Перейти к содержимому


!!! Только у нас на форуме !!!
Спектакли от дяди Пчёлки

для просмотра необходима регистрация
Фотография
- - - - -

Очередные проблемы.


  • Please log in to reply
26 ответов в этой теме

#1 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 16 авг 2006 - 00:41

В очередной раз прошу помощи.
Уже устал от ... сам не знаю чего.
(Предыдущая история)
Отформатировал С:.
Установил "в чистую" систему.
Поборол с Вашей помощью проблемы в т.ч. и с драйверами, видео и пр...
На сегодняшний день - очередная проблема -
(проблема тянется уже более 3-х дней).
Доктор Веб говорит - всё нормально.
Ad-Aware SE Personal - нет проблем.
Но, судя по старым наблюдениям- сидит "нехороший" наверное вирус...
Основные "проявления"
Прикрепленный файл  Untitled_1.jpg   39К   69 Количество загрузок:
- Инет - минут через 10 просто "молчит". Молчит всё.
- вызов Инет-соединения из трея - не откликается (т.е. тоже "молчит"), точнее даже не вызывается...
Кто возможно сталкивался ???
Заранее спасибо.
Пока.
Олег.
  • 0

#2 Relogan

Relogan
  • Участник
  • 124 Сообщений:

Отправлено 16 авг 2006 - 00:44

Привет, земляк. Сходи сюда http://virusinfo.info/forumdisplay.php?f=46 , там точно помогут. Главное скинуть им 2 лог файла, какие узнаешь по ссылке.
  • 0

#3 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 16 авг 2006 - 00:48

Ок, Володя, схожу.
Спасибо.
Пока.
Олег.
  • 0

#4 MetroidZ

MetroidZ
  • Участник
  • 610 Сообщений:

Отправлено 16 авг 2006 - 11:57

SP2 стоит?
А фаервол?
Антивирус против этого бесполезен, нужно либо ставить заплатки либо правильно настраивать фаервол. Интернет через диалап?
Часто помогает лог программы HiJackThis
http://www.merijn.org/downloads.html

Сообщение отредактировано MetroidZ: 16 авг 2006 - 11:58

  • 0

#5 Relogan

Relogan
  • Участник
  • 124 Сообщений:

Отправлено 16 авг 2006 - 12:07

Часто помогает лог программы HiJackThis
http://www.merijn.org/downloads.html


Вот как раз логи этой прогораммы и просят прислать эти ребята http://virusinfo.info/forumdisplay.php?f=46
  • 0

#6 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 16 авг 2006 - 16:35

SP2 стоит?

Да.

А фаервол?

Да.

....либо правильно настраивать фаервол.

Поподробней пожалуйста.

Интернет через диалап?

Да.

Часто помогает лог программы HiJackThis

Спасибо, скачал. Игорь, вечером из дома выложу лог, если не сложно посмотри...
Пока.
Олег.
  • 0

#7 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 17 авг 2006 - 11:22

Вечером не получилось, выкладываю сейчас.
Прикрепленный файл  hijackthis.txt   5,51К   31 Количество загрузок:
Заранее спасибо.
Пока.
Олег.
  • 0

#8 MetroidZ

MetroidZ
  • Участник
  • 610 Сообщений:

Отправлено 18 авг 2006 - 21:56

C первого взгляда никакого криминала.
DrWeb - регулярно обновляется? Свежие обычно хорошо чистят систему от вирусов.
Можно скачать
Dr.Web CureIT!

http://www.drweb.ru/download/1028/
http://http.drweb.ru/drweb/cureit/drweb-cureit.exe
и запустить проверку на весь диск в безопасном режиме.

Давно тоже сталкивался с такой проблемой - на компах были фальшивые файлы svchost.exe (просто заменял его оригинальным из кэша)
C:\WINDOWS\system32\dllcache\svchost.exe



После этого ставил фаервол Outpost он создавал нужные правила, и закрывал в нем ненужные для работы порты.

Если Dr.Web CureIT! не поможет вот ещё одна специализированная утилита:
clrav.zip

http://www.kaspersky.ru/removaltools?vtopen=146410248#open

Из автозагрузки можно выкинуть ненужные вещи типа:
InterBase - если он не нужен обычно ставится пари установке Delphi.
Обновение Windows
C:\WINDOWS\system32\wuauclt.exe
и т.п.
Какой фаервол установлен?

Для сравнения приведу свойства моего SVCHOST:

File Version Information :

Version language : Английский (США)
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
ProductName : Microsoft® Windows® Operating System
ProductVersion : 5.1.2600.2180

Creation Date : 18/08/2004 16:00:00
Last Modif. Date : 18/08/2004 16:00:00
Last Access Date : 18/08/2006 20:54:01
FileSize : 14336 bytes ( 14.000 KB, 0.014 MB )
FileVersionInfoSize : 1908 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 5.1.2600.2180 / 5.1.2600.2180
Language : Английский (США) (0x409)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)


  • 0

#9 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 19 авг 2006 - 00:03

Игорь, спасибо большое.
Но видно слишком много информации.
Позже сделаю "рапорт".
Не могу всё переварить....
Пока.
Олег.
  • 0

#10 sergio

sergio
  • Участник
  • 60 Сообщений:

Отправлено 20 авг 2006 - 01:45

Столкнулся с таким же явлением, и похоже в то же время, что и Вы.
Опишу свою ситуацию, может быть это поможет Вам разобраться со своей.
Свежеустановленная XP SP2 (лиц.). Установлен комплект программ, который устанавливался уже много раз
(т.е. проверенный временем.) LE, Scenarist, AE, Photoshop, 3ds max и еще кое-что по мелочам.
Решил обновить AntiVir, а сам в это время читал форумы. Через какое-то время появилось такое же сообщение.
Нажал кнопку "Не отправлять" - компьютер перезагрузился. Я опять в интернет, опять минут через 10 тоже самое.
Я решил разбираться с этим завтра, задвинул надпись в угол, дочитал форум и выключил компьютер.
Больше, как ни странно, такая ситуация не повторилась.
Я к чему все это. Я не знаю что это, но вряд ли вирус. Полный список посещенных сайтов с этой системы:
http://www.1dv.ru/, http://www.videoediting.ru/, http://www.intel.ru/ и все.

Если не затруднит, отпишите как решилась проблема.
Удачи.

И еще, вдогонку.
У меня всегда разрешено автоматическое обновление в системе.
Может это поможет :)
  • 0

#11 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 20 авг 2006 - 02:02

Столкнулся с таким же явлением, и похоже в то же время, что и Вы.

Если не против, на ты ?

Я не знаю что это, но вряд ли вирус. Полный список посещенных сайтов с этой системы:
http://www.1dv.ru/, http://www.videoediting.ru/, http://www.intel.ru/ и все.
Если не затруднит, отпишите как решилась проблема.
Удачи.
И еще, вдогонку.
У меня всегда разрешено автоматическое обновление в системе.
Может это поможет :)

Первый и второй ресурс посещаю регулярно (каждый день).
Проблема пока не решилась, НО в последние дни - не проявляется вообще никак :beer:.
Обновление включено, но по "определённой схеме".
Пока.
Олег.
P.S. После выходных попробую "рецепт" от Игоря.
  • 0

#12 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 12 ноя 2006 - 18:29

Извините, что поднимаю свою старую проблему.
Просто достало...
Уже вторую неделю - и именно этот глюк.
Как проблема решилась в тот раз -уже не помню :( . Сейчас попробовал вроде все советы... Не получилось :) .
Восстановился из Акроникса.
Снёс Доктора Веба, установил Касперского. (образ диска с тем и с другим - есть).
Выбивает из нета (только дома, на работе всё нормально) каждые 2-5-10-20 мин.
(Что немного странно - особенно при заходе на 1.dv и чат Видеодома, хотя возможно кажется, я на них возможно чаще всего и хожу....)
Последний пример
Прикрепленный файл  Untitled_123.jpg   154,43К   27 Количество загрузок:
Что делать или куда ткнуться ???
Проверки от Ad-Aware SE Personal, RegCure, Spy Sweeper, Доктора Веба и Касперского - говорят что всё нормально.
Млин... :(
Пока.
Олег.
  • 0

#13 KVASS

KVASS
  • Участник
  • 1 474 Сообщений:

Отправлено 12 ноя 2006 - 19:45

Наверно надо обращатся на Гороховую 20 Elcom.ru, :( а вообще в сети много об этом пишут набери в поиске Intrusion.Win. DCOM. exploit, судя по прочитанному- волноваться нет причины
Цитата:
Вообще-то рекомендуется отключать IDS-модуль (защита от сетевых атак) в том случае, когда уже установлен сторнний firewall, т.к. могут быть конфликты.
Цитата из FAQ KL:
"Лаборатория Касперского рекомендует использовать данную систему только в случае отсутствия на Вашем компьютере персонального firewall пакета...
Если на Вашем компьютере уже установлен какой-то firewall, то мы рекомендуем отключать IDS в настройках Антивируса Касперского во избежание конфликтов драйверов этих приложений."
В вашем же случае просто IDS КАВ определил атаку раньше, чем сответствующий модуль Outpost.

А у меня вообще недавно выскивало предупреждение, что компьютер ваш отключится через столько секудн. И отключался- гад! Посмотрел-Администрирование-Просмотр событий, нашёл эту ошибку и в сеть искать, народ тоже хватал такое, ни один антивирь не ловит- пришлось самому удалять эту бяку.
  • 0

#14 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 12 ноя 2006 - 21:09

Серёж, спасибо большое.

Наверно надо обращатся на Гороховую 20 Elcom.ru, :)

Шпиён, понимаешь :( :) :)

Вообще-то рекомендуется отключать IDS-модуль (защита от сетевых атак) в том случае, когда уже установлен сторнний firewall, т.к. могут быть конфликты.
А у меня вообще недавно выскивало предупреждение, что компьютер ваш отключится через столько секудн. И отключался- гад! Посмотрел-Администрирование-Просмотр событий, нашёл эту ошибку и в сеть искать, народ тоже хватал такое, ни один антивирь не ловит- пришлось самому удалять эту бяку.

Попробую... :(
Пока.
Олег.
  • 0

#15 KVASS

KVASS
  • Участник
  • 1 474 Сообщений:

Отправлено 12 ноя 2006 - 21:17

Олег, и вовсе я не шпиён, сам же фотку выложил с IP-адресом. :(
  • 0

#16 Dick

Dick
  • Участник
  • 11 196 Сообщений:

Отправлено 12 ноя 2006 - 23:29

"Восстановился из Акроникса.
Снёс Доктора Веба, установил Касперского. (образ диска с тем и с другим - есть).
Выбивает из нета (только дома, на работе всё нормально) каждые 2-5-10-20 мин."

Что сразу после восстановления и выбивает?
У тебя старый образ-то был чистый?

Меня, писал недавно, ничто не спасло, только Акронис - такую гадость словил.

Потом бывает сами антивири чудят. Попробуй для начала вообще их снести.
У меня какой-то антивирь (не помню название) после обновления вообще запер выход в сеть, снес его и сразу вошел....
  • 0

#17 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 12 ноя 2006 - 23:40

Что сразу после восстановления и выбивает?
У тебя старый образ-то был чистый?

Да, практически, сразу....
Старый образ чистый или нет... Сам не знаю. Наверное нет...
Пока.
Олег.
  • 0

#18 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 29 ноя 2006 - 00:19

Извините, надеюсь, что не совсем надоел :)
Решил всерьёз заняться своеей проблемой.
в последнее время выкидывает сообщение
Прикрепленный файл  zzzaaaqqq.jpg   25,92К   24 Количество загрузок:
И так до 5-7 "окошек" практически за раз.
Посмотрел по IP - через _http://news.nic.com
Я так понял -это мой провайдер или кто-то рядом с ним... балуют :D Или я даже не знаю...
Что посоветуете?
Спасибо.
Олег.
  • 0

#19 Sego

Sego
  • Модераторы
  • 16 344 Сообщений:

Отправлено 29 ноя 2006 - 00:41

Олег , у меня переодически выскакивают подобные сообщения ( Каспер 6) , я просто отключил это окно , что б не раздражало . Может "доброжелатель" какой ? Со старым провайдером ( там же у них был и мой сайт ) проблемы были постоянны , и кстати "заразили" и сам сайт и с него и посетителей ( зараза конкретная , сейчас уже не помню , но движек форума слетел совсем , тогда стоял IPB) . Они выяснили , что атака была с Казани , я вместе с ними написал заявление в ФСБ , но воз и ныне там . В Казане у меня ни друзей ни врагов , вообще никого . Провайдера сменил , Каспера обновляю , окно закрыл , систему раз в пол года восстанавливаю (по необходимости) из образа .

Сообщение отредактировано Сего: 29 ноя 2006 - 00:42

  • 0

#20 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 29 ноя 2006 - 00:53

Сергей, вот в чём "прикол".
Если я данное окно отрубаю (Do not shou...), то и из Интернета меня выкидывает минут через 10-20-30.
Если же я не жму ОК на первом окне, нахожусь в Нете _хоть час_, затем ОК - раз 20-30, затем опять сижу нормально.
Но это не есть IMHO правильно...
Чуствую пора опять ставить систему "в чистую" :)
Надоел этот "бардак"
Пока.
Олег.
  • 0

#21 Kanst

Kanst
  • Модераторы
  • 1 435 Сообщений:

Отправлено 29 ноя 2006 - 02:02

Ищи настройки ответа на атаку. У меня раньше тоже вылетал часто (Kaspersky Personal Pro 5 + Anti-Hacker 1.7). Видимо суть в том, что у прова на компе что-то "шебуршится" и если у тебя стоит опция "Блокировать атакующий компьютер", то результатом блокировки сервака провайдера является выброс тебя из Инета.
  • 0

#22 Icchi

Icchi
  • Участник
  • 519 Сообщений:

Отправлено 29 ноя 2006 - 02:17

А через что происходит выход в интернет? Если это домовая сеть, то 1) по ним могут бродить вирусняки 2) некоторые сети работают через такую опу, что действительно вышибают граждан с файрволлами, т.к. у файрволла крыша едет от бурной активности сети.

Рекомендую убрать из автозапуска:
точно - C:\Program Files\Winamp\winampa.exe - какой-то Winamp Agent, без которого и так все работает.
наверное - C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe - если это только dvd-плейер, то без этой фигни можно обойтись.
  • 0

#23 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 29 ноя 2006 - 02:35

2 Kanst
А вот это точно не смотрел... Спасибо, попробую.
2 Icchi
Нет, "домовой сети" нет, Мопед.
Но и Winamp и PowerDVD стоят. Спасибо, так же посмотрю...
Ребята, спасибо за мысли, буду пробовать...
Пока.
Олег.
  • 0

#24 Icchi

Icchi
  • Участник
  • 519 Сообщений:

Отправлено 29 ноя 2006 - 03:34

Кто-то ломится извне. Вариант - поставить Outpost, а Каспера отключить. Может, это Каспер как-то неадекватно реагирует. У Outpost есть бесплатная версия, на которой удобно тренироваться.
Может, еще к провайдеру обратиться, мол кто-то шарится, айпишники такие-то...

Сообщение отредактировано Icchi: 29 ноя 2006 - 03:35

  • 0

#25 KVASS

KVASS
  • Участник
  • 1 474 Сообщений:

Отправлено 29 ноя 2006 - 13:24

BlackICE PC Protection - настольная версия семейства брандмауэров Black Ice.
Он реализует только одно действие - блокирование подозрительных входящих соединений.
Система очень проста и неприхотлива, но основную функцию, безусловно, выполняет.
При попытке установления несанкционированного соединения BlackIce "проглатывает"
пакет данных, ответственный за установку соединения, в результате создается впечатление,
что компьютера с таким IP-адресом нет. Об атаке программа предупреждает мерцающей иконкой
возле часов, двойное нажатие на иконку открывает окно протокола с информацией о типе атаки,
адресе и имени сервера атакующего. Кнопка advICE позволяет открыть веб-сайт фирмы-производителя,
на котором подробно описаны все виды атак и рекомендуемые действия.
Назойливых шалунишек, которые решили поиграть в хакеров и докучают атаками, можно поместить
в список блокируемых адресов на срок от часа до месяца или же навсегда.
Никакое общение пользовательского компьютера с заблокированным адресом невозможно.
К сожалению, помещение в список блокировки произвольных адресов невозможно, поэтому
использование этой функции, например, для родительского контроля невозможно.
Программа работает по принципу "вытащил из коробки - и работай".
Для настройки нужно выбрать уровень безопасности и отметить, нужно ли совместно использовать файлы и принтеры.
Все остальные настройки относятся к протоколированию атак и вычислению атакующего.
Теперь программа научилась отслеживать активность запускающихся на компьютере приложений и,
в случае необходимости, вовремя вредоносные процессы прибивать.
Кроме того, прога следит за целостностью размещенных на машине данных, что, по-видимому,
затруднит их потерю или изменение в случае злонамеренного вмешательства.
Доступ к Интернету, особенно если он организован по цифровой абонентской линии DSL с ее
молниеносным быстродействием или через кабельный модем, сулит немало удовольствия.
Беда только, что при этом и ваша машина доступна из Интернета.
Достаточно воспользоваться программой выявления вторжений BlackICEDefender (39,95 долл.
при прямых поставках) компании Network Ice, чтобы с удивлением обнаружить, каким массированным
атакам подвергаются наши ПК со стороны Сети. Естественно, далеко не все они носят враждебный характер,
но некоторые из них, скажем посягательства с помощью программ "Троянский конь", имеют своей целью
получение жизненно важных личных данных из наших ПК.
Для защиты от подобных атак большинство пользователей применяют брандмауэр – аппаратный или программный
механизм, который отсекает на входе во внутреннюю сеть любой трафик из Интернета, кроме определенного.
Наибольшее распространение получили брандмауэры с фильтрацией пакетов, анализирующие в исходящих и
входящих потоках данные сетевого уровня и сопоставляющие полученную информацию с таблицей правил.
Однако брандмауэры требуют к себе повышенного внимания, и по мере установки в сети или на домашней
машине новых средств или протоколов растет и число брешей в системе защиты.
К тому же злоумышленники могут получить доступ к ресурсам внутренней сети по коммутируемой телефонной
линии, минуя брандмауэр или сервер-посредник.
Именно здесь в игру вступает BlackICE. В отличие от защитных механизмов, которые устанавливаются в сети
на стороне сервера или маршрутизатора, BlackICE инсталлируется на каждой рабочей станции или ПК.
Еще одно отличие от брандмауэра: BlackICE в динамическом режиме регулирует степень защиты в
соответствии с уровнем посягательств на конкретную систему.
При попытке посягательства программа блокирует всякий доступ со стороны злоумышленника, его IP-адреса.
Подобно программам поиска вирусов, BlackICE обнаруживает враждебный поток данных с помощью сигнатурного файла.
На Web-узле компании этот сигнатурный файл часто обновляется, и пользователям рекомендуется загружать
на свои ПК новую версию, но покупателям изделия в течение года обеспечивается бесплатное обновление.
Средствами простого интерфейса программы можно контролировать степень необходимой защиты.
Имеются следующие варианты доверительного уровня: Trusting (безопасно), Cautious (обеспокоенность),
Nervous (нервозное состояние) или Paranoid (состояние паранойи).
По умолчанию устанавливается состояние Cautious и в дальнейшем доверительный уровень регулируется в
зависимости от частоты предпринимаемых против системы атак.
BlackICE функционирует почти незаметно и напоминает о себе, только когда возникает попытка посягательства.
На экране в графическом виде представляется временная зависимость интенсивности прохождения данных в сети
и частоты атак.
Кроме того, воспроизводится и информация о злоумышленниках и видах посягательств, которую можно
зафиксировать в журнале регистрации пакетов и фактов.
Можно выделять и помечать как безвредные адреса, соответствующие безопасному доверительному уровню.
Программа BlackICE обеспечивает домашним пользователям столь необходимую им линию обороны от атак извне.
Что касается корпоративных сетей, то программа станет для них дополнительным заслоном от злоумышленников.
Программа сканируется DSL, кабельные и dial-up соединения, отслеживает хакерскую активность, а также сканирует жеcткие диски ПК на предмет обнаружения всевозможных вирусов и троянов. BlackICE проста в установке, не требует обширных знаний о работе сети и Интернете, так что подойдет для большинства пользователей, просто и эффективно желающих обезопасить свою работы.
Скачать:
_http://download.iss.net/eval/bipcprotection/BIPCPSetup.exe
(6.3Mb)
Номерок в РМ.

Сообщение отредактировано KVASS: 29 ноя 2006 - 13:32

  • 0

#26 Sego

Sego
  • Модераторы
  • 16 344 Сообщений:

Отправлено 30 ноя 2006 - 11:38

"На границе тучи ходят....." :)
Поставил этого "погранца" , все работает , с Каспером вроде без проблем .
Сергей Спасибо!
  • 0

#27 Ancle Fedor

Ancle Fedor
  • Модераторы
  • 5 150 Сообщений:

Отправлено 02 фев 2008 - 13:44

Возможно кому и пригодится...
Проблема первого поста неожиданно решилась установкой заплаток
WindowsXP-KB894391-x86-ENU.exe
WindowsXP-KB921883-x86-ENU.exe
Уж не знаю, где данную информацию мой знакомый откопал, но реально глюк "ушёл".
7 дней - ни одного вылета.
Мелочь - а приятно :wacko: .
Пока.
Олег.
P.S. Глобально переставить систему руки так и не дошли ... :) Так до сих пор и мучался...
  • 0


0 человек читают эту тему

0 пользователей, 0 гостей, 0 скрытых пользователей

Rambler's Top100