К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Реклама
Рекомендовать в новости

Вирь или не вирь, как разобраться?

tmp
0 - 10.11.2016 - 14:44
В общем пришла мне от "Мегафона" на телефон недавно SMS-ка с предложением интернета на льготных условиях (дешевле). Согласился. Это интернет с ограничением суточного трафика 150Mb. Симку воткнул в компьютер в USB модем. Компьютер этот (и проги, установленные на нём) не обновлялся где-то год. Подключился к интернету, что блин началось! Трафик в начале суток улетает очень быстро и с интернетом наступает оппа (64kbit/s), да ещё при этом всякоразные обновляльщики канал забивают, получается не пользование интернета, а мазохизм.
Возможно так и должно быть - обнови софт и будет тебе счастье. Но вот что странно. Служба BITS почему-то качает обновления с ip-шников, принадлежащих сети "Мегафон", вроде год назад такого не было, обновления качались или с сайтов программ или облачных служб типа акамй_технолоджис. Остановил службу BITS. Тогда программы начинают обновлять себя без неё. GoogleUpdate.exe тоже стал качать что-то с мегафоновского ip-шника, грохнул пока. Обновляльщик Оперы тоже что-то пытается качать с мегафоновского ip. Антивирус Avast (не пользуется BITS-ом вообще) запускает instup.exe (обновляльщик) и тоже качает что-то с мегафоновского ip. Опера открывает сайты, но параллельно с установкой с соединений с ними устанавливает соединение с мегафоновским ip-шником. Только завалявшаяся у меня на компе старенькая Опера (на старом движке) открывает сайты нормально, без создания соединения с мегафоновским ip, с неё и лажу в интернет, поубивав процессы обновляльщиков.
Эти разные ip-шники мегафоновские не имеют доменных имён. Мониторю интернет встроенным в Windows 8.0 монитором ресурсов. Там не видно на какой порт устанавливается соединение с мегафоновским ip-шником. Может если посмотреть на какой порт ломятся обновляльщики и некоторые браузеры, то станет понятнее (может вирь dos-ит эти мегафоновские ip-шники). Какую программу для мониторинга соединений интернета посоветуете? ЧТоб и порты отображались.



tmp
1 - 10.11.2016 - 15:03
Проверял перечисленные выше exe-шники на ВирусТотал, пишет что нет в них вирусов.
2 - 10.11.2016 - 15:41
Сдается мне, вы путаетесь в IP, ибо Мегафон выдает абонентам серые адреса из специальной сети NetRange: 100.64.0.0 - 100.127.255.255

netstat в консоли с нужными ключами и вывод (или скриншот) сюда вставьте.
tmp
3 - 10.11.2016 - 21:34
C:\Users\Z>netstat

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 127.0.0.1:52005 asus:52006 ESTABLISHED
TCP 127.0.0.1:52006 asus:52005 ESTABLISHED
TCP 192.168.0.182:49979 ams10-003:http ESTABLISHED
TCP 192.168.0.182:52595 31.173.164.15:http ESTABLISHED
TCP 192.168.0.182:52665 hk2sch130021137:https ESTABLISHED
TCP 192.168.0.182:57500 r-150-58-45-5:http CLOSE_WAIT


31.173.164.15 - это адрес мегафоновской сети. У мегафона несколько подсетей (общее у них то, что зарегистрированы на владельца PtP и по одному и тому же адресу в Самаре. Эта хрень лезет то к ip-шникам из одной группы мегафоновских сетей (где эти ip явно из группы, где в данных регистрации написано, что они мегафоновские), то к ip-шникам из другой группы, как в этом примере, но эта сеть я уже понял, что тоже мегафоновская. Вот её данные:
General Information
Hostname
Cannot be resolved
IP
31.173.164.15


Network Information
Имя
CUSTOMER-30-LAN-31-173-164
Диапазон адресов
31.173.164.0 - 31.173.164.255
Владелец
PtP
Расположение
Moskovskoe shosse, 15, 443080, Samara, Russia
Гость
4 - 10.11.2016 - 21:38
поставте outpost firewall и рулите им трафик
Гость
5 - 10.11.2016 - 21:41
31.173.164.15 - IP магистральной сети Мегофона
tmp
6 - 10.11.2016 - 21:51
Вот адрес из другой явно мегафоновской группы: 37.29.19.89. С него (не знаю уж с кагого порта) я сегодня ранее обновил антивирус Avast (полностью на новую версию, а не только базы). Так вот его обновляльщик instup.exe качал именно с 37.29.19.89, с затыками, ошибками кое-как но выкачать получилось. Полное сканирование вирусов на компьютере не обнаружило.
General Information
Hostname
Cannot be resolved
IP
37.29.19.89
Preferable MX
mx2.megafon.ru


Network Information
Имя
CUSTOMER-30-LAN-37-29-16
Диапазон адресов
37.29.18.0 - 37.29.23.255
Владелец
PtP
Расположение
Moskovskoe shosse, 15, 443080, Samara, Russia


Domain Information
Имя
MEGAFON.RU
Владелец
PJSC "MegaFon"
Сервера имен
ns1.misp.ru, ns2.misp.ru
Статус
REGISTERED, DELEGATED, VERIFIED
tmp
7 - 10.11.2016 - 21:59
Avast раньше обновлялся со своих серверов, что за хрень? Когда установил новую версию, то тоже теперь качает со своих серверов, а не с мегафоновских адресов каких-то.
Обновлялка AdobeARM.exe тоже когда лезет обновляться, то исключительно на мегафоновские адреса, сначала через BITS начинает, когда останавливаю эту службу, то exe-шником, но по-любому с мегафона! Что может быть, есть идеи?
tmp
8 - 10.11.2016 - 22:06
Короче, все обновления почему-то качались с мегафоновских ip, на которых было установлено что-то типа прокси, то что это за прокси неизвестно (не исключено что с дополнительными вирусными функциями).
Гость
9 - 10.11.2016 - 22:06
попробуйте поставить dns : 8.8.8.8, 8.8.4.4, и обновиться
и покажите IP свой с любого сервиса (2ip.ru|пример)
Гость
10 - 10.11.2016 - 22:11
Любому провайдеру выгоднее кешировать популярные данные, такие как обновления windows, антивирусов и т.д. - вероятность наличия вредоносного кода = 0, поверьте есть более продвинутые способы получения/анализа трафика от вас, а вообще касательно мобильно интернета от Мегафона могу сказать что это "плохой" провайдер и на это есть ряд аргументов
tmp
11 - 10.11.2016 - 22:48
9-КраснодарАйТи > Мой IP по данным 2ip.ru 185.3.32.155
12 - 10.11.2016 - 22:51
1. Отключите у netstat резолвинг IP в имя
2. У него есть ключ, который покажет идентификатор процесса, установившего соединение. Процесс по идентификатору искать в диспетчере задач
3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP
tmp
13 - 10.11.2016 - 23:26
DNSы поменял на гугловские, как рекомендовано в (9), только зачем, я не понял? Ничего в принципе не изменилось.

C:\Users\Z>netstat -na

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49160 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49161 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5939 0.0.0.0:0 LISTENING
TCP 127.0.0.1:27275 0.0.0.0:0 LISTENING
TCP 127.0.0.1:52005 127.0.0.1:52006 ESTABLISHED
TCP 127.0.0.1:52006 127.0.0.1:52005 ESTABLISHED
TCP 127.0.0.1:52007 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61509 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61510 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61511 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61512 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61513 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61514 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61515 0.0.0.0:0 LISTENING
TCP 127.0.0.1:61516 0.0.0.0:0 LISTENING
TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED
TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED
TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED
TCP [::]:135 [::]:0 LISTENING
TCP [::]:445 [::]:0 LISTENING
TCP [::]:49152 [::]:0 LISTENING
TCP [::]:49153 [::]:0 LISTENING
TCP [::]:49154 [::]:0 LISTENING
TCP [::]:49160 [::]:0 LISTENING
TCP [::]:49161 [::]:0 LISTENING
TCP [::1]:27275 [::]:0 LISTENING
TCP [::1]:49155 [::]:0 LISTENING
TCP [::1]:61509 [::]:0 LISTENING
TCP [::1]:61510 [::]:0 LISTENING
TCP [::1]:61511 [::]:0 LISTENING
TCP [::1]:61512 [::]:0 LISTENING
TCP [::1]:61513 [::]:0 LISTENING
TCP [::1]:61514 [::]:0 LISTENING
TCP [::1]:61515 [::]:0 LISTENING
TCP [::1]:61516 [::]:0 LISTENING
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:51760 *:*
UDP 0.0.0.0:56832 *:*
UDP 0.0.0.0:56834 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:51758 *:*
UDP 127.0.0.1:57186 *:*
UDP 192.168.0.182:1900 *:*
UDP 192.168.0.182:5353 *:*
UDP 192.168.0.182:57185 *:*
UDP [::]:500 *:*
UDP [::]:4500 *:*
UDP [::]:5355 *:*
UDP [::]:56833 *:*
UDP [::1]:1900 *:*
UDP [::1]:5353 *:*
UDP [::1]:57184 *:*
UDP [fe80::58a0:64cb:121f:cc04%18]:1900 *:*
UDP [fe80::58a0:64cb:121f:cc04%18]:57183 *:*
tmp
14 - 10.11.2016 - 23:38
Из них на мой взгляд интересны 3:
TCP 192.168.0.182:49536 65.52.108.208:443 ESTABLISHED
TCP 192.168.0.182:64499 5.45.62.54:80 ESTABLISHED
TCP 192.168.0.182:65519 31.173.164.15:80 ESTABLISHED

первое - это процесс explorer.exe зачем-то устанавливает соединение с msnbot-65-52-108-208.search.msn.com
второе - это процесс AvastSvc.exe весьма часто держит соединение с ams10-004.ff.avast.com
третье - это процесс svchost.exe (netsvcs), короче его служба BITS что-то обновляет (мож винду, мож ещё чё) только почему-то с мегафоновского адреса
tmp
15 - 10.11.2016 - 23:46
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
3. С модемом Мегафона идет менеджер подключений, который и может долбиться на их IP
Да он иногда обращается изредка в сеть, с ним проблем нет.
У netstat-а есть интересный ключик:
-b Отображение исполняемого файла, участвующего в создании каждого подключения или порта прослушивания. Иногда известные исполняемые файлы содержат множество независимых компонентов. Тогда отображается последовательность компонентов, участвующих в создании подключения или порта прослушивания. В этом случае имя исполняемого файла находится снизу в скобках [], сверху находится вызванный им компонент, и так до тех пор, пока не достигнут TCP/IP. Заметьте, что такой подход может занять много времени и требует достаточных разрешений.
.
Так вот с этим ключём пишет "Запрошенная операция требует повышения." А функция интересная, что делать?
16 - 10.11.2016 - 23:51
14-tmp > BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее.

15-tmp > Под админом запустить. Ключей -bn хватит
tmp
17 - 11.11.2016 - 00:00
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
BITS ничего не должен качать по http. С третьей строчкой разберись конкретнее.
Это BITS стопудово, включаю эту службу и появляется именно это соединение, отключаю - исчезает. Проверено много раз.
18 - 11.11.2016 - 00:03
17-tmp > С ключом -bnv и под админом что видно про это третье соединение?
Действительно странно, что идет на IP Мегафона. Пока подозреваю, что это их прога для модема.
19 - 11.11.2016 - 00:19
Аффтар занятный Как узнать какой процесс/служба пользуется службой BITS? Грузит трафик.
tmp
20 - 11.11.2016 - 00:25
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
Под админом запустить
Как запустить под админом? Я что не под админом по умолчанию в Windows 8.0 сижу?
tmp
21 - 11.11.2016 - 00:54
Сейчас служба BITS снова запустилась, стала качать с мегафоновского 31.173.164.15:80, я её остановил. Тогда GoogleUpdate.exe стал качать оттуда же (31.173.164.15:80), прибил и этот процесс (он обновится и эта аномалия исчезнет, а мне интересно разобраться).
22 - 11.11.2016 - 10:45
На http://31.173.164.15/ находится WEB-сервер, который редиректит на https://www.google.ru/ с некоторыми переменными.
При переходе по несуществующему адресу http://31.173.164.15/sgfsdfsdf страница ошибки от поиска Гугл.

У Гугла есть практика установки у крупных провайдеров своих серверов кэширования для ускорения работы Ютуба и прочих их сервисов, возможно это из той же оперы.

Можно отследить, что именно туда долбится и на какие URL, но вам сложно объяснить как это сделать.

Как смотреть задания службы BITS вам в прошлой теме уже ссылки давали, смотреть надо задания всех пользователей, соответственно от админа.

На https://31.173.164.15/ для SSL стоит сертификат для сервисов Гугла.
Сертификат действителен только для следующих имён: *.googlevideo.com, *.a1.googlevideo.com, *.c.doc-0-0-sj.sj.googleusercontent.com, *.googlezip.net, *.gvt1.com, *.xn--ngstr-lra8j.com, xn--ngstr-lra8j.com
23 - 11.11.2016 - 12:12
Да, это провайдерский кэш гугла.
Вывод nslookup google.com через Мегафон и с его DNS-серверами выдает IP из их подсети.
https://toster.ru/q/194529
https://geektimes.ru/post/93864/

Т.е. именно это не проявления вирусов.
Но практика использования BITS вирусами есть, но они явно что-то качают не с Мегафона и качают обычно не много.
tmp
24 - 11.11.2016 - 12:26
avast тоже безо всяких BITS-ов обновлялся с мегафоновского сервера. А как обновился (программа и базы), то стал уже обновляться со своих австовских серверов.
Версия. В аваст встроена обновлялка разного критичного для безопасности софта. Мож это аваст так подкорректировал систему или обновляльщики софта, что обновляется с мегафона (первый раз, потом со своих собственных серверов уже софт обновляется).
tmp
25 - 11.11.2016 - 13:16
23-Напас Напасович > Если бы это был гугловский кэш у провайдера (GGC), а он завязан на DNS, то у меня в мониторе ресурсов отображались бы имена сайтов, а у меня отображаются ip мегафоновские. То есть "коррекция" произедена была каким-то другим механизмом, не GGC.
26 - 11.11.2016 - 13:48
Цитата:
Сообщение от tmp Посмотреть сообщение
то у меня в мониторе ресурсов отображались бы имена сайтов
Админы Мегафона в обратной зоне не прописали, вот и не отображаются. В инструкции Гугла об этом есть.

Это 99% кэш Гугла у Мегафона. Он имеет следующий диапазон IP 31.173.164.15-31.173.164.25
tmp
27 - 11.11.2016 - 14:04
Сменил у себя DNSы на по умолчанию (мегафоновские).
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
31.173.164.15
У меня BITS лазил и на .14 и на .13
Посмотрел Панель управления -> Учётные записи пользователей, пользователь под которым я сижу там описан как Администратор.
Где-то более подробно можно видеть всех пользователей и их права, кажысь, в Администрирование -> Управление компьютером, но там про пользователей чё-то вообще ничего нет. Мож я неправильно помню. Где пользователей и их права настраивать?
28 - 11.11.2016 - 14:10
27-tmp > Да, там еще шире диапазон - от 12 до 27 адресов.
В этой ссылке http://31.173.164.15/sfsfsfs последнюю цифру меняй и убедишься.
tmp
29 - 11.11.2016 - 14:18
Чё-та тычу правй кнопкой мыши в Мой компьютер, выбираю Управление, попадаю в Управление компьютером. Кажысь там должны быть пользователи и группы, а их чё-та там нет, есть Управление дисками, Планировщик заданий и тому подобное, а про пользователей ничего нет! Блин, чё делать?
Гость
30 - 11.11.2016 - 17:40
29-tmp >там не должно быть пользователей и групп. Это другая оснастка.
tmp
31 - 11.11.2016 - 17:51
А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ.
Гость
32 - 11.11.2016 - 19:42
Цитата:
Сообщение от tmp Посмотреть сообщение
А где мне посмотреть пользователей, группы, права? А то судя по реакции netstat-а я не админ, а судя по Панель управления -> Учётные записи пользователей я админ.
Запустите cmd от Администратора
tmp
33 - 11.11.2016 - 20:26
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
С ключом -bnv и под админом что видно про это третье соединение?
Только включил BITS поначалу было
TCP 192.168.0.182:58034 173.194.122.222:443 TIME_WAIT
TCP 192.168.0.182:58076 173.194.122.222:443 TIME_WAIT
TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED
BITS
[svchost.exe]

потом стало (и щас с него довнлодится):
TCP 192.168.0.182:58208 31.173.164.13:80 ESTABLISHED
BITS
[svchost.exe]
34 - 11.11.2016 - 20:35
По BITS это поможет
https://blogs.technet.microsoft.com/...th-powershell/
http://woshub.com/copying-large-file...nd-powershell/

Продолжаю считать, что качает что-то от Гугла, а из-за его кэша идет на IP Мегафона.

Да и 173.194.122.222 из сети Гугла.
tmp
35 - 11.11.2016 - 21:17
Вот что в PowerShell выдал по поводу заданий BITSа:
PS C:\Windows\system32> Get-BitsTransfer -AllUsers

JobId DisplayName TransferType JobState OwnerAccount
----- ----------- ------------ -------- ------------
6117515d-e2d7-416b-8937-73059868d025 C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe Download Error asus\Z
4ca92d6c-96ea-4be3-970e-c82f3acde990 C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe Download Error asus\Z
9684e503-d73f-439e-92e1-8154f7f4ed3d C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe Download Error asus\Z
25a6dda5-bd37-4749-b32b-7d3349b648f2 C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe Download Error asus\Z
f2b310f6-1311-4d59-9042-e4a9415c734d C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe Download Error asus\Z
9fcde11d-1f89-41d5-8223-0424dba4f556 C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe Download Error asus\Z
0de3b223-ca65-4af6-a291-2ea8781cc182 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
7622133f-42e9-480d-a864-09bca088c79b 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
49b3d27c-341c-44e9-af5f-1296615c183d 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
6382a72f-62c7-402b-8eac-d27ca5e37a42 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
57e10b13-f009-4028-8507-163185a0df30 23.0.0.205_win_PepperFlashPlayer.crx Download Error asus\Z
a77736f8-11c4-4957-87e0-71b522d6fda9 C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe Download Error asus\Z
1a2eef3c-8a25-4234-86f6-a720119ef05c C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe Download Error asus\Z
98f7148a-1184-475b-85f5-26a15404815f C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe Download Error asus\Z
59e54199-6ef7-4eaf-bf95-f24987a6a296 C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe Download Transferring asus\Z
68b908c8-cf69-4dd0-b7db-27f4d29830e5 C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe Download Queued asus\Z
4be76c3f-66b1-4222-baed-f7d36d7612c9 C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z
11a69e90-686c-4fc2-a8dd-0a27e9cc5a75 C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe Download Queued asus\Z
36 - 11.11.2016 - 21:20
35-tmp > И какие выводы?

Так будет лучше видно откуда пытается качать
Get-BitsTransfer -AllUsers | select -ExpandProperty FileList
tmp
37 - 11.11.2016 - 21:41
PS C:\Windows\system32> Get-BitsTransfer -AllUsers | select -ExpandProperty FileList

RemoteName : http://r4---sn-hxb54vo-3gge.gvt1.com...D04A3&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{615A8BD8-7E22-4DA3-87F4-F1DA7BE35638**-54.0.2840.87_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44312440
BytesTransferred : 46290

RemoteName : http://r2---sn-hxb54vo-3gge.gvt1.com...146AC&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{2CDBBD2F-CD53-4C0C-A0A3-6E5887D3F509**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : 1065376
BytesTransferred : 425345

RemoteName : http://r2---sn-hxb54vo-3gge.gvt1.com...ECD20&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{601768A4-C563-44AB-872D-BAE2D254EE2E**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : 1065376
BytesTransferred : 231192

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{771C0918-C65C-4CE8-8266-75089F2894E9**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{FDB4CE7F-F88B-4AC6-B7C2-07CA15CD8B4E**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{D5FFFF09-CBAA-40D7-842F-2A35521F73B0**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : https://www.google.com/dl/release2/1...lashPlayer.crx
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_224 70\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 440047

RemoteName : http://redirector.gvt1.com/edgedl/re...lashPlayer.crx
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_105 24\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 424673

RemoteName : http://dl.google.com/release2/13ohcd...lashPlayer.crx
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_170 84\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 461765

RemoteName : https://dl.google.com/release2/13ohc...lashPlayer.crx
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_143 89\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 378517

RemoteName : http://www.google.com/dl/release2/13...lashPlayer.crx
LocalName : C:\Users\Z\AppData\Local\Temp\chrome_BITS_3828_212 91\23.0.0.205_win_PepperFlashPlayer.crx
IsTransferComplete : False
BytesTotal : 9101553
BytesTransferred : 1118515

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{C83D8670-5E10-4420-8E72-AFA95B3BA9B5**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{5192FDE5-C21A-457A-B907-65E0DCFB9B8B**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : http://redirector.gvt1.com/edgedl/re...pdateSetup.exe
LocalName : C:\Users\Z\AppData\Local\Temp\{6DEA838D-AF88-4257-8A8A-FF6551DFF6B9**-GoogleUpdateSetup.exe
IsTransferComplete : False
BytesTotal : -1
BytesTransferred : 0

RemoteName : http://r4---sn-hxb54vo-3gge.gvt1.com...2FCBA&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{454709D1-DF86-4F67-A55C-47A6B745886C**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 24966530

RemoteName : http://r4---sn-hxb54vo-3gge.gvt1.com...901E3&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{690856EC-1588-4FE6-B6BD-ACAE1E752E19**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 19854358

RemoteName : http://r2---sn-hxb54vo-3gge.gvt1.com...CAD17&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{F9EE47B6-88E1-496A-9A75-C44ED5F5949E**-54.0.2840.71_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44295032
BytesTransferred : 26251105

RemoteName : http://r3---sn-hxb54vo-3gge.gvt1.com...C8561&key=cms1
LocalName : C:\Users\Z\AppData\Local\Temp\{DDD39EA2-5E26-4AA9-AD34-2478302BDF43**-54.0.2840.99_chrome_installer.exe
IsTransferComplete : False
BytesTotal : 44351864
BytesTransferred : 20892849
tmp
38 - 11.11.2016 - 21:46
Цитата:
Сообщение от Напас Напасович Посмотреть сообщение
И какие выводы?
Понимаю, намекаешь на GGC. Но вот что странно. Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip.
39 - 11.11.2016 - 21:49
Ну, имена файлов и URL для скачивания полностью подтверждают мое мнение. А эти гугловские домены резолвятся(или редиректятся) в IP Мегафона из-за поднятого у них кэша Гугла.

Flash, Chrome и гугловский апдейтер пытаются обновится.

Цитата:
Сообщение от tmp Посмотреть сообщение
Обновляльщики и avast (не пользуется BITS вообще) и Акробата и Оперы качались с мегафоновского ip
Сейчас это не видно. В другой раз смотри netstat и задания BITS.


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены