Boas !

Tenho tido tráfego internacional absurdamente elevado.
Em 2 dias mais de 250 MB
Por este andar em 7 dias esgoto os 2 GB Internacionais.

Nunca usei programas de sacar files, e apenas navego na Net, jogo um pouco on-line, uso Mail
e msn Messenger, e pouco mais.

Em 5 minutos são logo mais de 20MB Internacional

Fexando TODOS os Programas, o tráfego continua

Investigando a causa deste tráfego, identifiquei os IPs pra onde ele ia:
Uma vez o 195.50.96.94 e fica em Inglaterra, outra vez o 212.73.245.62 em França.
As Portas de saida no meu PC foram as 1197 a 1063 a 1198, e do PC remoto sempre a Porta 80

o Processo responsavel pelo trafego é : svchost.exe
O Commandd Line é C/Windows/sYstem32/svchost.exe -k netsvcs

Fexando o processo o tráfego pára, mas, minutos depois, recomeça.

Substitui a Firewall do Windows XP SP2, pela Zone Alarm Pro, que mostra que o único programa
que está ligado é o "Generic Host Process for Win32 Services"

Não há mais NENHUM Programa a comunicar com a Net

Mas se eu recusar permissão ao "Generic Host Process for Win32 Services" fico sem Internet
Ñão consigo ligar a nada, (nem jogos on-line, browser, mail, msn, NADA)

Alguem pode ajudar ?

Obrigado!

boas.k antivirus usas ? faz 1 scan nisso... e tb scan por 1adware.
abraço

Obrigado pela resposta!

AntiVirus uso este, há mtos anos, e em vários pcs, e gosto mto dele:

http://www.free-av.com/


Anti Spy uso o SpyBoot Search and Destroy com o a vigilancia e bloqueio do Registry, settings do IE, etc, sempre ativos.

Tenho tambem o Spyware Blaster e o Spyware Guard sempre ativos.

Tenho tambem o AntiSpy da Microsoft com o Security Agent Status sempre Enable.


Já fiz vários scans com todos eles, dando sempre resultados sempre de zero problemas.


O PC foi formatado há 4 dias e não tem quase nenhum software instalado.

estranho....
tas ligado a k server, e tas a usar alguma proxy ?
cumps

Alguns conselhos :

1) vai a Control Panel - > Administrative Tools -> Services, e desactiva os automatic updates
2) instala um firewall decente para bloquear todo o acesso à internet sem a tua permissão
3) corre o Ad aware para ver se tens lixo no PC
4) instala o netcount

Se tens wireless, protege bem a tua rede contra intrusos

Obrigado pelas respostas!

Isso está tudo feito.

Antes de ligar pela 1ª vez o cabo do Modem tenho sempre todos esses cuidados:

Desligo todos os Services do Windows superfulos e/ou perigosos (atualizações automáticas, partilha do Registo Remoto, do Ambiente Trabalho, do Mensageiro, do Envio de Erros, etc, etc, etc)
Instalo Anti-spys, Anti-Addwares, Anti-Virus
Tenho a Fireawll Zone Alarm Pro legal (comprada mesmo), e atualizada.
Instalo o NetCount para vigiar o tráfego.

E axo q nestes ultimos dias q já corri todos os add-aweres q existem...

E tenho Modem Speedtouch 530 com Firewall propria e Router Conceptronic tb com Fireall, embora neste momento só esteja ligado a um unico PC


Fiz agora mesmo a seguinte experiencia.

Recusei TODAS as permissões da Zone Alarm

Ao reiniciar o PC, a 1ª coisa q aparece é :
"Generic Host Process for Win32 Services está a tentar aceder à Internet"
Se disser q não fico sem acesso à Internet, tenho de dizer "sim"

A seguir aparece :
"Generic Host Process for Win32 Services está a tentar agir como server"
Desta vez recusei, e parece que o acesso à Internet está a funcionar
Pelo menos vocês estão a ler o q eu escrevo :)

O que é o "Generic Host Process for Win32 Services" ?
Para q serve?

O q é o Command Line C/Windows/sYstem32/svchost.exe -k netsvcs ?
Para q serve ?

O q é este enorme tráfego q o meu pc está a fazer?
Downloads? De quê ? Eu não tenho quase nada aki...
Uploads? Nesse caso devia aparecer coisas no disco.

Obrigado pela ajuda !

Neste momento pareço ter o problema resolvido
Mas estarei a deitar foguetes antes da festa ?
Ontem tb pensei o mm, e hoje, num instante, (até desligar o cabo do Modem), foram uns 40 MB em poucos minutos...

Ou será que recusando "Generic Host Process for Win32 Services está a tentar agir como server" consegui bloquear esse tráfego internacional?

Nas instalações anteriores do Windows sempre dei permissaõ ao "Generic Host Process for Win32 Services" para aceder á Internet, e TAMBÉM para agir como server, e nunca aconteceu isto
Chegava ao fim do mês com menos de 500MB gastos, dos 2 GB q tinha pra gastar...

Quem usa o Zone Alarm como é que costuma fazer ?

Obrigado !

Há um programa bastante simples que também te ve o trafego: "Netlimiter". Tenta instalar, pode-te ajudar a identificar e monotorizar que programa é e o trafego instantaneo e acumulado.

Há um programa bastante simples que também te ve o trafego: "Netlimiter". Tenta instalar, pode-te ajudar a identificar e monotorizar que programa é e o trafego instantaneo e acumulado.
Sim mas o que interessa é o que eles contam. E não o que tu contas

Fui ver o NetLimiter e parece fixe!
Mas essa parte já está.
Ou seja, tenho programas q medem, monotorizam, identificam, fazem Trace Route, etc...

A questão é: como impedir q isto aconteça mais

Será, como perguntei acima, recusando o "Generic Host Process for Win32 Services" de "agir como server" ?

Já agora, no NetCount, onde diz Endereço, e mostra as ligações ativas, antes do endereço há um quadrado q pode ser marcado
E acima de endereço há um quadrado com um "X"
Para q servem ?

Obrigado!

recentemente tive o mesmo problema que tiveste, mas um bocadinho pior, pois foram 478€ de net para pagar.. tudo trafego inter.

fiz tudo igual ao que fizeste, apesar de não ter software ''legal'', mas dava-me sempre zero quando fazia um search por spyware e adaware. a unica diferença entre o teu prob e o meu é que eu saco, mas apenas nacional (tenho ilimitado).

os problemas de trafego inter pararam quando apareceu a factura e lhes mandei um fax (para o sapo) a cancelar o contrato devido ao problema indicado. foi remédio santo :D

até hoje não voltei a ter probs

Pois, tava a deitar foguetes antes da festa...

À bocado recomeçou os downloads Internacionais.
(parece-me q começa às 14h, mas pode ser impressaõ minha, pois axo q tb já começou à noite)

O IP é igual ao da 2ª vez: 212.73.245.62 ( é em França)

O Relatório do Trace Route mosta que o site é o mesmo:
Level 3 Communications
http://www.level3.com/
(terá 2 sites, um em UK outro em França ???)

Bloqueei o IP no ZoneAlarm e o tráfego parou

Não encontro no meu pc nenhum programa de "Level 3 Communications"
(Andei tb a pesquisar no Registry)
Aliás no site da Level 3 Communications, tb não vejo nenhum software, apenas serviços.

No momento em q tá acontecer este tráfego, o Zone Alarm diz q o ÚNICO programa q tá aceder à Net é o "Generic Host Process for Win32 Services"
Já lhe neguei "aceder como Server"
Mas se lhe negar tb ligação à Internet, fico sem acesso.

Já corri anti-virus e anti-spys, tudo mais q atualizado
Mudei password do Router

Segui Links que me deram, e fui buscar a "Ferramenta de remoção de software nocivo Microsoft® Windows® (KB890830)"
Isto instala-se e corre-se como um antivirus?

Aminha rede não é sem fios
Tenho Modem Speedtouch 530 com Firewall propria e Router Conceptronic tb com Firewall própria, e neste momento só está ligado a um unico PC (o meu).


"os problemas de trafego inter pararam quando apareceu a factura e lhes mandei um fax (para o sapo) a cancelar o contrato devido ao problema indicado. foi remédio santo
até hoje não voltei a ter probs"

se reclamar pro fornecedor axam que eles resolvem o assunto???

:( :confused: :(

Experimenta usar o Hijackthis para ver se existe algum software estranho

consulta bem os logs

ve la se o windows update não esta a sacar os devidos updates ?

[]'s

250mb de updates em 2 dias? Não me parece.
Parece-me sim que tens um programa qualquer a correr em backdoor, do tipo trojan.
Formata do disco se não resolveres o problema, e tem cuidado com o software manhoso que andas a instalar no pc.

O PC foi formatado 4 dias antes

Antes de ligar pela 1ª vez o cabo do Modem tenho SEMPRE, TODOS estes cuidados:

-Desligo todos os Services do Windows superfulos e/ou perigosos (atualizações automáticas, partilha do Registo Remoto, do Ambiente Trabalho, do Mensageiro, do Envio de Erros, etc, etc, etc)

-Instalo Anti-spys, Anti-Addwares, Anti-Virus

-Tenho a Fireawll Zone Alarm Pro legal (comprada mesmo), e atualizada.

-Instalo o NetCount para vigiar o tráfego.

-Recuso atualizações automaticas em todo e qlq programa.

-Passo uma vistoria ao Startup do Windows, e tiro tudo o q não é necessário q arranque com o pc.


Parece-me sim que tens um programa qualquer a correr em backdoor, do tipo trojan. Formata do disco se não resolveres o problema, e tem cuidado com o software manhoso que andas a instalar no pc.

Sim, mas como o identificar e bloquear?
O PC praticamente não tem software instalado
Tem um jogo (Americas Army), Antivirus, Anti-Spy, PAintShopPro, Acrobat, Nero, Sandra, e quase + nada...

Vou por aki uma série de print screens q fiz.
Pode ser q assim dê mais informação q me possa ajudar

http://img185.echo.cx/img185/3227/a13iv.jpg

http://img185.echo.cx/img185/5245/a20aq.jpg

http://img185.echo.cx/img185/2364/a33dp.jpg

http://img185.echo.cx/img185/5092/a45vf.jpg

http://img185.echo.cx/img185/9069/a53po.jpg

http://img185.echo.cx/img185/4718/b17do.jpg

http://img185.echo.cx/img185/6024/b34un.jpg

http://img185.echo.cx/img185/8421/b43gu.jpg

http://img185.echo.cx/img185/4032/b55jq.jpg

http://img185.echo.cx/img185/6452/c15cp.jpg

http://www.howtodothings.com/ViewArticle.aspx?Article=51

eu segui este "tutorial" para cfg a sygate

n ha nada cm experimentar. btw, eu tenho essa merda bloqueada e funca td..

gl

Nesse link, de como configurar uma Firewall, diz:

block the following applications:
Generic host process for Win32 services
Path: C:\Windows\System32\svchost.exe

mas é isto que eu não entendo!
se bloquear totalmente o Generic host process for Win32 services, fico sem Internet!
Já experimentei isso noutros pcs e é sempre assim

Bloqueio o "Generic host process for Win32 services act as server", isso sim.
Mas não posso bloquear o seu acesso à Net se não deixo eu de aceder...

Ainda agora bloqueei esse serviço e continuo com net, apesar de estar a aceder por rede(router) à net...

Exoerimenta a Sygate PFW. Se dizes que nao tens nada weird a correr, podes muito bem ter um .dll "pendura". Muito malware/trojan faz isso... Btw, se puderes corre o ClamWin e o Kaspersky nessa box.

p.s. se pudesses postar um log do HijackThis tbm ajudava :P

Man, saca o Nod32, www.nod32.com (AV), depois formata a máquina, instala o nod, liga a firewall do Xp (ou configura o router). Só depois é que ligas o cabo de rede ao PC e a primeira coisa q fazes é www.windowsupdate.com

Vais perder mais tempo a tentar ver de onde é o problema do que fazer as coisas bem logo à primeira.

Nesse link, de como configurar uma Firewall, diz:

block the following applications:
Generic host process for Win32 services
Path: C:\Windows\System32\svchost.exe

mas é isto que eu não entendo!
se bloquear totalmente o Generic host process for Win32 services, fico sem Internet!
Já experimentei isso noutros pcs e é sempre assim

Bloqueio o "Generic host process for Win32 services act as server", isso sim.
Mas não posso bloquear o seu acesso à Net se não deixo eu de aceder...

Olá, Eu tb tenho a sygate, e esse processo bloqueadom e tenho net na boa :)

EDIT: Já ontem tinha colocado este post... mas desapareceu, terá sido da ligação ao fórum ter estado em manutenção? :mad:

Sou mais um com este problema! Hoje ja´contou 120mb e eu nem tive em casa!

Com tudo desligado só com o folding dá-me 120mb de downloads só hoje! Oh que grande merd*.

Vou bloquear isso na sygate mas dúvido que seja daí

Eles andem aí... fux!

Vais perder mais tempo a tentar ver de onde é o problema do que fazer as coisas bem logo à primeira.

Mas isso foi o que já disse acima q faço SEMPRE !!
Isso e mto mais!
Antes de ligar o Modem ligo TODAS as seguranças (e além da Firewll por software o Modem e o Router tb têm Firewalls próprias)

Não consigo perceber é pq é q toda gente pode fexar o acesso à Net ao "Generic Host Process for Win32 Services", e eu se fizer isso fico sem Internet...

Mas isso foi o que já disse acima q faço SEMPRE !!
Isso e mto mais!
Antes de ligar o Modem ligo TODAS as seguranças (e além da Firewll por software o Modem e o Router tb têm Firewalls próprias)

Não consigo perceber é pq é q toda gente pode fexar o acesso à Net ao "Generic Host Process for Win32 Services", e eu se fizer isso fico sem Internet...


Acho que já te dei a sugestão noutro forum mas deixo-a aqui tb:

Fecha todos os programas que fechem à net e
vai a run -> cmd -> netstat

Mete cá p que aparece

Quanto ao "Generic Host Process for Win32 Services" Já experimentaste com a sygate?

Nos links q pus acima estão umas imagens do Active Ports e do TCPView, q axo q mostram o mm q o comando netsat, com o acréscimo de, além dos IPs e das portas, mostarem o protocolo, o programa q a está a fazer a ligação, as propriedades, etc.


Realmente nunca usei a sygate

Mas em várias instalações em vários pcs, em q sempre usei a Zone Alarm Pro, a 1ª coisa q aparece sempre, é o pedido do "Generic Host Process for Win32 Services" para aceder à Net.
Sempre permiti e as coisas funcionavam normalmente.
Se não permitisse, não acedia à Internet
E a indicação q a Firewall dá é q se deve permitir.

Faço isso à mto tempo, sem qlq problema
Se fosse um virus ou trojan a fazer isso, já tinha tido problemas antes, certo?
Mas não, nunca.
Sempre xeguei ao fim do mês com 0,5 GB de Internacional (ás x nem isso atingia)

Portanto pensei q o "Generic Host Process for Win32 Services" era uma coisa q tinha de permitir ao Windows pra poder aceder à Net


Mas parece q desta vez a coisa parou
tenho estado sempre de olho no NetCount e nada
Trafego Internacional hoje: 629Kb (nem 1 MB !!)

Será por ter bloqueado na Firewall os 2 IPs (195.50.96.94 e 212.73.245.62), pra onde se deu akele tráfego internacional estúpido??
Terá sido isso suficiente ??


Vou tar agora uns dias de férias.
Vamos ver qd voltar

MUITO OBRIGADO a todos quantos ajudaram a tentar esclarecer este assunto !

Acabei de enviar um mail pro Sapo, a relatar o sucedido
Qd regressar 2ª feira vejo o q eles responderam

Eu também tenho tido o mesmo problema e nem kaspersky nem o sygate acusam nada. cheguei a casa e 400mb em folding. LOL Vá lá que tenho o Clix e tenho 10gb internacionais senão estava tramada. Vou tentar fazer os mesmos procedimentos para ver se são os mesmos IPS.

Depois de alguma troca de mails com os serviços técnicos do Sapo, (alguns um pouco surrealistas...), em que expus pormenorizadamente a situação, resumi a questão a 2 pontos:

1- Eu não efectuei o Tráfego que me está a ser contabilizado.

2- Pela minha parte já fiz tudo o que podia para resolver a situação.


Recebi então mais este mail:

"Estimado Cliente,

Em resposta à sua questão, informamos que após análise verificamos que a
origem do tráfego efectuado é comum em todas as ligações.

Mais informamos que foi enviado para esta mesma conta de e-mail o relatório
de tráfego detalhado."


Alguém me sabe explicar o que é que quer dizer:

"a origem do tráfego efectuado é comum em todas as ligações" ?

(não consigo mesmo perceber o que quer dizer)


Recebi tb um outro mail, com o relatório de tráfego detalhado de que ponho aqui as imagens:

Resumo:
http://img244.echo.cx/img244/6365/resumo4yr.jpg

Detalhes:
http://img244.echo.cx/img244/552/detalhe7pr.jpg

Não entendo o que quer dizer a "Duração": não pode ser a hora a que desliguei da Net pois há um dia em q tem 26h00min01seg, outro com 24h00m01s
Também não pode ser o nº de horas que tive ligado, se não não fazia mais nada...

Nos dias 9, 10 e 11 não estive em casa, ficando o pc desligado e separado do Modem.
Porque é que aparecem valores nesses dias?

Obrigado!

Depois de alguma troca de mails com os serviços técnicos do Sapo, (alguns um pouco surrealistas...), em que expus pormenorizadamente a situação, resumi a questão a 2 pontos:

1- Eu não efectuei o Tráfego que me está a ser contabilizado.

2- Pela minha parte já fiz tudo o que podia para resolver a situação.


Recebi então mais este mail:

"Estimado Cliente,

Em resposta à sua questão, informamos que após análise verificamos que a
origem do tráfego efectuado é comum em todas as ligações.

Mais informamos que foi enviado para esta mesma conta de e-mail o relatório
de tráfego detalhado."


Alguém me sabe explicar o que é que quer dizer:

"a origem do tráfego efectuado é comum em todas as ligações" ?

(não consigo mesmo perceber o que quer dizer)


Recebi tb um outro mail, com o relatório de tráfego detalhado de que ponho aqui as imagens:

Resumo:
http://img244.echo.cx/img244/6365/resumo4yr.jpg

Detalhes:
http://img244.echo.cx/img244/552/detalhe7pr.jpg

Não entendo o que quer dizer a "Duração": não pode ser a hora a que desliguei da Net pois há um dia em q tem 26h00min01seg, outro com 24h00m01s
Também não pode ser o nº de horas que tive ligado, se não não fazia mais nada...

Nos dias 9, 10 e 11 não estive em casa, ficando o pc desligado e separado do Modem.
Porque é que aparecem valores nesses dias?

Obrigado!

Tens wireless?

Não !

Além disso o pc passa a maior parte do dia desligado.
E mesmo qd o ligo, ele não fica logo conectado à Internet.
O cabo do Modem liga a uma ficha RJ45 fêmea-fêmea, que está sempre desligada.
Só no momento em que quero ligar à Net, é que eu ligo a ficha a um cabo de rede que vai ao PC.
Qd já não preciso da Internet, desligo a ficha.


E mais coisas estranhas:
o Relatório que a sapo me enviou não coincide com o Relatório da minha àrea de Cliente:

os consumos de dia 8 e dia 9, (dia 9 eu estava a 500Km do PC), recuaram no tempo (para dias 7 e 8 ), no Relatório que o Sapo me enviou !!!

comparem esta imagem do relatório que o Sapo me enviou por mail:
http://img244.echo.cx/img244/552/detalhe7pr.jpg

com esta tirada da minha Area Cliente Sapo, (assinalei os dias com setas):
http://img264.echo.cx/img264/8088/97dt.jpg

E como é que a duração da ligação no dia 6 pode ser p.ex. de 26 horas num dia??
Um dia só tem 24 horas

Mesmo em dias em que o pc não foi sequer ligado à corrente, aparecem consumos (embora mínimos -menos de meio MB), mas aparecem Durações de muitissimas horas!
No dia 9 até aparece 24horas e 1 segundo, e nesse mm dia aparece mais 4 horas, o q dá 28 horas num dia ??
E no dia 11, (em q eu inda nem tinha regressado), 16:00:01 duma vez, e 19:59:59 doutra, o q dá 36 horas certas num dia ??

cada vez axo isto + estranho...

olha já uma vez me passou o mesmo, dá uma olhadela aqui http://vil.nai.com/vil/content/Print101447.htm , eu na altura tambem corri tudo e mais alguma coisa, em relação a estarem a contabilizar trafego indevido, tenta ver se não tens por ai nenhum vizinho sabichão que te "hankou" a linha....
:009:

E outra coisa, é estranho k quando tens trafego internacional, não tens nacional, muito estranho...

Bernstein chegas te a conseguir resolver esse problema? É que a mim acontece-me exactamente a mesma coisa e nao sei que hei-de fazer :sad: Ja tentei tal como tu bloquear o processo e tal e nada, se bloqueio fico sem net... :rolleyes: Nunca me tinha acontecido isto das centenas de vezes que já instalei o windows.

Se souberem de alguma coisa digam sff :D

cumps[[]]

olhem.me pa esta m*rda... xego a casa (aos açores) e tenho aki 2 facturas estranhas... uma de 64€ e outra de 118€... bem... apenas os meus manos usam net para ir ao msn e mais meia duzia de sites...

tb tive uma prima q teve uns quantos meses a pagar valores superiores (por volta dos 60/70€)...

Vcs conseguiram resolver isso? é k pelo que vejo ainda são uns quantos a ter este "problema" e nada de intervenções por parte da PT...

[[]]

Aqui acontece o mm....Antigamente os 2 Gb chegavam para tudo, agora as poucas coisas k quero ver lá fora tem de ser tudo controlado ao milimetro!!!