Компьютерные специ-подмогните

[Фидер 13]

Есть у нас известный комрад,который с компом на ВЫ.(надеюсь пока)

Так вот,натыкал он тут в инете по всяким ссылкам и получил FREE PORNO сайт.

Короче,при открытии любой страницы в эксплор.внизу появляется окно с непристойными картинками и написано-вы подписались на это,чтоб отписаться пришлите смс на номер и получите код отписки(развод).

Антивирус Панда-2008 эту гадость не обнаруживает.

Скачал ему АдАваре-прогнали-нифига не помогает.

Чего далать то? где эту хрень искать и чем убить?

А вообще,может кто сможет подъехать к нему домой вместе со мной и пришибить эту гниду (не комрада,конечно *1* )

[Гость fisherm@n]

СМС не развод, снимут 350 (по моему) рублей и пришлют код, у меня несколько знакомых так вваливалось. *1*

[Гость Бывший]

Более толковые антивирусы попробуй для начала. Каспер там или докторвеб.

[bazilefs 1 364]

Ни один антивирус не помогает! Ни толковые ни безтолковые, нужно переустанавливать либо на програмном уровне убирать.

[Гость Бывший]

Нет, переустанавливать точно пока не надо! Самый простой (и тупой) выход из положения - поставить Оперу, в ней и работать. Ну, если посложнее - почистить (из свойств обозревателя) куки (слетят сораненные пароли к сайтам) и сохраненные страницы. Затем уже (если не поможет) надо будет лезть в реестр и групповые политики.

[Гость fisherm@n]

Ну, если посложнее - почистить (из свойств обозревателя) куки (слетят сораненные пароли к сайтам) и сохраненные страницы. Затем уже (если не поможет) надо будет лезть в реестр и групповые политики.

Куки снести пробовали, не помогает (((

[Гость Бывший]

Ну, надо подъезжать тогда. Хотя в принципе, посмотреть и удаленно можно...

[Ghost 69]

Через меню Сервис -> Свойства обозревателя

Вкладка Программы -> кнопка надстройки.

Попробуй найти эту хрень там, в момент поиска желательно отрубить инет. Если не получится поставь оперу или файерфокс сделай один из них браузером по умолчанию, ярлыки на ослика убери.

Не плохо проверить папку автозагрузка и список программ запускаемых через системный реестр.(Пуск -> Выполнить (просто набери msconfig) вкладка Автозагрузка.

Можно инет пошерстить наверняка кто то уже сталкивался.

Ну и последнее, любишь кататься люби и копаться *16* *21*

[Гость Бывший]

Можно удаленно ряд вопросов решить. Прога есть бесплатная (для некоммерческого использования и до 25 часов в месяц) - Team Viewer - для удаленного управления компом (я клиентов удаленных поддерживаю с ее помощью). Вот ССЫЛКА (1 Мб). Запускаешь скачанный файл, создается папка программы в Program Files и ярлык на рабочем столе. Безо всяких предупреждений, запросов и подверждения установки - инсталл-пакет я сам создавал для лоханутых юзеров и мне это не нужно было. Потом, когда нужна чья-то помощь, запускаете программу на управляющем и управляемом компах (нужен выделенный интернет), прога генерит ИД и пароль для текущего сеанса. Пользователь управляемого компа сообщает их пользователю управляющего компа. Управляющий вводит эти данные в запросе подключения и имеет полное управление над ведомым + передача файлов + чат. Ведомый видит на экране все действия, которые производит управляющий, и может в любой момент прервать сеанс. В следующем сеансе генерится другой пароль, так что взять управление компом без ведома невозможно (должен быть запущен Team Viewer и сообщен ИД и пароль). Достоинства прораммы - проще аськи, не нужно знать айпишники, маленькая.

[Гость fisherm@n]

Антивирь не бузит?

[Гость Бывший]

Антивирь не бузит?

Антивиры и файрволлы допускают. Файрволл правда может позудеть, типа "допустить"/"не допустить", надо сказать "допустить".

[Priest 13]

Как Дима сказал, это может быть надстройка к IE. Но полюбому на диске есть файлик... *16*

Найти такого зловреда почти всегда можно вручную, анализом автозапуска и запущенных процессов. Помочь могут утилиты HiJackThis и CodeStuff Starter. Но к этому надо привычку...

О, еще можно скачать свежий CureIt с сайта drWeb, и попробовать им поискать.

А еще есть антивирус Зайцева: AVZ.

А еще на сложные вопросы отвечают в темке на форуме virusinfo.info - но там надо точно выполнить предложенный анализ (HiJackThis и AVZ) и прислать отчет.

В наше время нельзя жить без:

- нормального обновляемого антивиря

- настроенного брандмауэра

- знания английского

- внимательности (скорее всего этот экземпляр был совершенно легально установлен либо в спешке, либо по недомыслию).

Могу подъехать, если подвезут. Но в четверг-воскресение...

Изменено 25 Ноября 2008 пользователем Priest

[Ghost 69]

Саш все это будет работать если комп подключен к инету напрямую без всяких роутеров и т.п. т.е у компа пусть и динамический, но все же внешний IP. В противном случае надо будет настраивать маршрутизацию.

[Гость Бывший]

Саш все это будет работать если комп подключен к инету напрямую без всяких роутеров и т.п. т.е у компа пусть и динамический, но все же внешний IP. В противном случае надо будет настраивать маршрутизацию.

Да нет, через прокси нормально работает. Настройки прокси по умолчанию беруться из свойств обозревателя, то есть если работает эксплорер - будет скорее всего работать и прога.

[Ghost 69]

Согласен, но на домашних компах обычно через прокси не выходят, либо через модем по USB тоже самое, что и через обычный модем (комп имеет внешний IP) либо через Ethernet или WIFI (комп имеет внутренний IP) во втором случае роутер модема настроен так, что разрешает соединения инициализированные изнутри. Не знаю как именно работает прога возможно и будет работать.

Саня флудим не по теме :)

Изменено 25 Ноября 2008 пользователем Ghost

[Гость Бывший]

Согласен, но на домашних компах обычно через прокси не выходят, либо через модем по USB тоже самое, что и через обычный модем (комп имеет внешний IP) либо через Ethernet или WIFI (комп имеет внутренний IP) во втором случае роутер модема настроен так, что разрешает соединения инициализированные изнутри. Не знаю как именно работает прога возможно и будет работать.

Саня флудим не по теме :)

Работает точно, Дим! У одного из клиентов подключение к инету точь-в-точь как домашнее сделано, то есть сеть, ADSL-роутер, без прокси - и все работает.

Дим, я не флужу, я предлагаю вариант как помочь человеку без выезда на место - удаленно любой из компьютерщиков попробовать может - не получиться у одного, возможно получиться у другого.

[DJM 0]

Ну вобщем это делаем так:

1. Чистим c:\Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\ , желательно руками, предварительно включив отображение скрытых файлов и папок. Это все конечно при выключеном эксплорере.

2. Далее идем по пути C:\WINDOWS\sistem32\ и ищем файлик hmtlib.dll , который на самом деле является Win32\Hexzone.R троянской программой. Сносим, лучше через shift+del.

Вот вроде как и все. Если кого то интересует антивирь с обновлением из кольца нижегородского, который эту дрянь отлавливает на 100%, то пишите в личку.

Удачи :).

[Ghost 69]

В принципе можно и штатными средствами типа RDP, но настроить сложнее.

Изменено 25 Ноября 2008 пользователем Ghost

[Фидер 13]

Короче понял,что мало что понял))DJM спасибо.

Сам у него вычистил куки,кэш,удалил все временные файлы.но-мимо.

[DJM 0]

так а я о чем говорю, надо удалить файлик hmtlib.dll, который из нета опять подтягивает эти банеры и картинки, если он не удален, то временные файлы можно не чистить....

[Ghost 69]

Серег оно может не получаться по причине указанной Альбертом.

Возможно висит процесс, который следит за тем, что бы прогу не турнули из осла и или автозагрузки.

[DJM 0]

а вот и нет. не висит в процессе, ибо нормальный обновленный антивирус убивает этот файл в ноль и сразу.

[Макс-f 20]

Фидер

Серёж, если проблему не решили, то помогу. Звони.... обьясню. Или подьехать могу вечерком. Поможет чистка в RegEdit адназначна.

AVZ правильно настроенный тоже помогёт.

ЗЫ года два назад похожая зараза была. Вылечил быстро и просто через AVZ, не мудясь с процессами и удалением их ног из реестра... хотя и так можно было.

Изменено 25 Ноября 2008 пользователем Макс-f

[Фидер 13]

Окей,проблема еще не решена конечно.

Короче,всей толпой едем к Пожарнику и заодно ломаем ему пальчики,чтоб в следующий раз не тыкал куда не нужно)))

Изменено 25 Ноября 2008 пользователем Фидер

[Гость fisherm@n]

Поездка к Пожарнику, наверняка обернется пьянкой, что пагубно скажеться на производительности самого Пожарника, и камрадов. *1*

[ДедМазай 8 121]

едем к Пожарнику и заодно ломаем ему пальчики,чтоб в следующий раз не тыкал куда не нужно)))

Гы ... спалился Миха *1* *1* *1*

[Гость Владислав_из_Нижнего]

Так чо за антизверь такой, который эту гадость убирает?

Кстати, аваст хоум-стоящая вещь, или так себе?

[Макс-f 20]

Кстати, аваст хоум-стоящая вещь, или так себе?

Второе

[Priest 13]

Кстати, аваст хоум-стоящая вещь, или так себе?

Второе

Макс, эт почему? *16*

Что еще абсолютно легально может поставить честный незамутненный юзер себе для защиты от вирусов, такое же отменно обновляемое и простое, кроме Avast! Home? За почти год - один 'false positive': почему-то окрысился на привязку к диску деццкой комп-игрушки, пришлось в игнорируемые добавить руками. Все остальное пашет отменно (как истинный параноик иногда гоняю свежие AVZ и CureIt для проверки).

На практике у меня сливали ему и оба Symantec, и NOD-ы - не последние игроки...

Есть минус - регистрация новых пользователей с полгода уже почему-то не работает у меня...

Вить, даю наводку: если сидеть за NATом, аутпост не обязателен (виндового файрволла достаточно). :)

Изменено 25 Ноября 2008 пользователем Priest

[Макс-f 20]

Макс, эт почему?

Я не специалист....и компы- не моя родная стихия. Так что комплексного анализа не приведу. Скажу как достаточно опытный юзер, который знаком много лет с ведущими программерами города (не по работе, просто друзья..), что по их совету юзаю Symantec 10 и проблем нет! При условии, что оперативы минимум гиг и проц мощный. Приходилось лечить (и переодически приходится) компы с серьёзными заражениями, и что интересно :) Symantec со своёй мудрёной эвристиркой находит зло там, где его DrWeb не видит... Со слов шамана :), который лет 5 назад в разработке баз Доктора веба учавствовал, Symantec хорошо именно в 10 версии! А 11 и выше- зло ещё то! Домашний комп я уже стописят лет не проверял ничем, и просто при пользовании проблем не нахожу. Антиривир сам по себе тайно обновляется тока...- это плохо.

ЗЫ: Опять же, со слов профи: "установи касперского врагу в офисе"...

ЗЗЫ: прошу не принимать мной вышеизложенное как категорическое утверждение.

Изменено 25 Ноября 2008 пользователем Макс-f

[Priest 13]

Домашний комп я уже стописят лет не проверял ничем

Проверь ради забавы. Например CureIt. Только он не дружит как минимум с Касперским, насчет Symantec не знаю, но на всякий случай его монитор лучше тормознуть на время проверки.

[Макс-f 20]

CuteIT не нашел ничего, кроме bit-axcelerator (как то так пишется). Это такая програмка полезная..

[NikitaFisher 175]

А что она делает?

[артемий 0]

юзаю NOD32 давно уже. всё хорошо. ползую его по совету опытных товарещей. привлекает то что оперативы моло занимает.

P.S. ESET Smart Security комплексный антизверь фаервол и т.д и т.п.

[DJM 0]

По роду работы приходилось проводить довольно серьезные и трудоемкие тесты антивирусов, исходя из этого, могу сказать, что по результатам тестов (а это и производительность, и малая загрузка проца и памяти, нахождение и убиваемость вирусов, перехват зараженной почты и вторжений и многое другое) мы первое место отдали ESET NOD 32 (соответственно с постоянным обновлением). Из бесплатных AVG (http://free.avg.com/), единственный минус которого в том лишь, что он английский.

Так вот, кому надо дистрибы или подробности по антивирусам можно пообщаться в личке, итак уже тема ушла в тестирование антивирусных модулей :).

[Гость BaNCo]

первое место отдали ESET NOD 32 (соответственно с постоянным обновлением)

+Многа...

[Vladimир 0]

Информер прописывается в Эксплоэре. Попробуй вот так. Сервис-Свойства обозревателя-Программы-Надстройки. В списке ищем программы с расширением в конце lib-dll, в графе ИЗДАТЕЛЬ надпись "не проверен", выделяем эту строчку в крайнем левом столбце ИМЯ и ставим точку на ОТКЛЮЧИТЬ, далее перезагружаем ЭКСПЛОЭР и ВСЁ!!!

Или восстановление системы на сутки раньше.

[Михал 30]

Серёга, делаешь так:

Информер прописывается в Эксплоэре. Попробуй вот так. Сервис-Свойства обозревателя-Программы-Надстройки. (см. ниже) В списке ищем программы с расширением в конце lib-dll, в графе ИЗДАТЕЛЬ надпись "не проверен", выделяем эту строчку в крайнем левом столбце ИМЯ и ставим точку на ОТКЛЮЧИТЬ, далее перезагружаем ЭКСПЛОЭР и ВСЁ!!!

(тот самый "см. ниже") здесь , где написано "Показать", жмем стрелку и выбираем"Надстройки, загруженные в Internet Explorer", а уже потом (дальше по тексту).

Я отключил :ALAC Data Helper расширение fsblib.dll и Crypted Video Provider расширение rodlib.dll

В результате дрянь пропала. Причем это появляется только в IE, в AVANTe замечено не было.

(Обнаружил случайно :из-за низкой скорости открытия страницы решил попробовать IE -открыл блин)

ПС: так хочется все чаще и чаще изловить этих "умных" програмеров, оторвать им рученьки и воткнуть ладошками в попу - пусть там клавиши втыкают.

Или зря я так - благодаря им мы все глубже и глубже изучаем свой компьютер.

Изменено 25 Ноября 2008 пользователем Михал

[Михал 30]

Новое сообщение только что обновленного AVASTa -rodlib.dll сцуко червь - найден в Систем32 и помещен в хранилище

[Михал 30]

И еще - две страницы нафлудили, и тока Владимир Сергеевич, рыболовный стаж которому пол века помог справится с проблемой. Компьютерный же стаж - теряюсь в догадках. СПАСИБО ему огромное.

[MrFrost 135]

А всё зло в этой жизни происходит только лишь от того, что шляемся мы по инету с правами админиcтратора в винде. И поэтому любая зараза имеет нас когда хочет и в любых позах :-)

Изменено 26 Ноября 2008 пользователем MrFrost

[укроп 43]

Как было сказано выше, эта фигня убирается в Надстройках, Называется она как правило "Media Codek" или что - то похожее, по работе часто сталкиваюсь с таким баннером. чаще всего СМС не помогает. Названия этой фигни могут быть написаны по разному, поэтому по очередеи включите и выключите каждую надстройку, и между включением, выключением, перезапускайте браузеры.

Антивири и файрволы на эту фигню не реагируют, так как воспринимают ее как объект ActiveX,

что якобы безвредная фишка к вашему браузеру.

Изменено 26 Ноября 2008 пользователем укроп

[укроп 43]

А всё зло в этой жизни происходит только лишь от того, что шляемся мы по инету с правами админиcтратора в винде. И поэтому любая зараза имеет нас когда хочет и в любых позах :-)

+1 Все переходим на Linux )))))))))))) и FreeBSD.

[Priest 13]

У нас при живом лицензионном NOD третьей версии в конторе ботнет жил некоторое время. Отрубилось обновление на нескольких компьютерах, насмерть причем отрубилось, до переустановки. :)

[Чес 0]

Во время пребывания в инете с периодичностью примерно раз в пол-часа вылезает вот такая вот хрень,

после чего комп наглухо виснет и выключается только resetом. Антивирусники симантик и доктор веб ничего не находят. Чё делать? :)

[DJM 0]

Во время пребывания в инете с периодичностью примерно раз в пол-часа вылезает вот такая вот хрень,

после чего комп наглухо виснет и выключается только resetом. Антивирусники симантик и доктор веб ничего не находят. Чё делать? :)

На самом деле служба Generic Host Process отвечает за сетевые подключения, поэтому причины возникновения ошибки могут быть следующие:

-Атаки на определенный порт из инета. Чаще всего это 445 порт, иногда - 139 порт.

-Вирусы. Чаще всего это трояны, пытающиеся получить интернет-доступ.

-Программы с высокой нагрузкой на интернет-канал. В роли такой программы может выступать торрент-клиент (к примеру, µTorrent). Создавая огромное количество подключений (по умолчанию - около 60), программа вызывает нестабильную работу службы.

Вариантов решения проблемы несколько:

-Установка обновлений

-Проверка на наличие вирусов

-Закрытие портов в файерволле

-Перевод ADSL-модема в режим маршрутизатора (роутера)(Переведя свой ADSL-модем в данный режим, -доступ к вашему компьютер станет невозможным извне)

Вот примерно так. Сам я склоняюсь к тому что надо переустановить винду и на чистую систему накатить обновления до SP3, поставить антивирь нормальный и уже настраивать систему под себя...

...да, 90% вероятности, что ваша винда стоит довольно долго и обновлений на ней не было, а ведь были апдейты, закрывающие уязвимости именно в этом процессе.

[Priest 13]

Svchost является процессом, отвечающим за запуск сервисов, оформленных в виде dll. Падающий сервис к сетевым подключениям может иметь отношение, а может и не иметь.

В идеале нужно найти падающий сервис (смотри services.msc или чего получше). Я бы попробовал систему восстановить (смотри sfc.exe /scannow) - нужен диск с виндой. Также предположу, что тупая накатка SP3 поможет - но при этом с любовью хакнутая авторизация винды наверняка слетит. *1*

На крайняк можно поддержать идею, что на домашние компы общепринято переустанавливать винду раз в полгода-год. *16*

[DJM 0]

Авторизация слетит точно, как вариант установить не все обновления, а несколько критичных:

WindowsXP-KB894391-x86-RUS (2 Мб)

WindowsXP-KB920683-x86-RUS (600 Кб)

WindowsXP-KB921883-x86-RUS (692 Кб)

WindowsXP-KB923414-x86-RUS (715 Кб)

и кстати Generic Host Process отвечает именно за сетевые подключения (как факт на лицо проблема при подключенномм интернете), как бы проблема решёная и опыт в ней есть, так что можно смело исправлять, а не тестировать. :)

[Priest 13]

Нет, не только. Служба диспетчера логических дисков - это сетевое подключение?

При подключенном интернете могу валить например службу, отвечающую за RPC.

А так - да, проще переделать, чем обсуждать...

Изменено 27 Ноября 2008 пользователем Priest

[DJM 0]

А так - да, проще переделать, чем обсуждать...

+1

обсуждаю только по тому, что с подобно проблемой сталкивался неделю назад и подробно ее изучил:)