Разное

Всем привет! Окопалась у меня на компе какая-то зараза, антивирями не определяется, откуда и где сидит непонятно. Определил только по излишней сетевой активности svchost.exe на адреса 85.255.112.150 и 85.255.114.68 . Возникает она после установки соединения, пик наблюдается во время запуска IE (слава Богу, чаще юзаю оперу!). Кроме того, эти айпишники поселились в реестре во всех ServerName и в полях DNS настроек подключения. Удаление приводит к различным глюкам, и после перезагрузки они снова в реестре и настройках. Пока заблокирвал адреса файерволом, но надо как-то с этой дрянью бороться, и крайне желательно без переустановки форточек. Короче... опытные, требуется ваша помощь! Заранее спасибо!

Ну неужели не сталкивался никто??

у меня какая-то чехарда с логинами и входами на разные форумы. ни с того ни с сего некоторые
форумы перестали меня узнавать... слазила в TaskManager - куча svchost'ов. некоторые можно
спокойно отключить, отключение других приводит к перезагрузке компа. комп проверен, вирусов
и троянов не обнаружено, база вирусов обновляется с каждым включением. не знаю, то или не то,
но после вашего топика тоже испугалась, что трояна сглотнула.

Попробуйте через файервол посмотреть, куда svchost и mdnsresponder подключаются. Если на какие-то непонятные "непровайдерские" IP - значит, они заражены. А так вообще это системные файлы, отвечающие за поддержку соединений.

В службах или в автозагрузке может чего ? (если набрать в строке выполнить msconfig)
Может какую ненужную службу типа NetMeeting заразили , или Автоматическое обновление.
Только некоторые подозрительные службы не выключаются , чтобы оставить возможность запускать свой локальный сервер.
Можно было-бы с контрольной точки восстановления всё восстановить , если такая имелась-бы

В службах msconfig странное что-то: #id_string1.6844f930.....762## - нет данных. Что бы это могло быть?

google много чего говорит поэтому поводу ,) и половину непонятно

Что-то про iTunes, mdnsresponder.exe и %Программа Files%\Bonjour\"

Вроде не вирус , но название подозрительное :)
и с svhost тоже как-то взаимодействует

>странное что-то: #id_string1.6844f930.....762## - нет данных.

Это от фотошопа приблуда... Следит за пользователями и отправляет данные в инет. Все у кого установлен фотошоп имеют эту приблуду на своем компе. :-)

Без этой приблуды интерфейс не загружается(

Да что то такое я о ней слышал...

Ого, система отказывается аосстанавливаться! Дохожу до подтверждения выбора, жму "Далее", и ничего не происходит, хоть сколько ни тыкай по этой кнопке. Вот это камасутра...

Это где доходите до подтверждения выбора ?:)
Служба восстановления системы хоть включена была раньше ?
Если нет не должно позволить создать контрольную точку сейчас , да и не будет не одной сохранённой точки

В том-то и дело, что точек полно, выбрать можно, но не идет дальше ПОДТВЕРЖДЕНИЯ выбора.

А служба восстановления-то хоть активна на данный момент ?
Пуск-> Администрировние -> службы
( кстати она тоже запускается как C:\WINDOWS\system32\svchost.exe -k netsvcs
, если верить тому что там пишут :) )
Попоробуйте перезапустить.
И у неё есть зависимость от службы удалённых вызовов процедур.

// Уже немножко жалею что получается влез не в свой комп ;)

Перезапуск ничего не дал. Шарю по форумам, оказывается этот svchost.exe уже стал притчей во языцах. В нем какая-то дыра, которая позволяет заставить его выполнять определенные вредоносные действия. При этом сам он как бы безвреден, а вот в реестре к нему пристегивается бог знает что(((

в реестре как раз наверное и указывается какие программы
при каких действиях нужно запускать этим svhost'ом

самые злостные вирусы ,насколько успел понять одного :) перезаписывают системные файлы , которые при запуске системы после этого делают например эти вещи с реестром.
даже не факт что эти системные файлы изменятся размером после этого
Но бывает какаято-левая программка лежит таки где-нибудь,
которая и вызывается этими системными файлами.
Но я не вирусолог и этот вирус мне неизвестен:) наверняка должна быть где-то информация именно о том что конкретно обнаружилось, я-бы попробовал найти именно инфу по данной конкретной неисправности

Третий день уже ищу инфо по указанным ИПам, ничего толком... Во всяком случае, ничего, понятного мне...

http://www.techsupportforum.com/security-center/virus-trojan-spyware-help/hijackthis-log-help-inactive/123804-hijacked-browser-help.html
http://help.forum2x2.ru/forum-f18/tema-t502.htm
вобщем, вот такие дела.

<? //люди, прошу помощи!  FixwareOUT - единственная на сегодняшний день программа,  которая удаляет этот троян. Найти сам не смог, может, есть у кого? ?>

уже нашел))))

Бросайте Вы пользоваться этим IE :)
Скачали-бы себе Opera ,
и приспокойненько юзали бы путешевствуя по разным форумам

Писать-то страницы под него все равно надо. Да и не только в нем дело((
З.Ы.: гугл говорит, данная служба используется сервисом обмена музыки itunes. Видимо, можно рубить

ХЕЛП!! В опере и ИЕ вдруг ни с того ни с сего слетели настройки!! оба пишут, что не включены кукисы!! Хотя все включено.. что делать??

Это Вы меня спрашиваете ? :)

Только полная переустановка виндовс с предварительным крэш её тестом :)))
Пусть эта виндовс познает то чего она не сможет выдержать.

Как такое могло хоть случиться-то ? Опера вроде хранит все кукисы и прочее в файлах , которые лежат в папке с программой, и даже наверное сможет запуститься независимо от того знает-ли о ней виндовс или нет

Забыл спросить ,

На локальном-ли сайте только такое заметили , или на удалённом ,
или независимо от того у Вас в компьютере-ли сайт или нет ???

Javascript'ом показываются куки , а не передаются через соединение , или как ??

Авторизация проходит нормально, а при добавлении сообщения в форме быстрого ответа в обоих браузерах выводится сообщение 'Добавление сообщения невозможно, тк не включены соокis'
хотя все включено, настройки не менял..я так понимаю яваскрипт схватил какой-то вирус..

Это новогодний вирус :)
наверное админ сайта на котором эта форма быстрого ответа решил сделать себе новогодние каникулы , и придумал такую шутку.

Если здесь с этих-же браузеров пишите , значит у вас не может не быть cookie

В простейшем случае вот-так можно посмотреть как работают cookie

<html>  <head>   <meta http-equiv="set-cookie"   content="test= hello; expires=Wed, 31 Dec 2008 21:00:00 GMT; path=;"/>   <meta http-equiv="set-cookie"   content="test2= world;  expires=Wed, 31 Dec 2008 21:00:00 GMT; path=;"/>  </head>  <body>  :)  </body> <script> alert(document.cookie) </script> </html>

просто создать такой файл.html , и запустить браузером,
должно быть показано что-то вроде test=hello;test2=world;
даже если потом удалите эти meta-теги и обновите страницу

Или если все могут добавлять быстрые добавления , а вы не можете?
Не очень верится что где-то может сидеть вредоносная программа , и вредить удаляя только cookie-заголовки из запросов браузера

Не сидеть через прокси.

Блин, нифига не помогает. Эта зараза взбесилась еще пуще(((

Переустановите вы систему и не мучайтесь %-))))

Спасибо))))

чуть больше о процессах можно посмотреть программой prowise

http://dmonsoft.jino-net.ru/?get=soft&name=prowise
там у каждого из висящих svhost можно посмотреть свойства , и то с какими параметрами его запустили,
но в принципе тоже самое можно поискать в службах

Только я не знаю какой там инсталятор , и ставит-ли он эту программу как замену стандартному диспетчеру процессов,
Прямая ссылка http://dmonsoft.jino-net.ru/download.php?fid=7 около 380kb
бесплатная, но при первом запуске с заставкой. могу прикрепить чуть меньше весом (~270) просто файлы которые нужны чтобы запустить, но кажется после этого остаётся в реестре что-то что читается при определении первый-ли раз запущена программа

Думаю это мало что даст.
Намного полезнее могло-бы оказаться что-то типа восстановления системных файлов с установочного диска windows.
кажется там такого небывает.
Есть только доустановка компонентов типа всяких сетевых, но тоже похоже ничего не перезаписывают из уже установленного.
Но я не очень с этими установочными дисками, может и есть там какие-то возможности исправлять без переустановки , мне ни разу не удавалось :)

Да видимо придется шерлокхолмсовским методом, отслеживать обращения к реестру и проверять процессы

За программулину сердечнейшее спасибо)) вот она-то мне и поможет;)