Niedawno wprowadziłem się do akademika i musiałem użyć jakiegoś sposobu na ograniczenie uploadu, więc pobrałem Netbalancer. Po kilku dniach użytkowania (wcześniej nie zwróciłem na to uwagi, więc nie wiem, czy to występowało) zauważyłem, że niejaki "Unidentified or Service Traffic" praktycznie ciągle coś mi pobiera z adresu...żadnego! Zamieszczam screen z tego zjawiska.
Prędkość pobierania jest bardzo różna i chwiejna. Może być równie dobrze 70KB/s jak i momentami 200KB/s, a nawet 1MB/s. Gdy komputer włączony jest przez kilka godzin, to łączna ilość pobranych danych sięga nawet 2GB lub więcej i właściwie nawet nie wiadomo, gdzie to się podziewa (nie zauważyłem, żeby dysk był użyty w znacznie większym stopniu). Svchost.exe też przez krótkie chwile coś pobiera, ale o tym za chwilę. Następny zrzut ekranu pochodzi z aplikacji perfmon.exe i pokazuje, że svchost.exe ciągle generuje jakiś niewielki ruch (zdarzało się, że dwie różne jego instacje pobierały przez ileś czasu non-stop po 100KB/s).
Najlepsze w tym wszystkim jest to, że mam wyłączone aktualizacje automatyczne, w ogóle nic nie pobieram, nie mam włączonego absolutnie żadnego P2P, w sieci również nic nie udostępniam ani nie kopiuję. No, naprawdę nie rozumiem, skąd to się może brać.
Googlowałem trochę na ten temat, ale nie doszedłem do żadnych zadowalających informacji poza tym, że ktoś w Netbalancerze z ciekawości zablokował ten ruch i w związku z tym w Dzienniku zdarzeń znalazł wpisy mówiące o niemożliwości połączenia się z DNSami oraz że widocznym skutkiem tej blokady była niemożność wejścia na jakąkolwiek stronę przez przeglądarkę internetową.
Cytuję całą jego wypowiedź:
(Link do wątku)
Tylko czy łączność z DNSami może generować tak potężny ruch? Bez sensu
Mogę dodać, że adres widoczny na screenie, z którym svchost.exe ma połączenie (ff02::c) jest odnotowany także na liście połączeń w Comodo IS, ale tam ilość pobranych danych nie wskazuje na nic podejrzanego, bo ledwie kilkadziesiąt kilobajtów (natomiast ze screenów by wynikało, że kilkadziesiąt, to tego na jedną sekundę się pobiera, a nie łącznie).
Komputer raczej nie jest niczym zainfekowany. Bardzo o niego dbam, jestem silnie wyczulony na różne rodzaje zagrożeń i mam spory bagaż życiowy w tej kwestii, więc to nie powinna być wina żadnego malware. Wkrótce mogę dołączyć różne logi, które to potwierdzą, ale teraz chcę jak najszybciej rozpocząć ten temat, bo może w końcu coś się wyjaśni.
Pytania żadnego konkretnego nie zadaję, bo przyda mi się każda informacja wyjaśniająca to zjawisko, którego to w ogóle nie rozumiem i nie znam jego pochodzenia. Może zetknęliście się z tym już? Albo coś? Cokolwiek?
Prędkość pobierania jest bardzo różna i chwiejna. Może być równie dobrze 70KB/s jak i momentami 200KB/s, a nawet 1MB/s. Gdy komputer włączony jest przez kilka godzin, to łączna ilość pobranych danych sięga nawet 2GB lub więcej i właściwie nawet nie wiadomo, gdzie to się podziewa (nie zauważyłem, żeby dysk był użyty w znacznie większym stopniu). Svchost.exe też przez krótkie chwile coś pobiera, ale o tym za chwilę. Następny zrzut ekranu pochodzi z aplikacji perfmon.exe i pokazuje, że svchost.exe ciągle generuje jakiś niewielki ruch (zdarzało się, że dwie różne jego instacje pobierały przez ileś czasu non-stop po 100KB/s).
Najlepsze w tym wszystkim jest to, że mam wyłączone aktualizacje automatyczne, w ogóle nic nie pobieram, nie mam włączonego absolutnie żadnego P2P, w sieci również nic nie udostępniam ani nie kopiuję. No, naprawdę nie rozumiem, skąd to się może brać.
Googlowałem trochę na ten temat, ale nie doszedłem do żadnych zadowalających informacji poza tym, że ktoś w Netbalancerze z ciekawości zablokował ten ruch i w związku z tym w Dzienniku zdarzeń znalazł wpisy mówiące o niemożliwości połączenia się z DNSami oraz że widocznym skutkiem tej blokady była niemożność wejścia na jakąkolwiek stronę przez przeglądarkę internetową.
Cytuję całą jego wypowiedź:
Moab napisał:After blocking the traffic for that unidentified Service I checked my event viewer (Windows Logs>System) and found 3 new events that were never recorded before and matched the time I blocked the traffic.
Event ID 1014 DNS Client Events
Name resolution for the name dns.msftncsi.com timed out after none of the configured DNS servers responded.
dns.msftncsi.com
Name resolution for the name wpad.home timed out after none of the configured DNS servers responded.
wpad
Name resolution for the name mscrl.microsoft.com timed out after none of the configured DNS servers responded.
mscrl.microsoft.com
Then My Web Browser refused to work, I re-enabled the traffic and all returned to normal. Case closed.
(Link do wątku)
Tylko czy łączność z DNSami może generować tak potężny ruch? Bez sensu
Mogę dodać, że adres widoczny na screenie, z którym svchost.exe ma połączenie (ff02::c) jest odnotowany także na liście połączeń w Comodo IS, ale tam ilość pobranych danych nie wskazuje na nic podejrzanego, bo ledwie kilkadziesiąt kilobajtów (natomiast ze screenów by wynikało, że kilkadziesiąt, to tego na jedną sekundę się pobiera, a nie łącznie).
Komputer raczej nie jest niczym zainfekowany. Bardzo o niego dbam, jestem silnie wyczulony na różne rodzaje zagrożeń i mam spory bagaż życiowy w tej kwestii, więc to nie powinna być wina żadnego malware. Wkrótce mogę dołączyć różne logi, które to potwierdzą, ale teraz chcę jak najszybciej rozpocząć ten temat, bo może w końcu coś się wyjaśni.
Pytania żadnego konkretnego nie zadaję, bo przyda mi się każda informacja wyjaśniająca to zjawisko, którego to w ogóle nie rozumiem i nie znam jego pochodzenia. Może zetknęliście się z tym już? Albo coś? Cokolwiek?
Właściwie już mi pomogłeś, bo cały ruch na "Unidentified or Service Traffic" znikł, natomiast svchost.exe nadal coś tam sobie robi (według perfmon.exe), ale to już nie jest taki duży problem. Screen poniżej.
