Как ограничить доступ процесса svchost.exe к сети?

[[Raymond]]

У меня 50 Мб трафика на день и их быстро выкачивает процесс svchost.exe. Это вроде бы не вирус (на сколько я понимаю). Он находится в правильной папке и запускается системой. Но постоянно что-то качает.Обновления всего кроме Авиры отключены.Фаервол Авиры не видит этот процес. Есть программы для того чтобы "изолировать" конкретно этот процесс?

[W. Z. Vulso]

Стоить все-же проверить детально на вирусы. Некоторая гадость успешно маскируется под этот системный процесс.

[Edd.Dragon]

svchost ничего не качает. Тем более, аж на 5 мб за день. Даже если каждые 5 сек пинговать Микрософт - это выйдет около 20 мб за сутки. А так "мониторчики" подключения спят и ничего не качает.

Но, не раз случалось так, что после закрытия mTorrrent продолжался небольшой траффик. 1-2 кб туда и обратно. Разумеется, этот траффик был от имени системы, т.к. торрент закрыт к такой-то матери. Если отключить сетевое подключение и включить заново, то уже этого безобразия нет.

Если же у тебя после отключения/включения снова начинается траффик и его видно по "мониторчикам" (а 50 мб за день - должно бытьвидно , хотя бы постоянно мигать должны, если не гореть непрерывно), то это не нормально. Вирусы, не вирусы, но не нормально.

И покажи скриншот из Tcpview.exe. svchost должен слушать пару портов и всё.

[[Raymond]]

у проблемного свхоста в remote address указан какой-то страшный сайт)
Скрин завтра залью, трафик на исходе.

[Edd.Dragon]

Скрины белой простыни с черным текстом в png весят пару десятков kb.

Угадал, 21 Кб (и то, 10 из них приходится на строку заголовка):

Вибачте, але ви не маєте права на перегляд спойлерів.

[[Raymond]]

Скрины белой простыни с черным текстом в png весят пару десятков kb.

Оно то так, но это ничего не значит Полтора мегабайта могли кончиться ещё до того, как я зашёл бы в эту тему с ПК. Тем более, что надо ещё заливать. Основная потеря трафика была у свхоста. Так что обычно я захожу в сеть с телефона, где таких проблем нет.
А вот и скрин:

Вибачте, але ви не маєте права на перегляд спойлерів.

Немного потыкал Tcpview, и там оказалась полезная функция "Close connection". Закрыл этому свхосту конект, он сам переподключился, но я опять прибил конект и пока даже самого процесса нет.

____
УПД
Не, оно опять появилось. Как и раньше два раза сделал Close connection и процесс пропал.

[GA-EV3]

deploy.akamaitechnologies.com - на эту тему куча информации в сети.

[Edd.Dragon]

1. В svchosts прописываешь этому акамаю.com адрес 127.0.0.1, или блокируешь файрволом.

2. Внимательно перечитываешь список системных служб и отключаешь все, что явно для работы не нужно. Всякие удаленные помощники, фоновые службы передачи и т.д.

Тем более, что надо ещё заливать.

Вот любители гемороя ))

Сейчас (пока что?) прикрепление работает на форуме.
Программки типа clip2net сами заливают на свой хостинг без лишнего траффика после скриншотания и выбирают автоматически что меньше завесит jpg или png.

[[Raymond]]

1. В svchosts прописываешь этому акамаю.com адрес 127.0.0.1

А как это сделать?

блокируешь файрволом.

Авира не видит Свхост

Вот любители гемороя ))Сейчас (пока что?) прикрепление работает на форуме. Программки типа clip2net сами заливают на свой хостинг без лишнего траффика после скриншотания и выбирают автоматически что меньше завесит jpg или png.

А типа в моих условиях поиск той же clip2net меньший гемогой чем залить на хостинг, который находится у меня на экспресс-панели. Но главное –

Полтора мегабайта могли кончиться ещё до того, как я зашёл бы в эту тему с ПК.

[Edd.Dragon]

А как это сделать?

Ну сам файл поиском поищи. Ой, только ж не svchosts, а просто hosts (без расширения) ))))
в XP - в system32/drivers/etc/

Авира не видит Свхост

Ну твое дело заблокировать адрес инета. Не важно, кто к нему обращается. Если Авира вообще не фильтрует траффик от системных процессов, значит svchosts.exe у ней где-то в исключениях. Ну нужно разобраться. что и почему.

[[Raymond]]

Ну сам файл поиском поищи. Ой, только ж не svchosts, а просто hosts (без расширения) ))))в XP - в system32/drivers/etc/

Нашёл слишком много файлов hosts 

Вибачте, але ви не маєте права на перегляд спойлерів.

Ну твое дело заблокировать адрес инета. Не важно, кто к нему обращается.

Я не вижу в настройках авиры возможности заблокировать по адресу. Вижу только по типу файлов.
____
Смог добавить свхост в правила Авиры, запретив доступ к сети но оно и дальше что-то качает.

[Edd.Dragon]

Я не вижу в настройках авиры возможности заблокировать по адресу.

Значит она - не файрвол.

Нашёл слишком много файлов hosts

Ну так включи нормальный вид результатов поиска (путь, файл, размер, дата).
Я тоже без видимости путей не понимаю "кто все эти люди" )))

[[Raymond]]

Смог добавить свхост в правила Авиры, запретив доступ к сети но оно и дальше что-то качает.

Ну так включи нормальный вид результатов поиска (путь, файл, размер, дата). Я тоже без видимости путей не понимаю "кто все эти люди" )))

Вибачте, але ви не маєте права на перегляд спойлерів.

[Edd.Dragon]

Ну? Один подходящий под описание

просто hosts (без расширения) ))))
в XP - в system32/drivers/etc/

Т.е. с XP ничего не изменилось в этом плане

[[Raymond]]

Только я не понимаю что с ним делать. Вот текст. Вместо выделенного ставить 127.0.0.1?

Вибачте, але ви не маєте права на перегляд спойлерів.

[Edd.Dragon]

Не вместо, а добавить!

127.0.0.1 validation.sls.microsoft.com

Попалился 

[[Raymond]]

Попалился

Кто? Где? 
Пробую добавить "#      127.0.0.1     a92-122-214-217.deploy.akamaitechnologies.com          # source server", а оно мне "нет прав на изменение". Есть возможность сохранить только в тхт файле. И замена этого файла моим (правленым) файлом не работает...

[Edd.Dragon]

Решетка - это коментарий.

Добавить надо просто
127.0.0.1     deploy.akamaitechnologies.com

после чего запрос на этот URL будет направлен на 127.0.0.1 (локальный адрес твоей машины, где такого сайта нет и в помине). Тоже самое происходит и с validation.sls.microsoft.com - адресом для валидации винды )))

А вот если приложение будет обращаться не по словесному URL, а по ip-адресу, то это уже не поможет.

По поводу прав - тут звыняйте. Кто у тебя на компе хозяин? ))

[[Raymond]]

С правами разобрался – это Авира мешала для моей безопасности. Но добавил 127.0.0.1     deploy.akamaitechnologies.com, а оно дальше качает

[Edd.Dragon]

Ну перегрузись что ли для порядку.
Заодно можешь добавить и полный URL a92-122-214-217.deploy.akamaitechnologies.com. Но я так думаю, что он меняться может, т.е. таких приписок много разных.

[Edd.Dragon]

И да, блокирование блокированием, но почему ты забросил попытки избавиться от этой проблемы целиком, не преприняв ни одной?

Что из Гугль \ заблокировать akamai ты пробовал сделать? ))
Есть у тебя такое?

Службу фоновой передачи данных я тебе тоже уже ранее говорил отключить (может одной ее хватило бы, чтобы эта хрень перестала работать).

[[Raymond]]

Службу фоновой передачи данных я тебе тоже уже ранее говорил отключить (может одной ее хватило бы, чтобы эта хрень перестала работать).

Именно её отключил в первую очередь
__________
И шо, сделал я ещё несколько манипуляций, перезагрузился – теперь акамай появляется только в таком виде

Вибачте, але ви не маєте права на перегляд спойлерів.

и ничего не качает. Не знаю что именно помогло 
Спасибо за помощь и +