1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

tráfego internacional absurdamente elevado.

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Bernstein, 5 de Junho de 2005. (Respostas: 35; Visualizações: 2531)

  1. Bernstein

    Bernstein Power Member

    Boas !

    Tenho tido tráfego internacional absurdamente elevado.
    Em 2 dias mais de 250 MB
    Por este andar em 7 dias esgoto os 2 GB Internacionais.

    Nunca usei programas de sacar files, e apenas navego na Net, jogo um pouco on-line, uso Mail
    e msn Messenger, e pouco mais.

    Em 5 minutos são logo mais de 20MB Internacional

    Fexando TODOS os Programas, o tráfego continua

    Investigando a causa deste tráfego, identifiquei os IPs pra onde ele ia:
    Uma vez o 195.50.96.94 e fica em Inglaterra, outra vez o 212.73.245.62 em França.
    As Portas de saida no meu PC foram as 1197 a 1063 a 1198, e do PC remoto sempre a Porta 80

    o Processo responsavel pelo trafego é : svchost.exe
    O Commandd Line é C/Windows/sYstem32/svchost.exe -k netsvcs

    Fexando o processo o tráfego pára, mas, minutos depois, recomeça.

    Substitui a Firewall do Windows XP SP2, pela Zone Alarm Pro, que mostra que o único programa
    que está ligado é o "Generic Host Process for Win32 Services"

    Não há mais NENHUM Programa a comunicar com a Net

    Mas se eu recusar permissão ao "Generic Host Process for Win32 Services" fico sem Internet
    Ñão consigo ligar a nada, (nem jogos on-line, browser, mail, msn, NADA)

    Alguem pode ajudar ?

    Obrigado!
     
  2. APLinhares

    APLinhares OpenSource Moderator
    Staff Member

    boas.k antivirus usas ? faz 1 scan nisso... e tb scan por 1adware.
    abraço
     
  3. Bernstein

    Bernstein Power Member

    Obrigado pela resposta!

    AntiVirus uso este, há mtos anos, e em vários pcs, e gosto mto dele:

    http://www.free-av.com/


    Anti Spy uso o SpyBoot Search and Destroy com o a vigilancia e bloqueio do Registry, settings do IE, etc, sempre ativos.

    Tenho tambem o Spyware Blaster e o Spyware Guard sempre ativos.

    Tenho tambem o AntiSpy da Microsoft com o Security Agent Status sempre Enable.


    Já fiz vários scans com todos eles, dando sempre resultados sempre de zero problemas.


    O PC foi formatado há 4 dias e não tem quase nenhum software instalado.
     
  4. APLinhares

    APLinhares OpenSource Moderator
    Staff Member

    estranho....
    tas ligado a k server, e tas a usar alguma proxy ?
    cumps
     
  5. Delta

    Delta Suspenso

    Alguns conselhos :

    1) vai a Control Panel - > Administrative Tools -> Services, e desactiva os automatic updates
    2) instala um firewall decente para bloquear todo o acesso à internet sem a tua permissão
    3) corre o Ad aware para ver se tens lixo no PC
    4) instala o netcount

    Se tens wireless, protege bem a tua rede contra intrusos
     
  6. Bernstein

    Bernstein Power Member

    Obrigado pelas respostas!

    Isso está tudo feito.

    Antes de ligar pela 1ª vez o cabo do Modem tenho sempre todos esses cuidados:

    Desligo todos os Services do Windows superfulos e/ou perigosos (atualizações automáticas, partilha do Registo Remoto, do Ambiente Trabalho, do Mensageiro, do Envio de Erros, etc, etc, etc)
    Instalo Anti-spys, Anti-Addwares, Anti-Virus
    Tenho a Fireawll Zone Alarm Pro legal (comprada mesmo), e atualizada.
    Instalo o NetCount para vigiar o tráfego.

    E axo q nestes ultimos dias q já corri todos os add-aweres q existem...

    E tenho Modem Speedtouch 530 com Firewall propria e Router Conceptronic tb com Fireall, embora neste momento só esteja ligado a um unico PC


    Fiz agora mesmo a seguinte experiencia.

    Recusei TODAS as permissões da Zone Alarm

    Ao reiniciar o PC, a 1ª coisa q aparece é :
    "Generic Host Process for Win32 Services está a tentar aceder à Internet"
    Se disser q não fico sem acesso à Internet, tenho de dizer "sim"

    A seguir aparece :
    "Generic Host Process for Win32 Services está a tentar agir como server"
    Desta vez recusei, e parece que o acesso à Internet está a funcionar
    Pelo menos vocês estão a ler o q eu escrevo :)

    O que é o "Generic Host Process for Win32 Services" ?
    Para q serve?

    O q é o Command Line C/Windows/sYstem32/svchost.exe -k netsvcs ?
    Para q serve ?

    O q é este enorme tráfego q o meu pc está a fazer?
    Downloads? De quê ? Eu não tenho quase nada aki...
    Uploads? Nesse caso devia aparecer coisas no disco.

    Obrigado pela ajuda !
     
    Última edição: 5 de Junho de 2005
  7. Bernstein

    Bernstein Power Member

    Neste momento pareço ter o problema resolvido
    Mas estarei a deitar foguetes antes da festa ?
    Ontem tb pensei o mm, e hoje, num instante, (até desligar o cabo do Modem), foram uns 40 MB em poucos minutos...

    Ou será que recusando "Generic Host Process for Win32 Services está a tentar agir como server" consegui bloquear esse tráfego internacional?

    Nas instalações anteriores do Windows sempre dei permissaõ ao "Generic Host Process for Win32 Services" para aceder á Internet, e TAMBÉM para agir como server, e nunca aconteceu isto
    Chegava ao fim do mês com menos de 500MB gastos, dos 2 GB q tinha pra gastar...

    Quem usa o Zone Alarm como é que costuma fazer ?

    Obrigado !
     
  8. seth

    seth Power Member

    Há um programa bastante simples que também te ve o trafego: "Netlimiter". Tenta instalar, pode-te ajudar a identificar e monotorizar que programa é e o trafego instantaneo e acumulado.
     
  9. vsmn

    vsmn Power Member

    Sim mas o que interessa é o que eles contam. E não o que tu contas
     
  10. Bernstein

    Bernstein Power Member

    Fui ver o NetLimiter e parece fixe!
    Mas essa parte já está.
    Ou seja, tenho programas q medem, monotorizam, identificam, fazem Trace Route, etc...

    A questão é: como impedir q isto aconteça mais

    Será, como perguntei acima, recusando o "Generic Host Process for Win32 Services" de "agir como server" ?

    Já agora, no NetCount, onde diz Endereço, e mostra as ligações ativas, antes do endereço há um quadrado q pode ser marcado
    E acima de endereço há um quadrado com um "X"
    Para q servem ?

    Obrigado!
     
  11. o_eRviNNhaS

    o_eRviNNhaS Power Member

    recentemente tive o mesmo problema que tiveste, mas um bocadinho pior, pois foram 478€ de net para pagar.. tudo trafego inter.

    fiz tudo igual ao que fizeste, apesar de não ter software ''legal'', mas dava-me sempre zero quando fazia um search por spyware e adaware. a unica diferença entre o teu prob e o meu é que eu saco, mas apenas nacional (tenho ilimitado).

    os problemas de trafego inter pararam quando apareceu a factura e lhes mandei um fax (para o sapo) a cancelar o contrato devido ao problema indicado. foi remédio santo :D

    até hoje não voltei a ter probs
     
  12. Bernstein

    Bernstein Power Member

    Pois, tava a deitar foguetes antes da festa...

    À bocado recomeçou os downloads Internacionais.
    (parece-me q começa às 14h, mas pode ser impressaõ minha, pois axo q tb já começou à noite)

    O IP é igual ao da 2ª vez: 212.73.245.62 ( é em França)

    O Relatório do Trace Route mosta que o site é o mesmo:
    Level 3 Communications
    http://www.level3.com/
    (terá 2 sites, um em UK outro em França ???)

    Bloqueei o IP no ZoneAlarm e o tráfego parou

    Não encontro no meu pc nenhum programa de "Level 3 Communications"
    (Andei tb a pesquisar no Registry)
    Aliás no site da Level 3 Communications, tb não vejo nenhum software, apenas serviços.

    No momento em q tá acontecer este tráfego, o Zone Alarm diz q o ÚNICO programa q tá aceder à Net é o "Generic Host Process for Win32 Services"
    Já lhe neguei "aceder como Server"
    Mas se lhe negar tb ligação à Internet, fico sem acesso.

    Já corri anti-virus e anti-spys, tudo mais q atualizado
    Mudei password do Router

    Segui Links que me deram, e fui buscar a "Ferramenta de remoção de software nocivo Microsoft® Windows® (KB890830)"
    Isto instala-se e corre-se como um antivirus?

    Aminha rede não é sem fios
    Tenho Modem Speedtouch 530 com Firewall propria e Router Conceptronic tb com Firewall própria, e neste momento só está ligado a um unico PC (o meu).


    "os problemas de trafego inter pararam quando apareceu a factura e lhes mandei um fax (para o sapo) a cancelar o contrato devido ao problema indicado. foi remédio santo
    até hoje não voltei a ter probs"

    se reclamar pro fornecedor axam que eles resolvem o assunto???

    :( :confused: :(
     
  13. Delta

    Delta Suspenso

    Experimenta usar o Hijackthis para ver se existe algum software estranho

    consulta bem os logs
     
  14. dElpH!

    dElpH! 1st Folding then Sex

    ve la se o windows update não esta a sacar os devidos updates ?

    []'s
     
  15. Feiticeiro

    Feiticeiro Power Member

    250mb de updates em 2 dias? Não me parece.
    Parece-me sim que tens um programa qualquer a correr em backdoor, do tipo trojan.
    Formata do disco se não resolveres o problema, e tem cuidado com o software manhoso que andas a instalar no pc.
     
  16. Bernstein

    Bernstein Power Member

    O PC foi formatado 4 dias antes

    Antes de ligar pela 1ª vez o cabo do Modem tenho SEMPRE, TODOS estes cuidados:

    -Desligo todos os Services do Windows superfulos e/ou perigosos (atualizações automáticas, partilha do Registo Remoto, do Ambiente Trabalho, do Mensageiro, do Envio de Erros, etc, etc, etc)

    -Instalo Anti-spys, Anti-Addwares, Anti-Virus

    -Tenho a Fireawll Zone Alarm Pro legal (comprada mesmo), e atualizada.

    -Instalo o NetCount para vigiar o tráfego.

    -Recuso atualizações automaticas em todo e qlq programa.

    -Passo uma vistoria ao Startup do Windows, e tiro tudo o q não é necessário q arranque com o pc.


    Sim, mas como o identificar e bloquear?
    O PC praticamente não tem software instalado
    Tem um jogo (Americas Army), Antivirus, Anti-Spy, PAintShopPro, Acrobat, Nero, Sandra, e quase + nada...

    Vou por aki uma série de print screens q fiz.
    Pode ser q assim dê mais informação q me possa ajudar

    http://img185.echo.cx/img185/3227/a13iv.jpg

    http://img185.echo.cx/img185/5245/a20aq.jpg

    http://img185.echo.cx/img185/2364/a33dp.jpg

    http://img185.echo.cx/img185/5092/a45vf.jpg

    http://img185.echo.cx/img185/9069/a53po.jpg

    http://img185.echo.cx/img185/4718/b17do.jpg

    http://img185.echo.cx/img185/6024/b34un.jpg

    http://img185.echo.cx/img185/8421/b43gu.jpg

    http://img185.echo.cx/img185/4032/b55jq.jpg

    http://img185.echo.cx/img185/6452/c15cp.jpg
     
  17. azeiteiro

    azeiteiro Power Member

  18. Bernstein

    Bernstein Power Member

    Nesse link, de como configurar uma Firewall, diz:

    block the following applications:
    Generic host process for Win32 services
    Path: C:\Windows\System32\svchost.exe

    mas é isto que eu não entendo!
    se bloquear totalmente o Generic host process for Win32 services, fico sem Internet!
    Já experimentei isso noutros pcs e é sempre assim

    Bloqueio o "Generic host process for Win32 services act as server", isso sim.
    Mas não posso bloquear o seu acesso à Net se não deixo eu de aceder...
     
  19. Shadow

    Shadow Power Member

    Ainda agora bloqueei esse serviço e continuo com net, apesar de estar a aceder por rede(router) à net...
     
  20. ShadeX

    ShadeX Power Member

    Exoerimenta a Sygate PFW. Se dizes que nao tens nada weird a correr, podes muito bem ter um .dll "pendura". Muito malware/trojan faz isso... Btw, se puderes corre o ClamWin e o Kaspersky nessa box.

    p.s. se pudesses postar um log do HijackThis tbm ajudava :P
     

Partilhar esta Página