским ip-шником. Только завалявшаяся у меня на компе старенькая Опера (на старом движке) открывает сайты нормально, без создания соединения с мегафоновским ip, с неё и лажу в интернет, поубивав процессы обновляльщиков.
Эти разные ip-шники мегафоновские не имеют доменных имён. Мониторю интернет встроенным в Windows 8.0 монитором ресурсов. Там не видно на какой порт устанавливается соединение с мегафоновским ip-шником. Может если посмотреть на какой порт ломятся обновляльщики и некоторые браузеры, то станет понятнее (может вирь dos-ит эти мегафоновские ip-шники). Какую программу для мониторинга соединений интернета посоветуете? ЧТоб и порты отображались.



41 - 11.11.2016 - 22:10
https://support.google.com/chrome/a/...98#update-urls

Chrome sends requests to multiple URLs when checking for and downloading updates. This list of URLs can change at any time and without notice, as the order of requests is determined dynamically at runtime. Both HTTP and HTTPS protocols may be tried for the resources below. The list of hostnames and paths includes:

www.google.com/dl/*
dl.google.com/*
google.com/dl/*
*.gvt1.com
tools.google.com/service/update2
clients2.google.com
update.googleapis.com/service/update2
tmp
42 - 12.11.2016 - 12:14
Когда смотрю видео с ютуба, открывает 31.173.164.15, похоже у мегафона стоит GGC.
43 - 12.11.2016 - 14:05
42-tmp > В основном для ютуба его и ставят, чтобы меньше грузить каналы и улучшить качество воспроизведения. Даже в инструкции по установке и настройке проверка именно через ютуб.
tmp
44 - 12.11.2016 - 14:27
Оновление винды тоже качается с мегафоновского ip 37.29.19.107 службой wuauserv[svchost.exe]
45 - 12.11.2016 - 14:37
44-tmp > Вот это уже интереснее. Скорее всего это творчество самого Мегафона, либо MS имеет аналогичную Гуглу программу по установке у операторов серверов WSUS и перенаправлению на них.
46 - 12.11.2016 - 14:41
https://37.29.19.107/ и его сертификат дает ответ - это узел CDN Akamai которую использует MS для распространения апдейтов. Выходит, Akamai тоже ставит свои узлы у операторов и редиректит на них.

Сертификат действителен только для следующих имён: a248.e.akamai.net, *.akamaized.net, *.akamaihd-staging.net, *.akamaihd.net, *.akamaized-staging.net
tmp
47 - 12.11.2016 - 18:57
Блин, с обновлением винды лажа получилась. Центр обновления виндовс скачал 3 обновления, установил, далее я на всяк случай перезагрузил винду. Теперь запускаю Центр обновления, а там одно из 3 уже установленных обновлений предлагается установить снова. Это "Обновление для Windows 8 для систем на базе процессоров x64 (KB2976978)". Жму установить, и моментально (ничё не качая) выскакивает сообщение "Обновления установлены. Успешно: 1 обновление".
Жму "Поиск обновлений", он почухается пол минуты
TCP 192.168.0.182:62876 37.29.19.115:80 ESTABLISHED
wuauserv
[svchost.exe]
TCP 192.168.0.182:62878 66.119.144.157:443 ESTABLISHED
wuauserv
[svchost.exe]
(это что netstat -bn удалось отловить, по-серьёзному если что нужно ставить какую-нить прогу для накопления и разбора пакетов).
И выдаёт в конце "Не удалось выполнить поиск новых обновлений. Возникла проблема при проверке обновлений. Найдены ошибки: Код 80070422 Возникла проблема с Центром обновления Wbindows. Получить справку по этой ошибке" По справке ничего не выдаёт, пустую.
Повторно обновляю та же ошибка.
tmp
48 - 13.11.2016 - 11:50
Почистил папку C:\Windows\SoftwareDistribution, предварительно остановив соответствующие службы. Перестало выскакивать в Центре обновления одно и тоже одно обновление.
BITS там гребёт что-то потихоноьку с мегафоновского 37.29.19.122:80
PS C:\Windows\system32> Get-BitsTransfer -AllUsers

JobId DisplayName TransferType JobState OwnerAccount
----- ----------- ------------ -------- ------------
16c66c02-6c1b-46f9-9987-f41a771b6a1c WU Client Download Download Transferring NT AUTHORITY\СИСТЕМА
6aba5f72-7020-41b9-b8ed-0d4dcdb6ac87 WU Client Download Download Queued NT AUTHORITY\СИСТЕМА
fe6a9adb-0979-4f3a-8f12-04f9da0ff79f WU Client Download Download Queued NT AUTHORITY\СИСТЕМА



PS C:\Windows\system32> Get-BitsTransfer -AllUsers | select -ExpandProperty FileList


RemoteName : http://bg.v4.a.dl.ws.microsoft.com/d...uALXvnBjVUE%3d
LocalName : C:\Windows\SoftwareDistribution\Download\b99c07fff 3f99b81812cdc2b38416ed1\775e48982da3aeb31342ae9dd2 ee432704808bf7_3
IsTransferComplete : False
BytesTotal : 56164352
BytesTransferred : 12801291

RemoteName : http://bg.v4.a.dl.ws.microsoft.com/d...6J70E3PpG3U%3d
LocalName : C:\Windows\SoftwareDistribution\Download\397f750c9 7c135db51c476561d71b387\a0331ce8b1e9c788f7a6af7d26 147874ec905795_2
IsTransferComplete : False
BytesTotal : 315195392
BytesTransferred : 94020454

RemoteName : http://bg.v4.a.dl.ws.microsoft.com/d...cUPPIFGeZ0s%3d
LocalName : C:\Windows\SoftwareDistribution\Download\81b0a0ada 97bce555f9170715e217c41\36ef8c852b0677191df0d91237 78b52e9d89cc9c_3
IsTransferComplete : False
BytesTotal : 60522496
BytesTransferred : 25692863
49 - 13.11.2016 - 15:25
Чувак, да успокойся уже, разобрались уже - это не вирусы. Отключи BITS, удали Chrome и спи спокойно.
tmp
50 - 13.11.2016 - 16:23
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
https://37.29.19.107/ и его сертификат дает ответ - это узел CDN Akamai
Что такое сертификат и как ты его посмотрел?
tmp
51 - 15.11.2016 - 11:46
Центр обновления Windows перестал выдавать одно и то же обновление, но продолжает рушиться при нажатии Поиск обновлений с вышеописанной ошибкой.
В PowerShell даю команду Repair-WindowsImage -Online -RestoreHealth, вываливается с какой-то непонятной ошибкой.
PS C:\Windows\system32> Repair-WindowsImage -Online -RestoreHealth
Repair-WindowsImage : Указанная служба не может быть запущена, так как отключена либо она сама, либо все связанные с ней устройства.
строка:1 знак:1
+ Repair-WindowsImage -Online -RestoreHealth
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Repair-WindowsImage], COMException
+ FullyQualifiedErrorId : Microsoft.Dism.Commands.RepairWindowsImageCommand

Консольная команда выдаёт:
C:\Windows\system32>sfc /scannow
Защите ресурсов Windows не удается запустить службу восстановления.
Чё-та такой службы не найду в списке служб, но восстановление windows вроде работает, недавно проверял (она у меня мониторит диск C:).
Качается щас BITSом с мегафоновского IP:
PS C:\Windows\system32> Get-BitsTransfer -AllUsers

JobId DisplayName TransferType JobState OwnerAccount
----- ----------- ------------ -------- ------------
b942650b-6abe-4257-975... WU Client Download Download Transferring NT AUTHORITY\СИСТЕМА



PS C:\Windows\system32> Get-BitsTransfer -AllUsers | select -ExpandProperty FileList


RemoteName : http://bg.v4.db.dl.ws.microsoft.com/...AY9uYnynGrs%3d
LocalName : C:\Windows\SoftwareDistribution\Download\3019b806d f4aea048f951f96331f2d34\windowsstoresetupbox.exe
IsTransferComplete : False
BytesTotal : 1763752
BytesTransferred : 1763752

RemoteName : http://bg.v4.db.dl.ws.microsoft.com/...P2=201&P3=1&P4
=V3rizzQyp2MdrN3EPvV1mFstpMg%3d
LocalName : C:\Windows\SoftwareDistribution\Download\3019b806d f4aea048f951f96331f2d34\9600.17053.winblue_refresh .141120-0031_x64fre_client_CoreSingleLanguage_ru-ru-IR5_CSLA_X64FRER_RU-RU_ESD.esd
IsTransferComplete : False
BytesTotal : 2784139580
BytesTransferred : 144386135
Вам не кажется последний BytesTotal мягко говоря великоватым для обновления windows 8?
52 - 15.11.2016 - 18:03
51-tmp > А нефиг было в sfc и прочее лезть. Судя по этому http://www.eightforums.com/performan...-files-10.html установочный образ качает.
tmp
53 - 15.11.2016 - 20:05
Ну я по инструкции в заголовке здесь:
http://forum.oszone.net/thread-240544.html
восстанавливал WU (дошёл пока до 3 пункта). А как надо было WU чинить?
tmp
54 - 18.11.2016 - 00:21
RemoteName : http://download.windowsupdate.com/c/...ede1f9f26184e0
5f914acc1897cc979.cab
LocalName : C:\Windows\SoftwareDistribution\Download\ea3d77af6 5429c1d95c93f721a70507e\6f79059acede1f9f26184e05f9 14acc18
97cc979
IsTransferComplete : False
BytesTotal : 99304908
BytesTransferred : 78809564
tmp
55 - 18.11.2016 - 00:26
RemoteName : http://download.windowsupdate.com/c/...14f1d4bbe85c62
d5ff14badb395a80.cab
LocalName : C:\Windows\SoftwareDistribution\Download\c6df21128 111ace9d1db3ef6b42d8ae9\9cad3222ca14f1d4bbe85c62d5 ff14bad
b395a80
IsTransferComplete : False
BytesTotal : 103348664
BytesTransferred : 930378

Гребёт с 8.253.193.120
56 - 18.11.2016 - 08:01
Автор, ты мазохист? Сто раз уже тебе сказали - отключи BITS и удали Chrome, иначе оно так и будет постоянно что-то качать.
И перейди наконец на нормальный тариф - 14 ГБ (7 днем и 7 ночью) у Мегафона стоит рублей 300. Вот можешь на ночь ноут не выключать и включать BITS.
tmp
57 - 18.11.2016 - 11:22
Вот что странно. У меня windows 8.0, но качнула образ 8.1 и сейчас качает KB-шки от 8.1.
58 - 18.11.2016 - 12:14
57-tmp > Что странного? Она и 10-ку тебе скачает и предложит обновиться и может даже принудительно обновить. Говорю же - отключай.
tmp
59 - 21.11.2016 - 14:08
Цитата:
Сообщение от КраснодарАйТи Посмотреть сообщение
поверьте есть более продвинутые способы получения/анализа трафика от вас
Новая опера кажысь на гугло_хромовском движке, использую оперу, которая ещё на старом движке, последнюю версию 12.17 из старых. Так вот когда лажу на некоторые сайты по https, то опера вываливает сообщение, что сертификат левый. Гы-гы-гы. Это чё мой https трафик заворачивают на что-то типа https прокси, который пытается подсунуть поддельный сертификат (нешифрованый трафик посмотреть то хоццо). :)))))))
tmp
60 - 21.11.2016 - 20:18
...подсунуть поддельный СВОЙ сертификат
61 - 21.11.2016 - 21:32
https://ru.wikipedia.org/wiki/Паранойя
tmp
62 - 22.11.2016 - 15:16
61-Ткачик > Аргументировать своё заявление сможешь? У меня Аваст для проверки на вирусы https соединений браузера встраивается как "мэн ин мидл" между ним и сервером и подсовывает свой сертификат, только в нём честно написано, что он авастовский. А если это сделает не Аваст и напишет в сертификате пургу какую-то? :)))))))))))))))))


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены