Вирь или не вирь, как разобраться?
 

В общем пришла мне от "Мегафона" на телефон недавно SMS-ка с предложением интернета на льготных условиях (дешевле). Согласился. Это интернет с ограничением суточного трафика 150Mb. Симку воткнул в компьютер в USB модем. Компьютер этот (и проги, установленные на нём) не обновлялся где-то год. Подключился к интернету, что блин началось! Трафик в начале суток улетает очень быстро и с интернетом наступает оппа (64kbit/s), да ещё при этом всякоразные обновляльщики канал забивают, получается не пользование интернета, а мазохизм.
Возможно так и должно быть - обнови софт и будет тебе счастье. Но вот что странно. Служба BITS почему-то качает обновления с ip-шников, принадлежащих сети "Мегафон", вроде год назад такого не было, обновления качались или с сайтов программ или облачных служб типа акамй_технолоджис. Остановил службу BITS. Тогда программы начинают обновлять себя без неё. GoogleUpdate.exe тоже стал качать что-то с мегафоновского ip-шника, грохнул пока. Обновляльщик Оперы тоже что-то пытается качать с мегафоновского ip. Антивирус Avast (не пользуется BITS-ом вообще) запускает instup.exe (обновляльщик) и тоже качает что-то с мегафоновского ip. Опера открывает сайты, но параллельно с установкой с соединений с ними устанавливает соединение с мегафоновским ip-шником. Только завалявшаяся у меня на компе старенькая Опера (на старом движке) открывает сайты нормально, без создания соединения с мегафоновским ip, с неё и лажу в интернет, поубивав процессы обновляльщиков.
Эти разные ip-шники мегафоновские не имеют доменных имён. Мониторю интернет встроенным в Windows 8.0 монитором ресурсов. Там не видно на какой порт устанавливается соединение с мегафоновским ip-шником. Может если посмотреть на какой порт ломятся обновляльщики и некоторые браузеры, то станет понятнее (может вирь dos-ит эти мегафоновские ip-шники). Какую программу для мониторинга соединений интернета посоветуете? ЧТоб и порты отображались.

Проверял перечисленные выше exe-шники на ВирусТотал, пишет что нет в них вирусов.

Сдается мне, вы путаетесь в IP, ибо Мегафон выдает абонентам серые адреса из специальной сети NetRange: 100.64.0.0 - 100.127.255.255

netstat в консоли с нужными ключами и вывод (или скриншот) сюда вставьте.

C:\Users\Z>netstat

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 127.0.0.1:52005 asus:52006 ESTABLISHED
TCP 127.0.0.1:52006 asus:52005 ESTABLISHED
TCP 192.168.0.182:49979 ams10-003:http ESTABLISHED
TCP 192.168.0.182:52595 31.173.164.15:http ESTABLISHED
TCP 192.168.0.182:52665 hk2sch130021137:https ESTABLISHED
TCP 192.168.0.182:57500 r-150-58-45-5:http CLOSE_WAIT


31.173.164.15 - это адрес мегафоновской сети. У мегафона несколько подсетей (общее у них то, что зарегистрированы на владельца PtP и по одному и тому же адресу в Самаре. Эта хрень лезет то к ip-шникам из одной группы мегафоновских сетей (где эти ip явно из группы, где в данных регистрации написано, что они мегафоновские), то к ip-шникам из другой группы, как в этом примере, но эта сеть я уже понял, что тоже мегафоновская. Вот её данные:
General Information
Hostname
Cannot be resolved
IP
31.173.164.15


Network Information
Имя
CUSTOMER-30-LAN-31-173-164
Диапазон адресов
31.173.164.0 - 31.173.164.255
Владелец
PtP
Расположение
Moskovskoe shosse, 15, 443080, Samara, Russia

поставте outpost firewall и рулите им трафик

31.173.164.15 - IP магистральной сети Мегофона

Вот адрес из другой явно мегафоновской группы: 37.29.19.89. С него (не знаю уж с кагого порта) я сегодня ранее обновил антивирус Avast (полностью на новую версию, а не только базы). Так вот его обновляльщик instup.exe качал именно с 37.29.19.89, с затыками, ошибками кое-как но выкачать получилось. Полное сканирование вирусов на компьютере не обнаружило.
General Information
Hostname
Cannot be resolved
IP
37.29.19.89
Preferable MX
mx2.megafon.ru


Network Information
Имя
CUSTOMER-30-LAN-37-29-16
Диапазон адресов
37.29.18.0 - 37.29.23.255
Владелец
PtP
Расположение
Moskovskoe shosse, 15, 443080, Samara, Russia


Domain Information
Имя
MEGAFON.RU
Владелец
PJSC "MegaFon"
Сервера имен
ns1.misp.ru, ns2.misp.ru
Статус
REGISTERED, DELEGATED, VERIFIED

Avast раньше обновлялся со своих серверов, что за хрень? Когда установил новую версию, то тоже теперь качает со своих серверов, а не с мегафоновских адресов каких-то.
Обновлялка AdobeARM.exe тоже когда лезет обновляться, то исключительно на мегафоновские адреса, сначала через BITS начинает, когда останавливаю эту службу, то exe-шником, но по-любому с мегафона! Что может быть, есть идеи?

Короче, все обновления почему-то качались с мегафоновских ip, на которых было установлено что-то типа прокси, то что это за прокси неизвестно (не исключено что с дополнительными вирусными функциями).

попробуйте поставить dns : 8.8.8.8, 8.8.4.4, и обновиться
и покажите IP свой с любого сервиса (2ip.ru|пример)

Любому провайдеру выгоднее кешировать популярные данные, такие как обновления windows, антивирусов и т.д. - вероятность наличия вредоносного кода = 0, поверьте есть более продвинутые способы получения/анализа трафика от вас, а вообще касательно мобильно интернета от Мегафона могу сказать что это "плохой" провайдер и на это есть ряд аргументов

9-КраснодарАйТи > Мой IP по данным 2ip.ru 185.3.32.155

1. Отключите у netstat резолвинг IP в имя
2. У него есть ключ, который покажет идентификатор процесса, установившего соединение. Процесс по идентификатору искать в диспетчере задач
3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP

DNSы поменял на гугловские, как рекомендовано в (9), только зачем, я не понял? Ничего в принципе не изменилось.

C:\Users\Z>netstat -na

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49160 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49161 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5939 0.0.0.0:0 LISTENING
TCP 127.0.0.1:27275 0.0.0.0:0 LISTENING
TCP 127.0.0.1:52005 127.0.0.1:52006 ESTABLISHED
TCP 127.0.0.1:52006 127.0.0.1:52005 ESTABLISHED
TCP 127.0.0.1:52007 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61509 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61510 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61511 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61512 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61513 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61514 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61515 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61516 0.0.0.0:0 LISTENING
TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED
TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED
TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED
TCP [::]:135 [::]:0 LISTENING
TCP [::]:445 [::]:0 LISTENING
TCP [::]:49152 [::]:0 LISTENING
TCP [::]:49153 [::]:0 LISTENING
TCP [::]:49154 [::]:0 LISTENING
TCP [::]:49160 [::]:0 LISTENING
TCP [::]:49161 [::]:0 LISTENING
TCP [::1]:27275 [::]:0 LISTENING
TCP [::1]:49155 [::]:0 LISTENING
TCP [::1]:61509 [::]:0 LISTENING
TCP [::1]:61510 [::]:0 LISTENING
TCP [::1]:61511 [::]:0 LISTENING
TCP [::1]:61512 [::]:0 LISTENING
TCP [::1]:61513 [::]:0 LISTENING
TCP [::1]:61514 [::]:0 LISTENING
TCP [::1]:61515 [::]:0 LISTENING
TCP [::1]:61516 [::]:0 LISTENING
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:51760 *:*
UDP 0.0.0.0:56832 *:*
UDP 0.0.0.0:56834 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:51758 *:*
UDP 127.0.0.1:57186 *:*
UDP 192.168.0.182:1900 *:*
UDP 192.168.0.182:5353 *:*
UDP 192.168.0.182:57185 *:*
UDP [::]:500 *:*
UDP [::]:4500 *:*
UDP [::]:5355 *:*
UDP [::]:56833 *:*
UDP [::1]:1900 *:*
UDP [::1]:5353 *:*
UDP [::1]:57184 *:*
UDP [fe80::58a0:64cb:121f:cc04%18]:1900 *:*
UDP [fe80::58a0:64cb:121f:cc04%18]:57183 *:*

Из них на мой взгляд интересны 3:
TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED
TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED
TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED

первое - это процесс explorer.exe зачем-то устанавливает соединение с msnbot-65-52-108-208.search.msn.com
второе - это процесс AvastSvc.exe весьма часто держит соединение с ams10-004.ff.avast.com
третье - это процесс svchost.exe (netsvcs), короче его служба BITS что-то обновляет (мож винду, мож ещё чё) только почему-то с мегафоновского адреса

[quote=Напас Напасович;43213003]3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP[/quote]
Да он иногда обращается изредка в сеть, с ним проблем нет.
У netstat-а есть интересный ключик:
-b Отображение исполняемого файла, участвующего в создании каждого подключения или порта прослушивания. Иногда известные исполняемые файлы содержат множество независимых компонентов. Тогда отображается последовательность компонентов, участвующих в создании подключения или порта прослушивания. В этом случае имя исполняемого файла находится снизу в скобках [], сверху находится вызванный им компонент, и так до тех пор, пока не достигнут TCP/IP. Заметьте, что такой подход может занять много времени и требует достаточных разрешений.
.
Так вот с этим ключём пишет "Запрошенная операция требует повышения." А функция интересная, что делать?

14-tmp > BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее.

15-tmp > Под админом запустить. Ключей -bn хватит

[quote=Напас Напасович;43213332]BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее.[/quote]
Это BITS стопудово, включаю эту службу и появляется именно это соединение, отключаю - исчезает. Проверено много раз.

17-tmp > С ключом -bnv и под админом что видно про это третье соединение?
Действительно странно, что идет на IP Мегафона. Пока подозреваю, что это их прога для модема.

Аффтар занятный [url]http://forums.kuban.ru/f1029/kak_uznat-_kakoj_process_sluzhba_pol-zuetsya_sluzhboj_bits_gruzit_trafik-6224216.html[/url]

[quote=Напас Напасович;43213332]Под админом запустить[/quote]
Как запустить под админом? Я что не под админом по умолчанию в Windows 8.0 сижу?

Сейчас служба BITS снова запустилась, стала качать с мегафоновского 31.173.164.15:80, я её остановил. Тогда GoogleUpdate.exe стал качать оттуда же (31.173.164.15:80), прибил и этот процесс (он обновится и эта аномалия исчезнет, а мне интересно разобраться).

На [url]http://31.173.164.15/[/url] находится WEB-сервер, который редиректит на [url]https://www.google.ru/[/url] с некоторыми переменными.
При переходе по несуществующему адресу [url]http://31.173.164.15/sgfsdfsdf[/url] страница ошибки от поиска Гугл.

У Гугла есть практика установки у крупных провайдеров своих серверов кэширования для ускорения работы Ютуба и прочих их сервисов, возможно это из той же оперы.

Можно отследить, что именно туда долбится и на какие URL, но вам сложно объяснить как это сделать.

Как смотреть задания службы BITS вам в прошлой теме уже ссылки давали, смотреть надо задания всех пользователей, соответственно от админа.

На [url]https://31.173.164.15/[/url] для SSL стоит сертификат для сервисов Гугла.
Сертификат действителен только для следующих имён: *.googlevideo.com, *.a1.googlevideo.com, *.c.doc-0-0-sj.sj.googleusercontent.com, *.googlezip.net, *.gvt1.com, *.xn--ngstr-lra8j.com, xn--ngstr-lra8j.com

Да, это провайдерский кэш гугла.
Вывод nslookup google.com через Мегафон и с его DNS-серверами выдает IP из их подсети.
[url]https://toster.ru/q/194529[/url]
[url]https://geektimes.ru/post/93864/[/url]

Т.е. именно это не проявления вирусов.
Но практика использования BITS вирусами есть, но они явно что-то качают не с Мегафона и качают обычно не много.

avast тоже безо всяких BITS-ов обновлялся с мегафоновского сервера. А как обновился (программа и базы), то стал уже обновляться со своих австовских серверов.
Версия. В аваст встроена обновлялка разного критичного для безопасности софта. Мож это аваст так подкорректировал систему или обновляльщики софта, что обновляется с мегафона (первый раз, потом со своих собственных серверов уже софт обновляется).

23-Напас Напасович > Если бы это был гугловский кэш у провайдера (GGC), а он завязан на DNS, то у меня в мониторе ресурсов отображались бы имена сайтов, а у меня отображаются ip мегафоновские. То есть "коррекция" произедена была каким-то другим механизмом, не GGC.

[quote=tmp;43216170]то у меня в мониторе ресурсов отображались бы имена сайтов[/quote]
Админы Мегафона в обратной зоне не прописали, вот и не отображаются. В инструкции Гугла об этом есть.

Это 99% кэш Гугла у Мегафона. Он имеет следующий диапазон IP 31.173.164.15-31.173.164.25

Сменил у себя DNSы на по умолчанию (мегафоновские).
[quote=Напас Напасович;43216391]31.173.164.15[/quote]
У меня BITS лазил и на .14 и на .13
Посмотрел Панель управления -> Учётные записи пользователей, пользователь под которым я сижу там описан как Администратор.
Где-то более подробно можно видеть всех пользователей и их права, кажысь, в Администрирование -> Управление компьютером, но там про пользователей чё-то вообще ничего нет. Мож я неправильно помню. Где пользователей и их права настраивать?

27-tmp > Да, там еще шире диапазон - от 12 до 27 адресов.
В этой ссылке [url]http://31.173.164.15/sfsfsfs[/url] последнюю цифру меняй и убедишься.

Чё-та тычу правй кнопкой мыши в Мой компьютер, выбираю Управление, попадаю в Управление компьютером. Кажысь там должны быть пользователи и группы, а их чё-та там нет, есть Управление дисками, Планировщик заданий и тому подобное, а про пользователей ничего нет! Блин, чё делать?

29-tmp >там не должно быть пользователей и групп. Это другая оснастка.

А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ.

[quote=tmp;43218075] А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ. [/quote]

Запустите cmd от Администратора

[quote=Напас Напасович;43213391]С ключом -bnv и под админом что видно про это третье соединение?[/quote]
Только включил BITS поначалу было
TCP 192.168.0.182:58034 173.194.122.222:443 TIME_WAIT
TCP 192.168.0.182:58076 173.194.122.222:443 TIME_WAIT
TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED
BITS
[svchost.exe]

потом стало (и щас с него довнлодится):
TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED
BITS
[svchost.exe]

По BITS это поможет
[url]https://blogs.technet.microsoft.com/cmpfekevin/2014/01/29/troubleshooting-bits-with-powershell/[/url]
[url]http://woshub.com/copying-large-files-using-bits-and-powershell/[/url]

Продолжаю считать, что качает что-то от Гугла, а из-за его кэша идет на IP Мегафона.

Да и 173.194.122.222 из сети Гугла.

Вот что в PowerShell выдал по поводу заданий BITSа:
PS C:\Windows\system32> Get-BitsTransfer -AllUsers

JobId DisplayName TransferType JobState OwnerAccount
----- ----------- ------------ -------- ------------
6117515d-e2d7-416b-8937-73059868d025 C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe Download Error asus\Z
4ca92d6c-96ea-4be3-970e-c82f3acde990 C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe Download Error asus\Z
9684e503-d73f-439e-92e1-8154f7f4ed3d C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe Download Error asus\Z
25a6dda5-bd37-4749-b32b-7d3349b648f2 C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe Download Error asus\Z
f2b310f6-1311-4d59-9042-e4a9415c734d C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe Download Error asus\Z
9fcde11d-1f89-41d5-8223-0424dba4f556 C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe Download Error asus\Z
0de3b223-ca65-4af6-a291-2ea8781cc182 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
7622133f-42e9-480d-a864-09bca088c79b 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
49b3d27c-341c-44e9-af5f-1296615c183d 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
6382a72f-62c7-402b-8eac-d27ca5e37a42 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
57e10b13-f009-4028-8507-163185a0df30 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
a77736f8-11c4-4957-87e0-71b522d6fda9 C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe Download Error asus\Z
1a2eef3c-8a25-4234-86f6-a720119ef05c C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe Download Error asus\Z
98f7148a-1184-475b-85f5-26a15404815f C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe Download Error asus\Z
59e54199-6ef7-4eaf-bf95-f24987a6a296 C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe Download Transferring asus\Z
68b908c8-cf69-4dd0-b7db-27f4d29830e5 C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe Download Queued asus\Z
4be76c3f-66b1-4222-baed-f7d36d7612c9 C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z
11a69e90-686c-4fc2-a8dd-0a27e9cc5a75 C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z

35-tmp > И какие выводы?

Так будет лучше видно откуда пытается качать
Get-BitsTransfer -AllUsers | select -ExpandProperty FileList

PS C:\Windows\system32> Get-BitsTransfer -AllUsers | select -ExpandProperty FileList

RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/75ryszde7h8em0k1avbhcw22pmho8sshgh7kksdc0g4jaae5oj5sjomavr0r5oli3fkqttzbtadeyd3hog8cdv972rtokd7tbxi/54.0.2840.87_chrome_installer.exe?cms_redirect=yes&expire=1478573614&ip=188.170.192.52&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478559194&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=38C78EB6D1485C2379FDB1DBCA2A33BE0FDBF9C7.746AFCFBEE6096E0F2DB87994B4E0E7766FD04A3&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44312440
BytesTransferred : 46290

RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe?cms_redirect=yes&expire=1478590306&ip=188.170.198.156&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478575871&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=49C35C550E7B6EC3B2168D3A6A8B92EC65DD8E67.6F3CA2F6A70CCEABBAF5DE3F9ACDB62C482146AC&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : 1065376
BytesTransferred : 425345

RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe?cms_redirect=yes&expire=1478603865&ip=188.170.198.156&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478589433&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=6119D395C9C361F83975CAC25E03440005F5D640.69EA19A9917C2458F49F11E473C7E8A78CAECD20&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : 1065376
BytesTransferred : 231192

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]https://www.google.com/dl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_22470\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 440047

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_10524\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 424673

RemoteName : [url]http://dl.google.com/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_17084\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 461765

RemoteName : [url]https://dl.google.com/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_14389\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 378517

RemoteName : [url]http://www.google.com/dl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_21291\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 1118515

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478797859&ip=185.3.32.155&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478783426&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=8133CAC6DB27AF31CAC9C91BCFB1F98220318D14.4D2A870E87EB6B11D7793096C11732299202FCBA&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 24966530

RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478810919&ip=185.3.32.155&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478796500&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=58A975C797BE070F104005E6BA43B38D393DAF86.17E6FE095B83EB29C8DD00428A4C6EF8217901E3&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 19854358

RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478861395&ip=188.170.193.206&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478846958&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=1BD578D93B4025D82855EC7CB5BA04FAEBB81FA7.1167A25ECC29E9342C836F4BB8FE3AC90CFCAD17&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 26251105

RemoteName : [url]http://r3---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/1489stusqliyhmfz01he51gb3znqcmchezv8feuvd35g4o0y0ayd5bpggs5cedfdf3thq52ltk9rqcz4msy5sa8z0bl1wijexm49/54.0.2840.99_chrome_installer.exe?cms_redirect=yes&expire=1478861695&ip=188.170.193.206&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478847254&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=39203C44165FE399BEDD6D8542E4D793D2F25CC7.2DF12F804F8309EBC4FA2A3910E6CA3E94BC8561&key=cms1[/url]
LocalName : C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44351864
BytesTransferred : 20892849

[quote=Напас Напасович;43219272]И какие выводы?[/quote]
Понимаю, намекаешь на GGC. Но вот что странно. Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip.

Ну, имена файлов и URL для скачивания полностью подтверждают мое мнение. А эти гугловские домены резолвятся(или редиректятся) в IP Мегафона из-за поднятого у них кэша Гугла.

Flash, Chrome и гугловский апдейтер пытаются обновится.

[quote=tmp;43219438]Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip[/quote]
Сейчас это не видно. В другой раз смотри netstat и задания BITS.