|
|
|
| Всем привет! Окопалась у меня на компе какая-то зараза, антивирями не определяется, откуда и где сидит непонятно. Определил только по излишней сетевой активности svchost.exe на адреса 85.255.112.150 и 85.255.114.68 . Возникает она после установки соединения, пик наблюдается во время запуска IE (слава Богу, чаще юзаю оперу!). Кроме того, эти айпишники поселились в реестре во всех ServerName и в полях DNS настроек подключения. Удаление приводит к различным глюкам, и после перезагрузки они снова в реестре и настройках. Пока заблокирвал адреса файерволом, но надо как-то с этой дрянью бороться, и крайне желательно без переустановки форточек. Короче... опытные, требуется ваша помощь! Заранее спасибо! | |
|
|
|
|
|
|
|
для: amigo62
(27.12.2008 в 18:42)
| | Ну неужели не сталкивался никто?? | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 13:21)
| | у меня какая-то чехарда с логинами и входами на разные форумы. ни с того ни с сего некоторые
форумы перестали меня узнавать... слазила в TaskManager - куча svchost'ов. некоторые можно
спокойно отключить, отключение других приводит к перезагрузке компа. комп проверен, вирусов
и троянов не обнаружено, база вирусов обновляется с каждым включением. не знаю, то или не то,
но после вашего топика тоже испугалась, что трояна сглотнула. | |
|
|
|
|
|
|
|
для: elenaki
(29.12.2008 в 13:27)
| | Попробуйте через файервол посмотреть, куда svchost и mdnsresponder подключаются. Если на какие-то непонятные "непровайдерские" IP - значит, они заражены. А так вообще это системные файлы, отвечающие за поддержку соединений. | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 14:00)
| | В службах или в автозагрузке может чего ? (если набрать в строке выполнить msconfig)
Может какую ненужную службу типа NetMeeting заразили , или Автоматическое обновление.
Только некоторые подозрительные службы не выключаются , чтобы оставить возможность запускать свой локальный сервер.
Можно было-бы с контрольной точки восстановления всё восстановить , если такая имелась-бы | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 14:49)
| | В службах msconfig странное что-то: #id_string1.6844f930.....762## - нет данных. Что бы это могло быть? | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 15:18)
| | google много чего говорит поэтому поводу ,) и половину непонятно
Что-то про iTunes, mdnsresponder.exe и %Программа Files%\Bonjour\"
Вроде не вирус , но название подозрительное :)
и с svhost тоже как-то взаимодействует | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 15:18)
| | >странное что-то: #id_string1.6844f930.....762## - нет данных.
Это от фотошопа приблуда... Следит за пользователями и отправляет данные в инет. Все у кого установлен фотошоп имеют эту приблуду на своем компе. :-) | |
|
|
|
|
|
|
|
для: Zend72
(29.12.2008 в 18:15)
| | Без этой приблуды интерфейс не загружается( | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 19:28)
| | Да что то такое я о ней слышал... | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 14:49)
| | Ого, система отказывается аосстанавливаться! Дохожу до подтверждения выбора, жму "Далее", и ничего не происходит, хоть сколько ни тыкай по этой кнопке. Вот это камасутра... | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 19:27)
| | Это где доходите до подтверждения выбора ?:)
Служба восстановления системы хоть включена была раньше ?
Если нет не должно позволить создать контрольную точку сейчас , да и не будет не одной сохранённой точки | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 20:01)
| | В том-то и дело, что точек полно, выбрать можно, но не идет дальше ПОДТВЕРЖДЕНИЯ выбора. | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 20:16)
| | А служба восстановления-то хоть активна на данный момент ?
Пуск-> Администрировние -> службы
( кстати она тоже запускается как C:\WINDOWS\system32\svchost.exe -k netsvcs
, если верить тому что там пишут :) )
Попоробуйте перезапустить.
И у неё есть зависимость от службы удалённых вызовов процедур.
// Уже немножко жалею что получается влез не в свой комп ;) | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 20:31)
| | Перезапуск ничего не дал. Шарю по форумам, оказывается этот svchost.exe уже стал притчей во языцах. В нем какая-то дыра, которая позволяет заставить его выполнять определенные вредоносные действия. При этом сам он как бы безвреден, а вот в реестре к нему пристегивается бог знает что((( | |
|
|
|
|
|
|
|
для: amigo62
(29.12.2008 в 21:50)
| | в реестре как раз наверное и указывается какие программы
при каких действиях нужно запускать этим svhost'ом
самые злостные вирусы ,насколько успел понять одного :) перезаписывают системные файлы , которые при запуске системы после этого делают например эти вещи с реестром.
даже не факт что эти системные файлы изменятся размером после этого
Но бывает какаято-левая программка лежит таки где-нибудь,
которая и вызывается этими системными файлами.
Но я не вирусолог и этот вирус мне неизвестен:) наверняка должна быть где-то информация именно о том что конкретно обнаружилось, я-бы попробовал найти именно инфу по данной конкретной неисправности | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 22:10)
| | Третий день уже ищу инфо по указанным ИПам, ничего толком... Во всяком случае, ничего, понятного мне... | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 22:10)
| | http://www.techsupportforum.com/security-center/virus-trojan-spyware-help/hijackthis-log-help-inactive/123804-hijacked-browser-help.html
http://help.forum2x2.ru/forum-f18/tema-t502.htm
вобщем, вот такие дела.
<?
//люди, прошу помощи!
FixwareOUT - единственная на сегодняшний день программа,
которая удаляет этот троян. Найти сам не смог, может, есть у кого?
?>
|
уже нашел)))) | |
|
|
|
|
|
|
|
для: elenaki
(29.12.2008 в 13:27)
| | Бросайте Вы пользоваться этим IE :)
Скачали-бы себе Opera ,
и приспокойненько юзали бы путешевствуя по разным форумам | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 16:33)
| | Писать-то страницы под него все равно надо. Да и не только в нем дело((
З.Ы.: гугл говорит, данная служба используется сервисом обмена музыки itunes. Видимо, можно рубить | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 16:33)
| | ХЕЛП!! В опере и ИЕ вдруг ни с того ни с сего слетели настройки!! оба пишут, что не включены кукисы!! Хотя все включено.. что делать?? | |
|
|
|
|
|
|
|
для: Rename
(29.12.2008 в 20:53)
| | Это Вы меня спрашиваете ? :)
Только полная переустановка виндовс с предварительным крэш её тестом :)))
Пусть эта виндовс познает то чего она не сможет выдержать.
Как такое могло хоть случиться-то ? Опера вроде хранит все кукисы и прочее в файлах , которые лежат в папке с программой, и даже наверное сможет запуститься независимо от того знает-ли о ней виндовс или нет | |
|
|
|
|
|
|
|
для: Rename
(29.12.2008 в 20:53)
| | Забыл спросить ,
На локальном-ли сайте только такое заметили , или на удалённом ,
или независимо от того у Вас в компьютере-ли сайт или нет ???
Javascript'ом показываются куки , а не передаются через соединение , или как ?? | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 22:43)
| | Авторизация проходит нормально, а при добавлении сообщения в форме быстрого ответа в обоих браузерах выводится сообщение 'Добавление сообщения невозможно, тк не включены соокis'
хотя все включено, настройки не менял..я так понимаю яваскрипт схватил какой-то вирус.. | |
|
|
|
|
|
|
|
для: Rename
(30.12.2008 в 09:03)
| | Это новогодний вирус :)
наверное админ сайта на котором эта форма быстрого ответа решил сделать себе новогодние каникулы , и придумал такую шутку.
Если здесь с этих-же браузеров пишите , значит у вас не может не быть cookie
В простейшем случае вот-так можно посмотреть как работают cookie
<html>
<head>
<meta http-equiv="set-cookie"
content="test= hello; expires=Wed, 31 Dec 2008 21:00:00 GMT; path=;"/>
<meta http-equiv="set-cookie"
content="test2= world; expires=Wed, 31 Dec 2008 21:00:00 GMT; path=;"/>
</head>
<body>
:)
</body>
<script>
alert(document.cookie)
</script>
</html>
| просто создать такой файл.html , и запустить браузером,
должно быть показано что-то вроде test=hello;test2=world;
даже если потом удалите эти meta-теги и обновите страницу
Или если все могут добавлять быстрые добавления , а вы не можете?
Не очень верится что где-то может сидеть вредоносная программа , и вредить удаляя только cookie-заголовки из запросов браузера | |
|
|
|
|
|
|
|
для: Rename
(29.12.2008 в 20:53)
| | Не сидеть через прокси. | |
|
|
|
|
|
|
|
для: xx77
(29.12.2008 в 16:33)
| | Блин, нифига не помогает. Эта зараза взбесилась еще пуще((( | |
|
|
|
|
|
|
|
для: amigo62
(30.12.2008 в 12:38)
| | Переустановите вы систему и не мучайтесь %-)))) | |
|
|
|
|
|
|
|
для: Zend72
(30.12.2008 в 12:52)
| | Спасибо)))) | |
|
|
|
|
|
|
|
для: amigo62
(30.12.2008 в 12:38)
| | чуть больше о процессах можно посмотреть программой prowise
http://dmonsoft.jino-net.ru/?get=soft&name=prowise
там у каждого из висящих svhost можно посмотреть свойства , и то с какими параметрами его запустили,
но в принципе тоже самое можно поискать в службах
Только я не знаю какой там инсталятор , и ставит-ли он эту программу как замену стандартному диспетчеру процессов,
Прямая ссылка http://dmonsoft.jino-net.ru/download.php?fid=7 около 380kb
бесплатная, но при первом запуске с заставкой. могу прикрепить чуть меньше весом (~270) просто файлы которые нужны чтобы запустить, но кажется после этого остаётся в реестре что-то что читается при определении первый-ли раз запущена программа
Думаю это мало что даст.
Намного полезнее могло-бы оказаться что-то типа восстановления системных файлов с установочного диска windows.
кажется там такого небывает.
Есть только доустановка компонентов типа всяких сетевых, но тоже похоже ничего не перезаписывают из уже установленного.
Но я не очень с этими установочными дисками, может и есть там какие-то возможности исправлять без переустановки , мне ни разу не удавалось :) | |
|
|
|
|
|
|
|
для: xx77
(30.12.2008 в 13:15)
| | Да видимо придется шерлокхолмсовским методом, отслеживать обращения к реестру и проверять процессы | |
|
|
|
|
|
|
|
для: xx77
(30.12.2008 в 13:15)
| | За программулину сердечнейшее спасибо)) вот она-то мне и поможет;) | |
|
|
|