none
Что за служба (программа) "стучится" на 217-212-252-195.customer.teliacarrier.com? RRS feed

  • Вопрос

  • Доброго времени суток.

    Имеется большое количество компьютеров. Регулярно (несколько раз в неделю) блокируются запросы на 217-212-252-195.customer.teliacarrier.com (меняется только последний октет, но первые три 217-212-252 - не изменяются ).

    Хотелось бы выяснить, какая служба за это отвечает, как ее отключить либо настроить (желательно, простым способом). Нашел информацию, что это - из области обновлений. Но работает WSUS, и, в данном случае, подобная активность рабочих станций не нужна. По идее, они все должны получать обновления со своего сервера, а не стучаться в Интернет.

    Поиск в Сети не дал результата конкретно по данному вопросу. Везде всё крайне расплывчато.

    В большинстве своём установлены Windows XP, но есть и 7, и серверные системы. MSSE не используется.

    И, чтобы не плодить темы, было бы очень интересно также узнать о нескольких других адресах:

    64.4.18.90

    65.55.119.90

    Видел инфу, что туда стучится Служба сведений о подключенных сетях NlaSvc. Можно ли ее отключить либо настроить без ущерба для внутренней сети.

    а также

    msnbot-157-56-***-***.search.msn.com

    cds*.mow9.msecn.net

    что нужно отключить (деинсталлировать)?

    Спасибо.
    • Изменено igrek_boy 13 февраля 2012 г. 13:37
    13 февраля 2012 г. 13:36

Ответы

  • Есть какие-нибудь мысли насчет того, где это может скрываться?

    это скрывается тут: svchost.exe, запускается ОСью с ключами.
    кроме откл. сервиса можно заблочить ip-адреса на вскидку 3-мя способами:
    1. Прописать в HOST
    2. Прописать ip в "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\"
    3. Воспользоваться командой route -p add (это то же самое, что и пункт 2, только более интеллектуально ;) )


    Информация должна быть СВОБОДНОЙ - I.CaR®
    www.KRASNOYARSK.front.ru - сайт технической поддержки в г. Красноярске


    21 февраля 2012 г. 3:53

Все ответы

  • Проверьте пока бесплатной утилитой от Dr.Web CureIT

    Да, я Жук, три пары лапок и фасеточные глаза :))

    14 февраля 2012 г. 12:36
    Модератор
  • Спасибо за ответ. Сеть корпоративная. Там всё чисто. С этой стороны смотреть не нужно. Хотя и смотрел уже, всё-таки.
    14 февраля 2012 г. 13:02
  • Запустите на клиентском компьютере

    netstat -b

    и посмотрите, какой процесс инициировал соединение.

    15 февраля 2012 г. 6:54
    Модератор
  • Спасибо за ответ. Сеть корпоративная. Там всё чисто. С этой стороны смотреть не нужно. Хотя и смотрел уже, всё-таки.

    Почитайте ещё http://www.thevista.ru/forums.php?m=posts&q=16691 это про службу NlaSvc.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    15 февраля 2012 г. 15:12
    Модератор
  • Запустите на клиентском компьютере

    netstat -b

    и посмотрите, какой процесс инициировал соединение.


    Спасибо. Это не вполне применимо, поскольку обращение к ресурсу происходит крайне редко - несколько раз в неделю, как я описывал. Поэтому "угадать" момент довольно затруднительно. Можно, в принципе, запустить TDIMon, но он почему-то на моей машине Win7x64SP1 Ent не запускается ни с какими параметрами... Может, версия не та.
    15 февраля 2012 г. 15:51
  • Спасибо, прочёл. Вполне полезно, надо будет тоже обратить внимание. Хотя файрволл насчет этих адресов молчит...
    15 февраля 2012 г. 15:53
  • Спасибо, прочёл. Вполне полезно, надо будет тоже обратить внимание. Хотя файрволл насчет этих адресов молчит...

    У Вас, случайно браузер, не Рыжая лиса? Если лиса, попробуйте отключить у неё обновление через about:config

    Да, я Жук, три пары лапок и фасеточные глаза :))


    16 февраля 2012 г. 15:12
    Модератор
  • У Вас, случайно браузер, не Рыжая лиса? Если лиса, попробуйте отключить у неё обновление через about:config

    Да, я Жук, три пары лапок и фасеточные глаза :))


    нет-нет, стандартный ИЕ.

    я вот думаю - не Dr Watson ли это и wermgr... XP-станции стучатся на teliacarrier, а Семерочные компы - на 65.55.*.*

    установил символы на компьютер с Вин7х64Корп, а TDIMon запускаться отказывается. Наверное, битность не понимает. И заменить чем, не знаю.

    завтра поставлю символы на комп с ХР. На ХР мониторинг нормально работает. Попробуем выловить нарушителя...

    16 февраля 2012 г. 17:55
  • Указанный вами адрес пренадлежит Akmai - один из поставщиков сервисов распространения приложений (дистрибутивы, обновления и т.д.). 64.x.x.x и 65.x.x.x - это Windows Updates.
    • Предложено в качестве ответа osr_MVP, Moderator 20 февраля 2012 г. 19:44
    • Отменено предложение в качестве ответа igrek_boy 23 февраля 2012 г. 5:28
    20 февраля 2012 г. 10:41
  • Указанный вами адрес пренадлежит Akmai - один из поставщиков сервисов распространения приложений (дистрибутивы, обновления и т.д.). 64.x.x.x и 65.x.x.x - это Windows Updates.

    Спасибо. Есть какие-нибудь мысли насчет того, где это может скрываться? Если не считать отключение службы обновлений))
    20 февраля 2012 г. 17:14
  • Отключить UpDate ОС
    и службу туда же.

    Информация должна быть СВОБОДНОЙ - I.CaR®
    www.KRASNOYARSK.front.ru - сайт технической поддержки в г. Красноярске


    • Изменено I_CaR 21 февраля 2012 г. 3:33
    21 февраля 2012 г. 3:33
  • Есть какие-нибудь мысли насчет того, где это может скрываться?

    это скрывается тут: svchost.exe, запускается ОСью с ключами.
    кроме откл. сервиса можно заблочить ip-адреса на вскидку 3-мя способами:
    1. Прописать в HOST
    2. Прописать ip в "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\"
    3. Воспользоваться командой route -p add (это то же самое, что и пункт 2, только более интеллектуально ;) )


    Информация должна быть СВОБОДНОЙ - I.CaR®
    www.KRASNOYARSK.front.ru - сайт технической поддержки в г. Красноярске


    21 февраля 2012 г. 3:53
  • А чем вас смущают данные адреса?
    21 февраля 2012 г. 5:04
  • Я, допустим, боролся с обновлением ВСЕГО ПО, отключая, где только находил, обновление ОСи отключалось в первую очередь(как самое "толстое") в том числе.
    Интернет ведь не у всех ещё безлимитный - я про организации даже из 50 и более ПК.


    Информация должна быть СВОБОДНОЙ - I.CaR®
    www.KRASNOYARSK.front.ru - сайт технической поддержки в г. Красноярске




    • Изменено I_CaR 21 февраля 2012 г. 8:09
    21 февраля 2012 г. 8:06
  • это скрывается тут: svchost.exe, запускается ОСью с ключами.

    кроме откл. сервиса можно заблочить ip-адреса на вскидку 3-мя способами:
    1. Прописать в HOST
    2. Прописать ip в "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\"
    3. Воспользоваться командой route -p add (это то же самое, что и пункт 2, только более интеллектуально ;) )

    сервис отключать не надо.

    Поправил hosts на нескольких машинах. После праздников гляну логи.

    Но хотелось бы, конечно, найти всё-таки виновника...

    21 февраля 2012 г. 14:44
  • А чем вас смущают данные адреса?

    а я же в посте указал, чем.

    Компы должны получать обновы через WSUS, а не стучаться в интернет.

    21 февраля 2012 г. 14:46
  • Так надо и проверить настройки, почему они не получают с WSUS
    "igrek_boy" <=?utf-8?B?aWdyZWtfYm95?=> сообщил/сообщила в новостях следующее: news:b8707526-2504-4364-b7fe-f5ad4884952c...
    А чем вас смущают данные адреса?

    а я же в посте указал, чем.

    Компы должны получать обновы через WSUS, а не стучаться в интернет.


    22 февраля 2012 г. 5:53
  • Так надо и проверить настройки, почему они не получают с WSUS

    Должно быть, я не вполне корректно выразился.

    WSUS функционирует прекрасно. Клиенты нормально обновляются.

    Но все они хотя бы раз в день стучатся на вышеуказанные сайты. И причину я определить не могу. А желательно причину найти и искоренить.

    Сегодня, при определении нового устройства (флэшка), комп опять обратился на teliacarrier. Был запущен TCPView, поэтому и увидел эту попытку. В Process Explorer`е успел заметить - svchost.exe, а именно, служба wuauserv (winhttp.dll и wuaueng.dll).

    В событиях отразилась активность Службы автоматического обнаружения веб-прокси WinHTTP.

    Собственно, данный случай даже нельзя считать шаблонным, поскольку компы стучатся на teliacarrier явно по разным причинам...

    Но стучатся. Почему - не понимаю.

    22 февраля 2012 г. 14:27