Windows это один сплошной "троянский конь"

Lord_Evil · 16-08-11 19:37:11

Использованная утилита https://technet.microsoft.com/en-us/sysi … s/bb897437
Мой комп, Windows Server 2008 R2 Standard (Лицензионная)

Luca's комп, Windows 7(х3, какой версии и лицензии)

Некий системный процесс лезет на посторонние ресурсы и иногда ждед траф в ниибических количествах. Как это объяснить?

savuor · 16-08-11 20:08:35

Я как-то тоже смотрел за виндой с помощью этой утилиты. В списках не было ни одного адреса, не связанного с теми сайтами, которые я открывал в браузере, или серверами, к которым коннектился qip и другие проги. Может, оно просто перекидывает прием/отправку некоторых сообщений на системный процесс, типа как процесс-посредник?

Lord_Evil · 16-08-11 22:10:45

savuor, эти соединения не постоянно открыты. Некоторое время все спит, а потом опять пачкой вылазят..

Alex Ort · 17-08-11 05:18:09

На картинке не видно нихрена.
Что было у меня. Дважды какой-то гад качал-закачивал на неведомые сайты, и это при рабочем КИСе.
Долгое расследование показало, что это был богомерзкий Гугл-Апдейтер, внедрившийся в svсhost
С тех пор я никаких программ от Гугла на компе не держу, в т.ч. и этот ваш Хром.

Белая рысь · 17-08-11 11:50:24

Win7SP1 Ultimate Rus

avp.exe    1540    TCP    lnote    nfsd-status    lnote    0    LISTENING                                        
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49211    ESTABLISHED    7    630    7    275                        
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49215    ESTABLISHED            6    264                        
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49238    ESTABLISHED            4    24                        
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49300    ESTABLISHED    1    37                                
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49302    ESTABLISHED    7    630    7    371                        
avp.exe    1540    TCP    lnote    nfsd-status    localhost    49304    ESTABLISHED    7    630    7    371                        
avp.exe    1540    TCP    lnote    49213    edd-external.online.yandex.net    5222    ESTABLISHED    7    275    7    630                        
avp.exe    1540    TCP    lnote    49216    mrim40.mail.ru    2041    ESTABLISHED    6    264                                
avp.exe    1540    TCP    lnote    49239    bos-p042c-rdr1.blue.icq.net    https    ESTABLISHED    4    24                                
avp.exe    1540    TCP    lnote    49301    fx-in-f108.1e100.net    imaps    ESTABLISHED            1    37                        
avp.exe    1540    TCP    lnote    49303    imap.yandex.ru    imap    ESTABLISHED    7    371    7    630                        
avp.exe    1540    TCP    lnote    49305    imap.yandex.ru    imap    ESTABLISHED    7    371    7    630                        
avp.exe    1540    TCPV6    lnote    nfsd-status    lnote    0    LISTENING                                        
iexplore.exe    2388    UDP    lnote    57596    *    *        2    2    2    2                        
iexplore.exe    2128    UDP    lnote    60975    *    *                                            
iexplore.exe    984    UDP    lnote    65181    *    *                                            
lsass.exe    564    TCP    lnote    49155    lnote    0    LISTENING                                        
lsass.exe    564    TCPV6    lnote    49155    lnote    0    LISTENING                                        
miranda32.exe    2976    TCP    lnote    49211    localhost    nfsd-status    ESTABLISHED    7    275    7    630                        
miranda32.exe    2976    TCP    lnote    49215    localhost    nfsd-status    ESTABLISHED    6    264                                
miranda32.exe    2976    TCP    lnote    49221    lnote    0    LISTENING                                        
miranda32.exe    2976    TCP    lnote    49238    localhost    nfsd-status    ESTABLISHED    4    24                                
services.exe    548    TCP    lnote    49156    lnote    0    LISTENING                                        
services.exe    548    TCPV6    lnote    49156    lnote    0    LISTENING                                        
svchost.exe    840    TCP    lnote    epmap    lnote    0    LISTENING                                        
svchost.exe    1152    TCP    lnote    ms-wbt-server    lnote    0    LISTENING                                        
svchost.exe    900    TCP    lnote    49153    lnote    0    LISTENING                                        
svchost.exe    112    TCP    lnote    49154    lnote    0    LISTENING                                        
svchost.exe    3044    TCP    lnote    49157    lnote    0    LISTENING                                        
svchost.exe    112    UDP    lnote    isakmp    *    *                                            
svchost.exe    1592    UDP    lnote    ssdp    *    *                                            
svchost.exe    1592    UDP    lnote    ssdp    *    *                                            
svchost.exe    1592    UDP    lnote    ws-discovery    *    *                                            
svchost.exe    1592    UDP    lnote    ws-discovery    *    *                                            
svchost.exe    112    UDP    lnote    ipsec-msft    *    *                                            
svchost.exe    1592    UDP    lnote    49152    *    *                                            
svchost.exe    1592    UDP    lnote    63486    *    *                                            
svchost.exe    1592    UDP    lnote    63487    *    *                                            
svchost.exe    840    TCPV6    lnote    epmap    lnote    0    LISTENING                                        
svchost.exe    1152    TCPV6    lnote    ms-wbt-server    lnote    0    LISTENING                                        
svchost.exe    900    TCPV6    lnote    49153    lnote    0    LISTENING                                        
svchost.exe    112    TCPV6    lnote    49154    lnote    0    LISTENING                                        
svchost.exe    3044    TCPV6    lnote    49157    lnote    0    LISTENING                                        
svchost.exe    112    UDPV6    lnote    500    *    *                                            
svchost.exe    1592    UDPV6    [0:0:0:0:0:0:0:1]    1900    *    *                                            
svchost.exe    1592    UDPV6    lnote    1900    *    *                                            
svchost.exe    1592    UDPV6    lnote    3702    *    *                                            
svchost.exe    1592    UDPV6    lnote    3702    *    *                                            
svchost.exe    112    UDPV6    lnote    4500    *    *                                            
svchost.exe    1592    UDPV6    lnote    49153    *    *                                            
svchost.exe    1592    UDPV6    lnote    63484    *    *                                            
svchost.exe    1592    UDPV6    [0:0:0:0:0:0:0:1]    63485    *    *                                            
System    4    TCP    lnote    netbios-ssn    lnote    0    LISTENING                                        
System    4    TCP    lnote    microsoft-ds    lnote    0    LISTENING                                        
System    4    TCP    lnote    wsd    lnote    0    LISTENING                                        
System    4    UDP    lnote    netbios-ns    *    *        54    2 700    53    2 650                        
System    4    UDP    lnote    netbios-dgm    *    *                                            
System    4    TCPV6    lnote    microsoft-ds    lnote    0    LISTENING                                        
System    4    TCPV6    lnote    wsd    lnote    0    LISTENING                                        
vmware-authd.exe    1896    TCP    lnote    912    lnote    0    LISTENING                                        
voyager.exe    1560    TCP    lnote    pop3    lnote    0    LISTENING                                        
voyager.exe    1560    TCP    lnote    49300    localhost    nfsd-status    ESTABLISHED            1    37                        
voyager.exe    1560    TCP    lnote    49302    localhost    nfsd-status    ESTABLISHED    7    371    7    630                        
voyager.exe    1560    TCP    lnote    49304    localhost    nfsd-status    ESTABLISHED    7    371    7    630                        
wininit.exe    500    TCP    lnote    49152    lnote    0    LISTENING                                        
wininit.exe    500    TCPV6    lnote    49152    lnote    0    LISTENING

УМВРЧЯДНТ? smile ) А по поводу скринов - ХЗ, ХЗ, что вы там понапихали в лицензионную винду все хором. Сама по себе она тока за апдейтами ходит. smile

Добавлено спустя 05 мин 35 с:
ЗЫЖ Система установлена не вчера:

C:\Users\lynx.lnote>systeminfo

Имя узла:                         LNOTE
Название ОС:                      Microsoft Windows 7 Максимальная
Версия ОС:                        6.1.7601 Service Pack 1 сборка 7601
Изготовитель ОС:                  Microsoft Corporation
Параметры ОС:                     Изолированная рабочая станция
Сборка ОС:                        Multiprocessor Free
Зарегистрированный владелец:      lynx
Зарегистрированная организация:
Код продукта:                     XXXXX-XXX-XXXXXXX-XXXXX
Дата установки:                   20.06.2011, 23:05:14

TrollWINNT · 17-08-11 21:31:39

При старте винды

Вроде никакого криминала. ICQ куда то полезла, но это нормально.

Через некоторое время

Все Ok/
А вот при запуске браузера появляется "system process" с идентификатором "0", который лезет куда попало. Думается это связано с прицепленными рекламками на интернет страничках, а так же запросах данных с других сайтов. Практически на каждом сайте сейчас данные с кучи местов smile . Так что, думается мне, ничего криминального в этом процессе нету. Заговор злобного Билли наверное непричем smile .

ЗЫ: Кстати и сами браузеры вполне могут запрашивать какие то данные слева. Проверка страничек, ускоритель в opera и.т.п. Shareware проги тоже из той же серии.

Редактировался TrollWINNT (17-08-11 21:35:59)

Lord_Evil · 19-08-11 05:02:02

Браузер был закрыт.. в том то и прикол.. Я не сразу надыбал нужную утилиту, до этого у меня что-то выкачало 500 метров интернетов.. все окна и свои проги позакрывал, из автоматических апдейтов был только MSE и он молчал.. хз. Проведу полное расследование и сообщу результаты. На данныый момент могу только заявить точно, что винда в целом и третесторонний софт под нее особо прожорлив до сетевых ресурсов. Что собсно напоминает очень хлам из педроид маркета.. с теми же рисками утечки информации..

Белая рысь · 19-08-11 09:34:46

Lord_Evil пишет:

Браузер был закрыт.. в том то и прикол.. Я не сразу надыбал нужную утилиту, до этого у меня что-то выкачало 500 метров интернетов.. все окна и свои проги позакрывал, из автоматических апдейтов был только MSE и он молчал.. хз. Проведу полное расследование и сообщу результаты. На данныый момент могу только заявить точно, что винда в целом и третесторонний софт под нее особо прожорлив до сетевых ресурсов. Что собсно напоминает очень хлам из педроид маркета.. с теми же рисками утечки информации..

Несерьезно. Помнится мне, когда винапдейтер попытался себя несанкционированно обновить каким-то жалким (в пределах 2 метров, AFAIR) объемом данных, вой поднялся на все интернеты. С угрозами, что все мы умрем, куда ж без этого. Так что название Вашей темы надо исправить на как минимум "Винда в руках линуксоида - " дальше по тексту. К сожалению, в данном случае - именно линуксоида. Надеюсь, подобные случаи будут повторяться нечасто. smile

Белая рысь · 20-08-11 04:31:32

Linups_Troolvalds пишет:

Винда в руках линуксоида моментально закрывается фаерволлом, желательно внешним.

1) Можно и так, но мне, например, рассадник троянов в LAN совсем не нравится, а посему я предпочитаю держать систему в чистоте
2) На внешнем файрволле будут открыты порты 80 и 443 по-любому, а контроль на уровне процессов внешнему файрволлу недоступен. Трояны радуются.

Угрюм Бурчеев · 21-08-11 02:16:09

Винда в руках линуксоида моментально закрывается фаерволлом, желательно внешним. При профессиональном подходе и наличии подключений к внешним сетям. И все «сплошные троянские кони» исключаются. После чего любые рассуждения о «сплошных троянских конях», (не)защищенности винды и т.д. исключаются, подобно рассуждениям о умственных способностях обезьян. Да, они есть, но роли в реальном мире не играют.

Рассадник троянов не появляется, если система настроена должным образом, а также периодически проводится аудит. Да и внешние аппаратные фаерволлы обычно умеют контролировать трафик на прикладном уровне.

Ну ты это....
Домохозяйке скажи.

Rector · 21-08-11 10:23:52

В общем, можно сделать вывод - винда без костылей не работает -)) Это не мантра.
----
Зачем тебе Белая рысь, так называемый "внешний фаерволл"? Неужели средств самой системы тебе мало? Или ты не осилил? smile ))

Белая рысь · 21-08-11 14:19:00

А Rector опять писатель вместо читателя...

Rector пишет:

Зачем тебе Белая рысь, так называемый "внешний фаерволл"?

А если бы Вы читали, а не писали, то увидели бы, что "внешний файрволл" нужен не мне, а линуксоиду Linups_Troolvalds. Пруф:

Linups_Troolvalds пишет:

Винда в руках линуксоида моментально закрывается фаерволлом, желательно внешним.

Rector пишет:

В общем, можно сделать вывод - винда без костылей не работает -)) Это не мантра.

Это не спам, прочтите внимательно... big_smile

Linups_Troolvalds пишет:

Рассадник троянов не появляется, если система настроена должным образом, а также периодически проводится аудит.

А мне Вы про это зачем рассказываете? Вы про это топикстартеру расскажите. О.о

Linups_Troolvalds пишет:

Да и внешние аппаратные фаерволлы обычно умеют контролировать трафик на прикладном уровне.

Либо не умеют, либо стоят, как самолёт. Либо я что-то пропустил.

Угрюм Бурчеев пишет:

Ну ты это....Домохозяйке скажи.

Ты только что топикстартера домохозяйкой обозвал? smile У нас не абстрактный комп, а вполне конкретная система. smile

Угрюм Бурчеев · 21-08-11 15:14:28

Белая рысь
Вот жутко интерестно. Настрой мне безопастно винду штатными средствами, сторонии костыли не используй.
Что нужно. Серфинг по порно сайтам без риска поймать заразу.
Жду рецепт.
Да, забыл..... нужна win XP и win 7.

Mazzy · 21-08-11 19:41:52

Угрюм Бурчеев пишет:

win XP

Насиловать трупы??

Белая рысь · 21-08-11 19:43:12

Угрюм Бурчеев пишет:

Белая рысь
Вот жутко интерестно. Настрой мне безопастно винду штатными средствами, сторонии костыли не используй.
Что нужно. Серфинг по порно сайтам без риска поймать заразу.
Жду рецепт.
Да, забыл..... нужна win XP и win 7.

Линуксоиды и через 20 лет будут сравнивать своё поделие с WinXP
Если Вы ставите себе винду только для порносайтов, то гостевая учётка и SRP спасут отца русской демократии в Вашем лице

А теперь вопрос навстречу: как мне настроить какую-нть мандриву (или тогда ещё мандрейк был?) 2002 года выпуска на просмотр порносайтов, чтобы стабильно и без секса с осью их смотреть? Или опять не тот линукс? xD

Угрюм Бурчеев · 21-08-11 20:32:12

Насиловать трупы??

Видишь ли, ее в мире более пятидесяти процентов. Поэтому актуально.

Mazzy · 21-08-11 21:07:07

Угрюм Бурчеев, ССЗБ.

Угрюм Бурчеев · 21-08-11 21:22:35

А теперь вопрос навстречу: как мне настроить какую-нть мандриву (или тогда ещё мандрейк был?) 2002 года выпуска на просмотр порносайтов, чтобы стабильно и без секса с осью их смотреть? Или опять не тот линукс? xD

Да так-же как хр, вот я например на новый комп семерочку ставлю, ни сети ни звука нету, яж не ною.
Если тебя ХР коробит, давай брать только семерку, и не еби мне моск с ограниченной учеткой, на такой системе работать не возможно.

Lord_Evil · 21-08-11 22:25:59

Белая рысь, вырубай режим 'троллоло'. Ты можешь.
Раз уж на то пошло, в рамках данной темы буду себя позиционировать в роли 'продвинутой домохозяйки', а не линуксоида. Т.к. с семеркой раньше дела не имел, винду последние три года предпочитаю использовать в исключительных случаях надобности, встроенный фаервол не осилил, слишком много мутных правил, какой другой виндовый заюзать не в курсе. Система с максимальными дефолтами и минимумом левого софта, ничего не твикал. Повторю вопрос в другой форме: куда могло уебать 500метров трафика, при том, что видимые апдейты системы в тот момент не производились + браузеры/аськи/скайпы, прочие userspace проги были закрыты, адобы и другие в процессах отсутствовали?

Белая рысь · 22-08-11 01:19:40

Майор Очевидность пишет:

во-первых, использование Windows XP — вынужденная мера, т.к. ничего лучше, по мнению многих, MS не выпустили.

Многие своё мнение могут попытаться как-нибудь обосновать. Стоны типа "UAC задрал" или "кнопачка пуск круглая" не учитываются. А если железо некрофильское - ну, Вы поняли, да? У меня жена на своём компе пересела с XP на семёрку и не пищит, хотя и не айтишница ни разу.

Майор Очевидность пишет:

во-вторых, сервиспаки на XP датируются далеко не 2002 годом.

Ну и что? Да, MS выпускает обновления для своей ОС в течение почти десятка лет, в отличие от. В случае с XP - так и ещё дольше. Похлопаем MS. Но XP от этого менее геронто (пока ещё не некро) фильской не становится.

Майор Очевидность пишет:

в-третьих, заявлена ещё и Windows 7.

Для просмотра порносайтов - сойдёт. А больше ничего в задачах заявлено не было.

Майор Очевидность пишет:

в-четвёртых, что ещё за «опять»?

Потому что как только мы говорим про недостатки линукса, как тут же оказывается, что никакого линукса в целом нет, зато есть стадо дистров один кривее другого. Но свой процент линуксоиды считают для всех дистров разом и никак иначе.

Майор Очевидность пишет:

определитесь сначала, что ли.

Ну, не помню я, переименовался к тому моменту мандрейк в мандриву или нет. smile

Угрюм Бурчеев пишет:

Видишь ли, ее в мире более пятидесяти процентов. Поэтому актуально.

Пруф? AFAIK, уже неактуально, но искать не буду, озадачьтесь подтвердить высказывание актуальным линком, пожалуйста.

Угрюм Бурчеев пишет:

Да так-же как хр, вот я например на новый комп семерочку ставлю, ни сети ни звука нету, яж не ною.

Ессно, не ноете, дрова-то - диск в привод и установились. А вот на дистрах линукса тех лет заставить тот же ютуб работать сейчас, думаю, будет весьма нетривиальной задачей.

Угрюм Бурчеев пишет:

Если тебя ХР коробит, давай брать только семерку, и не еби мне моск с ограниченной учеткой, на такой системе работать не возможно.

Если Вам нерелигиозно поставить антивирус и есть огромное желание лазить по порносайтам и качать новейшие флешплееры - то только так. Я сижу на семёрке с юзерской учёткой и касперским, регулярно посещаю порносайты и ни единого разрыва. SRP не настраивал, и так живётся нормально.

Lord_Evil пишет:

Белая рысь, вырубай режим 'троллоло'. Ты можешь.
Раз уж на то пошло, в рамках данной темы буду себя позиционировать в роли 'продвинутой домохозяйки', а не линуксоида. Т.к. с семеркой раньше дела не имел, винду последние три года предпочитаю использовать в исключительных случаях надобности, встроенный фаервол не осилил, слишком много мутных правил, какой другой виндовый заюзать не в курсе. Система с максимальными дефолтами и минимумом левого софта, ничего не твикал. Повторю вопрос в другой форме: куда могло уебать 500метров трафика, при том, что видимые апдейты системы в тот момент не производились + браузеры/аськи/скайпы, прочие userspace проги были закрыты, адобы и другие в процессах отсутствовали?

Если без трололо и по теме - то не знаю. Надо мониторить. У меня сосались только апдейты. Можно взять у провайдера детализацию и посмотреть, куда ходилось. И обязательно поставить мониторилку сетевой активности. Ну, не верю я в чудеса ни в винде, ни в линухе. Если что-то скачало 500 М - значит, это что-то было установлено и запущено.

Форум StopLinux

Объявление

#1 16-08-11 19:37:11

Windows это один сплошной "троянский конь"

#2 16-08-11 20:08:35

Re: Windows это один сплошной "троянский конь"

#3 16-08-11 22:10:45

Re: Windows это один сплошной "троянский конь"

#4 17-08-11 05:18:09

Re: Windows это один сплошной "троянский конь"

#5 17-08-11 11:50:24

Re: Windows это один сплошной "троянский конь"

#6 17-08-11 21:31:39

Re: Windows это один сплошной "троянский конь"

#7 19-08-11 05:02:02

Re: Windows это один сплошной "троянский конь"

#8 19-08-11 09:34:46

Re: Windows это один сплошной "троянский конь"

#9 20-08-11 04:31:32

Re: Windows это один сплошной "троянский конь"

#10 21-08-11 02:16:09

Re: Windows это один сплошной "троянский конь"

#11 21-08-11 10:23:52

Re: Windows это один сплошной "троянский конь"

#12 21-08-11 14:19:00

Re: Windows это один сплошной "троянский конь"

#13 21-08-11 15:14:28

Re: Windows это один сплошной "троянский конь"

#14 21-08-11 19:41:52

Re: Windows это один сплошной "троянский конь"

#15 21-08-11 19:43:12

Re: Windows это один сплошной "троянский конь"

#16 21-08-11 20:32:12

Re: Windows это один сплошной "троянский конь"

#17 21-08-11 21:07:07

Re: Windows это один сплошной "троянский конь"

#18 21-08-11 21:22:35

Re: Windows это один сплошной "троянский конь"

#19 21-08-11 22:25:59

Re: Windows это один сплошной "троянский конь"

#20 22-08-11 01:19:40

Re: Windows это один сплошной "троянский конь"

Подвал форума