Stason Опубликовано 21 января, 2004 Автор Жалоба Поделиться Опубликовано 21 января, 2004 voronу и всем. Уфф, наконец то добрался я до своего червя. Заманал он меня - как в сеть выхожу - качает кубометры. Правда, никаких диалеров больше не ставится, подключения новые на десятизначные номера не появляются и тп - все-таки апдейт винды дает себя знать (имхо). Значит так. Скачал маленькую удалялку бласта w32.blaster.worm ... Нашел он опять одного глиста и убил. Пока ищет второй раз я посмотрел в регистр туда, куда советовал HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Там у меня 5 ключей: -«по умолчанию» - может это и не ключ, а для ламеров вроде меня - задрочка -NvCpiDaemon тип - reg_sz значение - rundll32.exe. NvQTwk, NvCpiDaemon initialize -nwiz тип reg_sz значение - nwiz.exe /instal -хьюлитпаккардовская программка для сканера -SoundMan тип reg_sz значение SoundMan.exe Больше ничего нет (до этого я уже пользовался JV16 Power Tools) Сказать, что это подозрительные ссылки я не могу. NvCpiDaemon - не знаю, что это, но dll все-таки - страшно убивать. nwiz - понятия не имею (в папке NVIDIA с утилитами в/карты). Саундмен - тем более (в папке винды и дистрибьютива драйвера материнки). Только “демон” подозрения вызывает, поиском не ищется. Хочу еще скачать веба, загрузится с сдрома и запустить его из-под доса. Кстати, а как в вебе ставить проверку винта в досе? Пробовал в старом ктрл+энтер на ексешном вебе и c:\ - не хочет в смысле - веб.екзе с:\ Только память проверяет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Premium Опубликовано 21 января, 2004 Жалоба Поделиться Опубликовано 21 января, 2004 (изменено) Пробовал в старом ктрл+энтер на ексешном вебе и c:\ - не хочетв смысле - веб.екзе с:\ Только память проверяет. Если не менял ничего в ini-файле настроек Web-а, то достаточно запустить консольную версию с ключом * (звездочка) и по умолчанию она проверит все файлы на твоем диске с подкаталогами. Читай в хэлпе параметры командной строки. Изменено 21 января, 2004 пользователем Premium Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 1 февраля, 2004 Жалоба Поделиться Опубликовано 1 февраля, 2004 На самом деле все гораздо проще... Конкретно ета живность - Loveson (Blaster.Worm), а по описанным выше Stason'ом приметам, типа ошибка svHost.exe & etc, ето именно он, лечится ровно 15 секунд одной малехонькой программулиной под названием clrav.com Весит она 232КБ и помимо Бластера оч быстро душит еще 19 вирусов. Рекомендую. Так что треп на четыре страницы не стоит свеч. :) clrav.com clrav.com Ссылка на комментарий Поделиться на другие сайты Поделиться
Voron Опубликовано 2 февраля, 2004 Жалоба Поделиться Опубликовано 2 февраля, 2004 SIMC Ты еще пальцы веером раскинь. Спасибо, осчасливил! Наконец-то мы все узнали о вирусняке полугодовалой давности :lol: Если б было все так просто, этого трепа как ты соизволил выразиться, не было бы. Что касается програмулин и спец утилит, байки рассказывать не надо, эффективность их, мягко говоря, не фонтан. Проверено неоднократно и не на одной машине. ЗЫ Где ж ты раньше-то был, что так ловко и быстро состряпал анализ? Или чтоб стать продвинутым пацаном, надо подождать, пока жареный петух в попу клюнул? Поскромнее нужно быть. Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 3 февраля, 2004 Жалоба Поделиться Опубликовано 3 февраля, 2004 Братцы, да не говорите :D Мож с Вами продвинутыми перцами пообщаюсь и научусь выключать машину свою? А то не могу сообразить... :D Voron, земляк, да не пугай уж молодежь то так. Я своего Бластера закатал именно етой утилитой и корефан мой душил своего тоже ей. Вот и тут тоже ее рекомендуют. Работает и помогает отлично. Главное быстро. Рек. ЗЫ: мне было интересно и полезно почитать первую страничку, особенно последнее сообщение на ней. На второй меня посетила мысль,:lol: что я не последний чайник на етой земле. Ссылка на комментарий Поделиться на другие сайты Поделиться
Trefun Опубликовано 12 февраля, 2004 Жалоба Поделиться Опубликовано 12 февраля, 2004 программа svhost.exeэта зараза запускается каждый раз при запуска компа Windows-зараза тоже запускается? Заманала эта фигня меня страшно. Если кто знает, как от нее избавиться - подскажите плиз Удали Винду! Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 27 марта, 2004 Жалоба Поделиться Опубликовано 27 марта, 2004 2Voron Немедленно закачай и поставь Agnitum Outpost Firewall Все, блин, теперь ни одна тварь у тебя в инет без спроса не выйдет и не войдет. Буквально. Не торопись говорить так категорично. Есть такое дело: Аутпост 2.1, но выход в инет идет через прокси UserGate 2.8. Большинство программ действительно отлавливается при попытке прорваться в Сеть. Я говорю про ICQ, Миранду, Бат, Регет и многое другое. Но иногда встречаются такие твари, которые проскакивают через файрвол как нож сквозь масло. Я пока таких встретил две. Название одной уже не помню - какие-то кодеки устанавливала. А вторая известна многим - PuntoSwitcher. Аутпосту на них просто начхать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Посторонним В. Опубликовано 27 марта, 2004 Жалоба Поделиться Опубликовано 27 марта, 2004 Dear Friend Я прошу прощения, но Вы правда считаете Punto Switcher вирусом??? :o Если же имеется в виду служба апдейта Punto Switcher, то она прекрасно задерживается и блокируется outpost-ом, ибо у нее нет цели пройти через него, как нож сквозь масло. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 27 марта, 2004 Жалоба Поделиться Опубликовано 27 марта, 2004 Я прошу прощения, но Вы правда считаете Punto Switcher вирусом??? Если же имеется в виду служба апдейта Punto Switcher, то она прекрасно задерживается и блокируется outpost-ом, ибо у нее нет цели пройти через него, как нож сквозь масло. Где именно я сказал, что PuntoSwitcher - вирус? Если хотите более конкретно, то имеется ввиду не служба автоапдейта упомянутой программы, а т.н. автоматическая регистрация избранных ссылок. Цели пройти сквозь файрвол у нее, конечно, нет. Да и настройками самой программы эти походы убираются элементарно. Но у меня после первого ее запуска в логах ЮзерГейта появились лишние записи, а Аутпост не отреагировал. И впоследствии специально проверял - ноль эмоций. Был Аутпост 2.0, теперь 2.1, без разницы. Я предполагаю вероятное использование подобными программами ядра IE (иначе откуда бы они вообще знали про прокси?), которому многое разрешено. Хотя и сильно в этой причине сомневаюсь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Посторонним В. Опубликовано 27 марта, 2004 Жалоба Поделиться Опубликовано 27 марта, 2004 (изменено) Dear Friend Где именно я сказал, что PuntoSwitcher - вирус? Действительно нигде. Меня смутило выражение "Но иногда встречаются такие твари", вот я и подумал, что речь идет о вирусах и был очень удивлен, увидев имя симпатичной программки Punto Switcher. Если хотите более конкретно, то имеется ввиду не служба автоапдейта упомянутой программы, а т.н. автоматическая регистрация избранных ссылок. Ничего не могу сказать по этому поводу, потому что отключил это сразу после установки Punto Switcher. ИМХО, программа для переключения раскладки клавиатуры должна заниматься своим прямым делом, а не шпионить за мной и, тем более, не бродить по интернету самостоятельно, без моего ведома. Тем не менее очень удивлен услышанным. Если программа проходит через User Gate, значит она пользуется настройками одной из доверенных программ, которые знают эти настройки, а то что ее не видит Outpost означает, что она использует и порты, зарезервированные доверенными программами и выходит в инет их видом. Очень похоже на поведение трояна. :D :) Иначе как объяснить то, что ее не видит outpost??? Изменено 27 марта, 2004 пользователем Посторонним В. Ссылка на комментарий Поделиться на другие сайты Поделиться
azlex Опубликовано 28 марта, 2004 Жалоба Поделиться Опубликовано 28 марта, 2004 У меня оутпост видит. Я тока после отключил походы. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 4 апреля, 2004 Жалоба Поделиться Опубликовано 4 апреля, 2004 Если программа проходит через User Gate, значит она пользуется настройками одной из доверенных программ, которые знают эти настройки, а то что ее не видит Outpost означает, что она использует и порты, зарезервированные доверенными программами и выходит в инет их видом. Очень похоже на поведение трояна. Че-то теперь и я засомневался... Значит будем ловить троянов. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 4 апреля, 2004 Жалоба Поделиться Опубликовано 4 апреля, 2004 Проверился Доктором, Стопом, ТроянРемувером, и насоветованным здесь TDS. Троянов (кроме РАдмина ) нет. Онлайн проверка для меня непозволительная роскошь (хотя и иногда это необходимость). А ведь утверждалось, что поставь Agnitum Outpost Firewall Все, блин, теперь ни одна тварь у тебя в инет без спроса не выйдет Хотелось бы теперь убедиться хотябы в справедливости и не войдет. Буквально. 2azlex У тебя тоже связка Аутпоста и UG? Если нет, может все дело в последнем? Ссылка на комментарий Поделиться на другие сайты Поделиться
Georg222 Опубликовано 15 апреля, 2004 Жалоба Поделиться Опубликовано 15 апреля, 2004 Dear Friend Помойму он прав у меня стоит агнитум все пашет как часы при необходимости можно все перекрыть как для входа так и для выхода Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 15 апреля, 2004 Жалоба Поделиться Опубликовано 15 апреля, 2004 Georg222 А я и не спорю, Аутпост ловит. Но ловит, когда знает, что надо ловить. В данном случае, как уже выяснилось, ситуация следующая: (Это как пример, могут быть другие варианты). Стоит ЮзерГейт, которому разрешено многое, по причине работы через него всех программ, использующих инет. Подключаю к нему MDaemon на той же машине, где и ЮГ, и Аутпост, здесь же выход в Сеть. MDaemon подключается через localhost (127.0.0.1). В Аутпосте loopback разрешен, следовательно демон доступ к ЮГ получает без проблем. ЮГ в свою очередь идет в Сеть, но Аутпосту при этом не говорит, кто его об этом попросил. В итоге в логах Аутпоста чисто, как в хирургии. Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 15 апреля, 2004 Жалоба Поделиться Опубликовано 15 апреля, 2004 Народ, смотрю некоторые из вас хорошо парят в настройках аутпоста. Как насчет замутить темку про настройки и правила? Хоть ба с svchost'ом разобраться, да с почтавиком и браузером... На оф форуме задал вопрос по svchost'y... жду три дня уже. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dear Friend Опубликовано 15 апреля, 2004 Жалоба Поделиться Опубликовано 15 апреля, 2004 SIMC Здесь уже, конечно, давно оффтопик идет, но ты эту тему внимательно читал? Так что же еще осталось непонятного относительно svchost'а? Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 15 апреля, 2004 Жалоба Поделиться Опубликовано 15 апреля, 2004 Dear Friend Вот тема с вопросом: http://www.softboard.ru/index.php?act=ST&f=33&t=9171 Ссылка на комментарий Поделиться на другие сайты Поделиться
Swen47 Опубликовано 1 мая, 2004 Жалоба Поделиться Опубликовано 1 мая, 2004 По поводу принудительной установки приложений: Сам занимаюсь в основном кракингом и руссификацией. Для своих дел использую одну софтину которая отслеживает все изменения в системе. Т.е. при предложении установить мне этот "отстой" я сохраняю текущую конфигурацию системы. Прога ведёт журнал по всем параметрам: реестр, каталоги WINDOWS, Programm Files, файлы WIN.ini ну и т.д Соглашаюсь на установку. Она ставиться :-) Снимок конфигурации системы. Удаляю отстой по журналу! Прога называеться Ashampoo UnInstaller 2000 v2.0.0.1 Весит 1.7мб Программа позволяет следить за установкой программ, а затем корректно их удалять. Утилита отслеживает и регистрирует изменения, которые вносят инсталляционные программы, что позволяет при необходимости корректно - то есть полностью - удалить ненужную программу все действия выполняются с помощью наглядных и понятных Мастеров. Программа также позволяет делать резервные копии выбранных пользователем папок (по умолчанию - C:\Windows\System) в целях безопасности. Есть бесплатная русская версия с русской справкой. Причём ставиться уже русской и халявной :-) Кому если надо могу на мыло скинуть или где-нить выложить. Ссылка на комментарий Поделиться на другие сайты Поделиться
NIKONOR Опубликовано 24 мая, 2004 Жалоба Поделиться Опубликовано 24 мая, 2004 ДА!! Я все чаще понимаю того, кто придумал простой вопрос: "Почему на Кресте ......ся неудобно?" Начали с одного -закончили другим..... Читай.....может пригодиться --http://www.antiviruspro.ru/relis/1508-02.html Ссылка на комментарий Поделиться на другие сайты Поделиться
KENT Опубликовано 28 октября, 2004 Жалоба Поделиться Опубликовано 28 октября, 2004 (изменено) Люди, я не пойму чё вы паритесь с ентой svchost.exe? :) Я вообще с ней тоже сталкивался и я сделал так: на чистый винт установил ВИНДУ сразу зашёл в процессы и посмотрел, там их было 4-е штуки. Так что сами думайте, но результат на лицо - это система. :) Я так думаю, а что нет... :) МПрочитай хотя бы то, что написАли до тебя, может поймешь, почему все парятся. Изменено 28 октября, 2004 пользователем Посторонним В. Ссылка на комментарий Поделиться на другие сайты Поделиться
KENT Опубликовано 29 октября, 2004 Жалоба Поделиться Опубликовано 29 октября, 2004 Прочитай хотя бы то, что написАли до тебя, может поймешь, почему все парятся. Вообщето читал. :) Ну да ладно, не прав так не прав. :) Куда там мне с модераторами спорить. Так что извиняюсь, если чёт не то сказал. :) :) :) Добавлено : [mergetime]1099021449[/mergetime] Без обид, ладно. :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Apitek Опубликовано 30 октября, 2004 Жалоба Поделиться Опубликовано 30 октября, 2004 никто не может конкретно ответить и определиться с svchost''ом..... :( все с одного на другое перескакивают :) может кто подскажет мне куда у меня ломится svchost.exe по адресу: Локальный порт:UDP :1026 Локальный адрес lokal: 212.46.200.33 Удаленный адрес: 61.129.115.91.... по ентим порту и адресам svchost запрашивает входящее соединение.... правило для него я не создаю специально....даже сейчас когда пишу он, падла, 2 раза запрашивал..(с первого и начал списывать енти адреса....) только не надо говорить чтоб создал правило и тело с концом.... :) .... как только выходишь в инет ( у меня диал ап), svchost просит Исходящее соединение по похожим адресам, я его блокирую пару раз однократно..,а потом начинает просить входящее..запрещяешь один, через некоторое время опять.... :) тот же порт только адреса немного различаются... :) может Я типа прокси сервер!??? :) Ссылка на комментарий Поделиться на другие сайты Поделиться
KENT Опубликовано 30 октября, 2004 Жалоба Поделиться Опубликовано 30 октября, 2004 может кто подскажет мне куда у меня ломится svchost.exe по адресу:Локальный порт:UDP :1026 Локальный адрес lokal: 212.46.200.33 Удаленный адрес: 61.129.115.91.... по ентим порту и адресам svchost запрашивает входящее соединение.... правило для него я не создаю специально....даже сейчас когда пишу он, падла, 2 раза запрашивал..(с первого и начал списывать енти адреса....) только не надо говорить чтоб создал правило и тело с концом.... .... как только выходишь в инет ( у меня диал ап), svchost просит Исходящее соединение по похожим адресам, я его блокирую пару раз однократно..,а потом начинает просить входящее..запрещяешь один, через некоторое время опять.... тот же порт только адреса немного различаются... может Я типа прокси сервер!??? Ну ты запутал, так запутал. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maxxx Опубликовано 31 октября, 2004 Жалоба Поделиться Опубликовано 31 октября, 2004 У тебя случайно не нортон установлен. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения