[1] [2] |
Вирь или не вирь, как разобраться? В общем пришла мне от "Мегафона" на телефон недавно SMS-ка с предложением интернета на льготных условиях (дешевле). Согласился. Это интернет с ограничением суточного трафика 150Mb. Симку воткнул в компьютер в USB модем. Компьютер этот (и проги, установленные на нём) не обновлялся где-то год. Подключился к интернету, что блин началось! Трафик в начале суток улетает очень быстро и с интернетом наступает оппа (64kbit/s), да ещё при этом всякоразные обновляльщики канал забивают, получается не пользование интернета, а мазохизм. Возможно так и должно быть - обнови софт и будет тебе счастье. Но вот что странно. Служба BITS почему-то качает обновления с ip-шников, принадлежащих сети "Мегафон", вроде год назад такого не было, обновления качались или с сайтов программ или облачных служб типа акамй_технолоджис. Остановил службу BITS. Тогда программы начинают обновлять себя без неё. GoogleUpdate.exe тоже стал качать что-то с мегафоновского ip-шника, грохнул пока. Обновляльщик Оперы тоже что-то пытается качать с мегафоновского ip. Антивирус Avast (не пользуется BITS-ом вообще) запускает instup.exe (обновляльщик) и тоже качает что-то с мегафоновского ip. Опера открывает сайты, но параллельно с установкой с соединений с ними устанавливает соединение с мегафоновским ip-шником. Только завалявшаяся у меня на компе старенькая Опера (на старом движке) открывает сайты нормально, без создания соединения с мегафоновским ip, с неё и лажу в интернет, поубивав процессы обновляльщиков. Эти разные ip-шники мегафоновские не имеют доменных имён. Мониторю интернет встроенным в Windows 8.0 монитором ресурсов. Там не видно на какой порт устанавливается соединение с мегафоновским ip-шником. Может если посмотреть на какой порт ломятся обновляльщики и некоторые браузеры, то станет понятнее (может вирь dos-ит эти мегафоновские ip-шники). Какую программу для мониторинга соединений интернета посоветуете? ЧТоб и порты отображались. |
Проверял перечисленные выше exe-шники на ВирусТотал, пишет что нет в них вирусов. |
Сдается мне, вы путаетесь в IP, ибо Мегафон выдает абонентам серые адреса из специальной сети NetRange: 100.64.0.0 - 100.127.255.255 netstat в консоли с нужными ключами и вывод (или скриншот) сюда вставьте. |
C:\Users\Z>netstat Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP 127.0.0.1:52005 asus:52006 ESTABLISHED TCP 127.0.0.1:52006 asus:52005 ESTABLISHED TCP 192.168.0.182:49979 ams10-003:http ESTABLISHED TCP 192.168.0.182:52595 31.173.164.15:http ESTABLISHED TCP 192.168.0.182:52665 hk2sch130021137:https ESTABLISHED TCP 192.168.0.182:57500 r-150-58-45-5:http CLOSE_WAIT 31.173.164.15 - это адрес мегафоновской сети. У мегафона несколько подсетей (общее у них то, что зарегистрированы на владельца PtP и по одному и тому же адресу в Самаре. Эта хрень лезет то к ip-шникам из одной группы мегафоновских сетей (где эти ip явно из группы, где в данных регистрации написано, что они мегафоновские), то к ip-шникам из другой группы, как в этом примере, но эта сеть я уже понял, что тоже мегафоновская. Вот её данные: General Information Hostname Cannot be resolved IP 31.173.164.15 Network Information Имя CUSTOMER-30-LAN-31-173-164 Диапазон адресов 31.173.164.0 - 31.173.164.255 Владелец PtP Расположение Moskovskoe shosse, 15, 443080, Samara, Russia |
поставте outpost firewall и рулите им трафик |
31.173.164.15 - IP магистральной сети Мегофона |
Вот адрес из другой явно мегафоновской группы: 37.29.19.89. С него (не знаю уж с кагого порта) я сегодня ранее обновил антивирус Avast (полностью на новую версию, а не только базы). Так вот его обновляльщик instup.exe качал именно с 37.29.19.89, с затыками, ошибками кое-как но выкачать получилось. Полное сканирование вирусов на компьютере не обнаружило. General Information Hostname Cannot be resolved IP 37.29.19.89 Preferable MX mx2.megafon.ru Network Information Имя CUSTOMER-30-LAN-37-29-16 Диапазон адресов 37.29.18.0 - 37.29.23.255 Владелец PtP Расположение Moskovskoe shosse, 15, 443080, Samara, Russia Domain Information Имя MEGAFON.RU Владелец PJSC "MegaFon" Сервера имен ns1.misp.ru, ns2.misp.ru Статус REGISTERED, DELEGATED, VERIFIED |
Avast раньше обновлялся со своих серверов, что за хрень? Когда установил новую версию, то тоже теперь качает со своих серверов, а не с мегафоновских адресов каких-то. Обновлялка AdobeARM.exe тоже когда лезет обновляться, то исключительно на мегафоновские адреса, сначала через BITS начинает, когда останавливаю эту службу, то exe-шником, но по-любому с мегафона! Что может быть, есть идеи? |
Короче, все обновления почему-то качались с мегафоновских ip, на которых было установлено что-то типа прокси, то что это за прокси неизвестно (не исключено что с дополнительными вирусными функциями). |
попробуйте поставить dns : 8.8.8.8, 8.8.4.4, и обновиться и покажите IP свой с любого сервиса (2ip.ru|пример) |
Любому провайдеру выгоднее кешировать популярные данные, такие как обновления windows, антивирусов и т.д. - вероятность наличия вредоносного кода = 0, поверьте есть более продвинутые способы получения/анализа трафика от вас, а вообще касательно мобильно интернета от Мегафона могу сказать что это "плохой" провайдер и на это есть ряд аргументов |
9-КраснодарАйТи > Мой IP по данным 2ip.ru 185.3.32.155 |
1. Отключите у netstat резолвинг IP в имя 2. У него есть ключ, который покажет идентификатор процесса, установившего соединение. Процесс по идентификатору искать в диспетчере задач 3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP |
DNSы поменял на гугловские, как рекомендовано в (9), только зачем, я не понял? Ничего в принципе не изменилось. C:\Users\Z>netstat -na Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING TCP 0.0.0.0:49160 0.0.0.0:0 LISTENING TCP 0.0.0.0:49161 0.0.0.0:0 LISTENING TCP 127.0.0.1:5939 0.0.0.0:0 LISTENING TCP 127.0.0.1:27275 0.0.0.0:0 LISTENING TCP 127.0.0.1:52005 127.0.0.1:52006 ESTABLISHED TCP 127.0.0.1:52006 127.0.0.1:52005 ESTABLISHED TCP 127.0.0.1:52007 0.0.0.0:0 LISTENING TCP 127.0.0.1:61509 0.0.0.0:0 LISTENING TCP 127.0.0.1:61510 0.0.0.0:0 LISTENING TCP 127.0.0.1:61511 0.0.0.0:0 LISTENING TCP 127.0.0.1:61512 0.0.0.0:0 LISTENING TCP 127.0.0.1:61513 0.0.0.0:0 LISTENING TCP 127.0.0.1:61514 0.0.0.0:0 LISTENING TCP 127.0.0.1:61515 0.0.0.0:0 LISTENING TCP 127.0.0.1:61516 0.0.0.0:0 LISTENING TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED TCP [::]:135 [::]:0 LISTENING TCP [::]:445 [::]:0 LISTENING TCP [::]:49152 [::]:0 LISTENING TCP [::]:49153 [::]:0 LISTENING TCP [::]:49154 [::]:0 LISTENING TCP [::]:49160 [::]:0 LISTENING TCP [::]:49161 [::]:0 LISTENING TCP [::1]:27275 [::]:0 LISTENING TCP [::1]:49155 [::]:0 LISTENING TCP [::1]:61509 [::]:0 LISTENING TCP [::1]:61510 [::]:0 LISTENING TCP [::1]:61511 [::]:0 LISTENING TCP [::1]:61512 [::]:0 LISTENING TCP [::1]:61513 [::]:0 LISTENING TCP [::1]:61514 [::]:0 LISTENING TCP [::1]:61515 [::]:0 LISTENING TCP [::1]:61516 [::]:0 LISTENING UDP 0.0.0.0:500 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:5355 *:* UDP 0.0.0.0:51760 *:* UDP 0.0.0.0:56832 *:* UDP 0.0.0.0:56834 *:* UDP 127.0.0.1:1900 *:* UDP 127.0.0.1:51758 *:* UDP 127.0.0.1:57186 *:* UDP 192.168.0.182:1900 *:* UDP 192.168.0.182:5353 *:* UDP 192.168.0.182:57185 *:* UDP [::]:500 *:* UDP [::]:4500 *:* UDP [::]:5355 *:* UDP [::]:56833 *:* UDP [::1]:1900 *:* UDP [::1]:5353 *:* UDP [::1]:57184 *:* UDP [fe80::58a0:64cb:121f:cc04%18]:1900 *:* UDP [fe80::58a0:64cb:121f:cc04%18]:57183 *:* |
Из них на мой взгляд интересны 3: TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED первое - это процесс explorer.exe зачем-то устанавливает соединение с msnbot-65-52-108-208.search.msn.com второе - это процесс AvastSvc.exe весьма часто держит соединение с ams10-004.ff.avast.com третье - это процесс svchost.exe (netsvcs), короче его служба BITS что-то обновляет (мож винду, мож ещё чё) только почему-то с мегафоновского адреса |
[quote=Напас Напасович;43213003]3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP[/quote] Да он иногда обращается изредка в сеть, с ним проблем нет. У netstat-а есть интересный ключик: -b Отображение исполняемого файла, участвующего в создании каждого подключения или порта прослушивания. Иногда известные исполняемые файлы содержат множество независимых компонентов. Тогда отображается последовательность компонентов, участвующих в создании подключения или порта прослушивания. В этом случае имя исполняемого файла находится снизу в скобках [], сверху находится вызванный им компонент, и так до тех пор, пока не достигнут TCP/IP. Заметьте, что такой подход может занять много времени и требует достаточных разрешений. . Так вот с этим ключём пишет "Запрошенная операция требует повышения." А функция интересная, что делать? |
14-tmp > BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее. 15-tmp > Под админом запустить. Ключей -bn хватит |
[quote=Напас Напасович;43213332]BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее.[/quote] Это BITS стопудово, включаю эту службу и появляется именно это соединение, отключаю - исчезает. Проверено много раз. |
17-tmp > С ключом -bnv и под админом что видно про это третье соединение? Действительно странно, что идет на IP Мегафона. Пока подозреваю, что это их прога для модема. |
Аффтар занятный [url]http://forums.kuban.ru/f1029/kak_uznat-_kakoj_process_sluzhba_pol-zuetsya_sluzhboj_bits_gruzit_trafik-6224216.html[/url] |
[quote=Напас Напасович;43213332]Под админом запустить[/quote] Как запустить под админом? Я что не под админом по умолчанию в Windows 8.0 сижу? |
Сейчас служба BITS снова запустилась, стала качать с мегафоновского 31.173.164.15:80, я её остановил. Тогда GoogleUpdate.exe стал качать оттуда же (31.173.164.15:80), прибил и этот процесс (он обновится и эта аномалия исчезнет, а мне интересно разобраться). |
На [url]http://31.173.164.15/[/url] находится WEB-сервер, который редиректит на [url]https://www.google.ru/[/url] с некоторыми переменными. При переходе по несуществующему адресу [url]http://31.173.164.15/sgfsdfsdf[/url] страница ошибки от поиска Гугл. У Гугла есть практика установки у крупных провайдеров своих серверов кэширования для ускорения работы Ютуба и прочих их сервисов, возможно это из той же оперы. Можно отследить, что именно туда долбится и на какие URL, но вам сложно объяснить как это сделать. Как смотреть задания службы BITS вам в прошлой теме уже ссылки давали, смотреть надо задания всех пользователей, соответственно от админа. На [url]https://31.173.164.15/[/url] для SSL стоит сертификат для сервисов Гугла. Сертификат действителен только для следующих имён: *.googlevideo.com, *.a1.googlevideo.com, *.c.doc-0-0-sj.sj.googleusercontent.com, *.googlezip.net, *.gvt1.com, *.xn--ngstr-lra8j.com, xn--ngstr-lra8j.com |
Да, это провайдерский кэш гугла. Вывод nslookup google.com через Мегафон и с его DNS-серверами выдает IP из их подсети. [url]https://toster.ru/q/194529[/url] [url]https://geektimes.ru/post/93864/[/url] Т.е. именно это не проявления вирусов. Но практика использования BITS вирусами есть, но они явно что-то качают не с Мегафона и качают обычно не много. |
avast тоже безо всяких BITS-ов обновлялся с мегафоновского сервера. А как обновился (программа и базы), то стал уже обновляться со своих австовских серверов. Версия. В аваст встроена обновлялка разного критичного для безопасности софта. Мож это аваст так подкорректировал систему или обновляльщики софта, что обновляется с мегафона (первый раз, потом со своих собственных серверов уже софт обновляется). |
23-Напас Напасович > Если бы это был гугловский кэш у провайдера (GGC), а он завязан на DNS, то у меня в мониторе ресурсов отображались бы имена сайтов, а у меня отображаются ip мегафоновские. То есть "коррекция" произедена была каким-то другим механизмом, не GGC. |
[quote=tmp;43216170]то у меня в мониторе ресурсов отображались бы имена сайтов[/quote] Админы Мегафона в обратной зоне не прописали, вот и не отображаются. В инструкции Гугла об этом есть. Это 99% кэш Гугла у Мегафона. Он имеет следующий диапазон IP 31.173.164.15-31.173.164.25 |
Сменил у себя DNSы на по умолчанию (мегафоновские). [quote=Напас Напасович;43216391]31.173.164.15[/quote] У меня BITS лазил и на .14 и на .13 Посмотрел Панель управления -> Учётные записи пользователей, пользователь под которым я сижу там описан как Администратор. Где-то более подробно можно видеть всех пользователей и их права, кажысь, в Администрирование -> Управление компьютером, но там про пользователей чё-то вообще ничего нет. Мож я неправильно помню. Где пользователей и их права настраивать? |
27-tmp > Да, там еще шире диапазон - от 12 до 27 адресов. В этой ссылке [url]http://31.173.164.15/sfsfsfs[/url] последнюю цифру меняй и убедишься. |
Чё-та тычу правй кнопкой мыши в Мой компьютер, выбираю Управление, попадаю в Управление компьютером. Кажысь там должны быть пользователи и группы, а их чё-та там нет, есть Управление дисками, Планировщик заданий и тому подобное, а про пользователей ничего нет! Блин, чё делать? |
29-tmp >там не должно быть пользователей и групп. Это другая оснастка. |
А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ. |
[quote=tmp;43218075] А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ. [/quote] Запустите cmd от Администратора |
[quote=Напас Напасович;43213391]С ключом -bnv и под админом что видно про это третье соединение?[/quote] Только включил BITS поначалу было TCP 192.168.0.182:58034 173.194.122.222:443 TIME_WAIT TCP 192.168.0.182:58076 173.194.122.222:443 TIME_WAIT TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED BITS [svchost.exe] потом стало (и щас с него довнлодится): TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED BITS [svchost.exe] |
По BITS это поможет [url]https://blogs.technet.microsoft.com/cmpfekevin/2014/01/29/troubleshooting-bits-with-powershell/[/url] [url]http://woshub.com/copying-large-files-using-bits-and-powershell/[/url] Продолжаю считать, что качает что-то от Гугла, а из-за его кэша идет на IP Мегафона. Да и 173.194.122.222 из сети Гугла. |
Вот что в PowerShell выдал по поводу заданий BITSа: PS C:\Windows\system32> Get-BitsTransfer -AllUsers JobId DisplayName TransferType JobState OwnerAccount ----- ----------- ------------ -------- ------------ 6117515d-e2d7-416b-8937-73059868d025 C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe Download Error asus\Z 4ca92d6c-96ea-4be3-970e-c82f3acde990 C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe Download Error asus\Z 9684e503-d73f-439e-92e1-8154f7f4ed3d C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe Download Error asus\Z 25a6dda5-bd37-4749-b32b-7d3349b648f2 C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe Download Error asus\Z f2b310f6-1311-4d59-9042-e4a9415c734d C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe Download Error asus\Z 9fcde11d-1f89-41d5-8223-0424dba4f556 C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe Download Error asus\Z 0de3b223-ca65-4af6-a291-2ea8781cc182 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z 7622133f-42e9-480d-a864-09bca088c79b 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z 49b3d27c-341c-44e9-af5f-1296615c183d 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z 6382a72f-62c7-402b-8eac-d27ca5e37a42 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z 57e10b13-f009-4028-8507-163185a0df30 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z a77736f8-11c4-4957-87e0-71b522d6fda9 C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe Download Error asus\Z 1a2eef3c-8a25-4234-86f6-a720119ef05c C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe Download Error asus\Z 98f7148a-1184-475b-85f5-26a15404815f C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe Download Error asus\Z 59e54199-6ef7-4eaf-bf95-f24987a6a296 C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe Download Transferring asus\Z 68b908c8-cf69-4dd0-b7db-27f4d29830e5 C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe Download Queued asus\Z 4be76c3f-66b1-4222-baed-f7d36d7612c9 C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z 11a69e90-686c-4fc2-a8dd-0a27e9cc5a75 C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z |
35-tmp > И какие выводы? Так будет лучше видно откуда пытается качать Get-BitsTransfer -AllUsers | select -ExpandProperty FileList |
PS C:\Windows\system32> Get-BitsTransfer -AllUsers | select -ExpandProperty FileList RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/75ryszde7h8em0k1avbhcw22pmho8sshgh7kksdc0g4jaae5oj5sjomavr0r5oli3fkqttzbtadeyd3hog8cdv972rtokd7tbxi/54.0.2840.87_chrome_installer.exe?cms_redirect=yes&expire=1478573614&ip=188.170.192.52&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478559194&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=38C78EB6D1485C2379FDB1DBCA2A33BE0FDBF9C7.746AFCFBEE6096E0F2DB87994B4E0E7766FD04A3&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe IsTransferComplete : False BytesTotal : 44312440 BytesTransferred : 46290 RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe?cms_redirect=yes&expire=1478590306&ip=188.170.198.156&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478575871&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=49C35C550E7B6EC3B2168D3A6A8B92EC65DD8E67.6F3CA2F6A70CCEABBAF5DE3F9ACDB62C482146AC&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : 1065376 BytesTransferred : 425345 RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe?cms_redirect=yes&expire=1478603865&ip=188.170.198.156&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478589433&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=6119D395C9C361F83975CAC25E03440005F5D640.69EA19A9917C2458F49F11E473C7E8A78CAECD20&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : 1065376 BytesTransferred : 231192 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]https://www.google.com/dl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url] LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_22470\23.0.0.205_win_PepperFlashPlayer.crx IsTransferComplete : False BytesTotal : 9101553 BytesTransferred : 440047 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url] LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_10524\23.0.0.205_win_PepperFlashPlayer.crx IsTransferComplete : False BytesTotal : 9101553 BytesTransferred : 424673 RemoteName : [url]http://dl.google.com/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url] LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_17084\23.0.0.205_win_PepperFlashPlayer.crx IsTransferComplete : False BytesTotal : 9101553 BytesTransferred : 461765 RemoteName : [url]https://dl.google.com/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url] LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_14389\23.0.0.205_win_PepperFlashPlayer.crx IsTransferComplete : False BytesTotal : 9101553 BytesTransferred : 378517 RemoteName : [url]http://www.google.com/dl/release2/13ohcdupqnp6g1hd6245tu0bhyoix1siltx2qd3x3qk9dwfnq9lizex3rq137yabqcd1368w3cabc3ubd4h984kskq0au79c5xa3/23.0.0.205_win_PepperFlashPlayer.crx[/url] LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_21291\23.0.0.205_win_PepperFlashPlayer.crx IsTransferComplete : False BytesTotal : 9101553 BytesTransferred : 1118515 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]http://redirector.gvt1.com/edgedl/release2/c2wi86noeoice57f7yfcpfhp87as81dau31xqkis6ckd03j2fpbc4m31xj5gb6kwtoxw4szv6mvkxbv34v9t5avr4j1twj8hpzc/GoogleUpdateSetup.exe[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe IsTransferComplete : False BytesTotal : -1 BytesTransferred : 0 RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478797859&ip=185.3.32.155&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478783426&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=8133CAC6DB27AF31CAC9C91BCFB1F98220318D14.4D2A870E87EB6B11D7793096C11732299202FCBA&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe IsTransferComplete : False BytesTotal : 44295032 BytesTransferred : 24966530 RemoteName : [url]http://r4---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478810919&ip=185.3.32.155&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478796500&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=58A975C797BE070F104005E6BA43B38D393DAF86.17E6FE095B83EB29C8DD00428A4C6EF8217901E3&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe IsTransferComplete : False BytesTotal : 44295032 BytesTransferred : 19854358 RemoteName : [url]http://r2---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/ezbm0a4fjkacwgs2q5at7rt9s67k2nhbw699ueaogswdxjyuqgiyx6bqhbfep9oq4e66sp7jq0s8gb6hose6udmfav6hhmke6li/54.0.2840.71_chrome_installer.exe?cms_redirect=yes&expire=1478861395&ip=188.170.193.206&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478846958&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=1BD578D93B4025D82855EC7CB5BA04FAEBB81FA7.1167A25ECC29E9342C836F4BB8FE3AC90CFCAD17&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe IsTransferComplete : False BytesTotal : 44295032 BytesTransferred : 26251105 RemoteName : [url]http://r3---sn-hxb54vo-3gge.gvt1.com/edgedl/release2/1489stusqliyhmfz01he51gb3znqcmchezv8feuvd35g4o0y0ayd5bpggs5cedfdf3thq52ltk9rqcz4msy5sa8z0bl1wijexm49/54.0.2840.99_chrome_installer.exe?cms_redirect=yes&expire=1478861695&ip=188.170.193.206&ipbits=0&mm=28&mn=sn-hxb54vo-3gge&ms=nvh&mt=1478847254&mv=m&pcm2cms=yes&pl=26&shardbypass=yes&sparams=expire,ip,ipbits,mm,mn,ms,mv,pcm2cms,pl,shardbypass&signature=39203C44165FE399BEDD6D8542E4D793D2F25CC7.2DF12F804F8309EBC4FA2A3910E6CA3E94BC8561&key=cms1[/url] LocalName : C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe IsTransferComplete : False BytesTotal : 44351864 BytesTransferred : 20892849 |
[quote=Напас Напасович;43219272]И какие выводы?[/quote] Понимаю, намекаешь на GGC. Но вот что странно. Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip. |
Ну, имена файлов и URL для скачивания полностью подтверждают мое мнение. А эти гугловские домены резолвятся(или редиректятся) в IP Мегафона из-за поднятого у них кэша Гугла. Flash, Chrome и гугловский апдейтер пытаются обновится. [quote=tmp;43219438]Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip[/quote] Сейчас это не видно. В другой раз смотри netstat и задания BITS. |
Текущее время: 17:02. Часовой пояс GMT +3. | [1] [2] |