Skocz do zawartości

Komputer "zapycha" sieć


Rekomendowane odpowiedzi

Witam,

 

Laptop po podłączeniu do sieci po interfejsie przewodowym powoduje spowolnienie działania sieci na pozostałych urządzeniach (wysokie pingi, bardzo słabe wyniki DL/UL na speedteście). Problemu nie ma jeżeli ten sam laptop podłączony jest do tej samej sieci po interfejsie WiFi. Łącze to UPC światłowód 600/600, ale to tutaj mało istotne. Na komputerze powodującym problem sam Internet działa ok, problem dotyczy wszystkich pozostałych urządzeń w sieci w ramach tego samego VLAN. Dzieje się tak tylko na jednym koncie użytkownika (Windows 10), więc raczej odpada uszkodzenie interfejsu sieciowego.

 

Analiza Wiresharkiem i logów routera (Mikrotik RB750Gr3) wykazuje pełno zapytań na porcie UDP 53 z IP karty sieciowej do routera. Zablokowanie tego portu dla tego IP w firewall routera rozwiązuje problem - sieć na pozostałych urządzeniach działa OK. Wygląda to jakby jakiś proces rozsyłał DDoS w stronę routera, chociaż obciążenie CPU na MT nie wzrasta i ubija to tylko urządzenia w tym samym VLAN.

 

Załączam do analizy logi z FRST, ESET nie znalazł żadnych zagrożeń.

Addition.txt FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę tu żadnej infekcji.

 

Kosmetyka:

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2020-12-01] <==== UWAGA
FF Plugin HKU\S-1-5-21-1702512430-1667816713-2583525857-1705: msview -> C:\windows\system32\npmsview.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-2951668450-138919431-2350860387-1001: msview -> C:\windows\system32\npmsview.dll [Brak pliku]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2020-12-01] <==== UWAGA (Linkuje do pliku *.cfg)
S3 ax_pvi; \??\c:\Program Files\HP\Sure Click\bin\ax_pvi.sys [X]
S3 QDrive; \??\C:\Users\B707D~1.OST\AppData\Local\Temp\QDrive.sys [X] <==== UWAGA
AV: Kaspersky Endpoint Security for Windows (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Endpoint Security for Windows (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
EmptyEventLogs:
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

=============

Nie zabieram głosu w sprawie problemów z siecią, bo po prostu na tym się nie znam.

 

jessi

Odnośnik do komentarza

@bartos89: Świetna dogłębna analiza. 👍

 

Port UDP 53 to DNS, przyczyną będzie Bonjour.

W logu widać jego proces Bonjour\mDNSResponder.exe a także antywirus ma z nim problemy. A w pliku hosts masz nienaturalnie dużo wpisów z DNS

Tcpip\Parameters: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{11580C49-940F-4B97-A4A7-2D2E889C4E6B}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{44da1c10-c2ac-444e-80f2-a92af8d0edb1}: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{48352BEC-35E4-436B-A9B3-CF2EF53899EE}: [DhcpNameServer] 178.219.96.3 178.219.96.4 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{92dd2ebc-5786-4d50-8b24-b4854fe9b017}: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{9CF795B9-5383-4C8A-9300-136D08569C42}: [DhcpNameServer] 62.179.1.63 62.179.1.62
Tcpip\..\Interfaces\{A3A644B4-3983-4E3F-8BBA-E7958238A895}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{b0055d46-7065-46ce-8031-d3c5000579fb}: [DhcpNameServer] 62.179.1.63 62.179.1.62
Tcpip\..\Interfaces\{E03AF257-15A3-41D5-89E4-D39558F376F0}: [DhcpNameServer] 194.204.152.34 194.204.159.1

 

Odinstaluj Bonjour z programów, 

Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

(services.exe ->) (Apple Inc. -> Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe

 

Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [121704 2011-08-31] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [132968 2011-08-31] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [121704 2011-08-31] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [132968 2011-08-31] (Apple Inc. -> Apple Inc.)


Tcpip\Parameters: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{11580C49-940F-4B97-A4A7-2D2E889C4E6B}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{44da1c10-c2ac-444e-80f2-a92af8d0edb1}: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{48352BEC-35E4-436B-A9B3-CF2EF53899EE}: [DhcpNameServer] 178.219.96.3 178.219.96.4 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{92dd2ebc-5786-4d50-8b24-b4854fe9b017}: [DhcpNameServer] 192.168.71.254
Tcpip\..\Interfaces\{9CF795B9-5383-4C8A-9300-136D08569C42}: [DhcpNameServer] 62.179.1.63 62.179.1.62
Tcpip\..\Interfaces\{A3A644B4-3983-4E3F-8BBA-E7958238A895}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{b0055d46-7065-46ce-8031-d3c5000579fb}: [DhcpNameServer] 62.179.1.63 62.179.1.62
Tcpip\..\Interfaces\{E03AF257-15A3-41D5-89E4-D39558F376F0}: [DhcpNameServer] 194.204.152.34 194.204.159.1

DNS Servers: 192.168.71.254

 

FirewallRules: [{C6A78266-F006-4432-8C8D-D53DDFE85F17}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{05B409AF-8ECC-4A10-B6A6-D98B0365F76D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{28FBF762-765F-4FB1-9E7C-DB267FF22BAC}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{900BB0CB-2EAE-40BC-A750-CAA08DFD4A8A}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA

HKU\S-1-5-21-1702512430-1667816713-2583525857-1705\...\Run: [] => [X]

 

Hosts:
CreateRestorePoint:

 

Zapisz zawartość notatnika (menu plik > zapisz lub naciśnij jednocześnie CTRL + S)
W FRST kliknij NAPRAW (w angielskiej wersji Fix).

Uruchom ponownie system.

 

Możesz wpisać na sztywno adresy do klienta DNS od dostawcy internetu jeśli potrzebujesz, dwa wystarczą.

Potestuj i daj znać jakie są rezultaty.

Odnośnik do komentarza

Po bonjour nie ma śladu, po błędach antywirusa który miał z nim problem także. DNSy i plik hosts wygląda dobrze.

Prawdopodobnie był to problem łączony ESET + bonjour i właśnie ESETa sprawdzilibyśmy jako kolejnego pojerzanego. Użyj ESET AV Remover do usunięcia resztek. Po polejnej instalacji antywirusa powinno już być dobrze.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...