» Какая-то хрень шарит в интернетах и жрет трафик!

На ноуте с "чистой" ХР, в котором интернет - скайлинк с платным трафиком - поселилась какая-то дрянь и постоянно жрет трафик.

В диспетчере - никаких новых процессов - нету.
В автозагрузке и службах - тоже
обновление - отрублено нахрен, трафик ест даже при незапущенных браузерах.
видно что происходит все это через svchost...
Чем можно посмотреть - кто к нему "присосался" и "гадит" ?

MadrabbitZ

Цитата:

Чем можно посмотреть - кто к нему "присосался" и "гадит" ?

используем файрволл.. или netstat или утилиту tcpview

process explorer

AnVir Task Manager или качаем утлиту с SysInternals

Проверил свежеобновленными Нодом, ТроянРемувером и Д.Р Вебом - ничего не видят ...
tcpview - показывает что эта зараза крутит баннеры (видно как работает "ротатор" по десятку баннеров)

Как найти и убить - напрочь не понятно )

Добавлено:
Cheery
rem812
alp1n3

Буду пробовать дальше ...

Посмотри панель управления-производительность и обслуживание-назначенные задания,бывает порой хрень всякая там самостоятельно селится.

Поставь, к примеру, Outpost firewall - все будет видно, кто куда лезет.

Есть еще: Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

ЦИТАТА:видно что происходит все это через svchost...КОНЕЦ ЦИТАТЫ.

Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).

В борьбе с rootkitами, вроде как, дальше всех продвинулся DrWeb с последней версией пятерки.

Цитата:

дальше всех продвинулся DrWeb с последней версией пятерки.

ну каждый своё пиарит, а я скажу что Kaspersky Internet Security не плох, он бы и ту заразу не пустил

MadrabbitZ
такой дыбильный вопрос))) От Гугля ничего не ставили из утилит? Ну там Декстора или может еще что?))) Ну так... вдруг)))

Жесть какая-то ...
Удалил старую версию ДрВеба, нашел и поставил 5.0
ИНТЕРНЕТ ПЕРЕСТАЛ РАБОТАТЬ !!!

Сейчас Куитпост попробую ...

Добавлено:
NeliyZar
Нет

MadrabbitZ

Цитата:

tcpview - показывает что эта зараза крутит баннеры

какая? как зовут приложение?

ну автор же написал svchost.exe... ясно что это руткит, скорее всего подгружается в виде dll-ки (помнится была такая bonjour.dll, типа реклама по собствнному желанию, в обмен на установку приложения), хотя может быть и в памяти или отдельном потоке... Посмотрите, сколько нитей в во "вредном" процессе svchost? а какие dll подгружены??
Если идет хук NtQueryInformation и сокрытие процесса от диспетчеров можно попробовать отловить утилитой Klister (работает только на Win2000), остальные платные ищие сами. Производители антивирусов и файрволов в этом плане отстали от жизни, так как 1 из десятка умеет обнаружить скрытые процессы. Для этого существует только несколько утилит, причем они довольно легко обходятся. Если у вас такой "продвинутый" вирус, могу только предложить самописную прогу по обнаружению процессов путем анализа связанных с ним хэндлов + Kernel Mode detection из двусвязного списка структур EPROCESS... Только сразу вам скажу, затраты того не стоят... Все равно без антивируса удалить не сможете, так что юзайте спец. проги по рукитам либо советую не морочиться и тупо зарубить баннерообмен в файере

Цитата:

ну автор же написал svchost.exe

ну не заметил, сорри


MadrabbitZ
скачать утилиту autoruns, запустить, сохранить лог с расширением arn, заархивировать, выложить куда нить и дать ссылку.

alp1n3
Самописные проги - это уже наверное лишнее, хотя - спасибо, но не стоит того
Cheery
Поздно ... я ей уже поковырял самостоятельно, только и успел вчера еще её скачать, как интернет внезапно кончился (опять глюки)

-------------------------------------

Эта дрянь каким-то образом даже файрвол обходила (и Куитпост, и затем - Комодо)
А сейчас - как говорится в известном анекдоте - "вендекапец"
"отваливается" постоянно драйвер "ская" (переустановки, с чисткой реестра - не помогают) и еще куча каких-то странных тормозов и глюков...

Придется восстанавливать из могучедревнего, годовалой давности образа ... и перетаскивать с машины и обратно кучу инфы и всякой всячины
Мда... Надо было Акронисом почаще пользоваться, раз уж виндо-восстановление отключил )

Самое интересное - никак не понять - где я её "словил" ... такую, судя по неуязвимости - исключительно свеженаписанную
Не на торрентах же ?!
Вот куда оно лезло:
cds174.ion9.msech.net
cds28.arn.llnw.net

Добавлено:
Самое главное забыл сказать - забить я её похоже все-таки забил, точнее сказать не могу, так как со злости - замочил autoruns несколько подозрительных dll безо всяких подписей (и даже без даты !!!)

И еще чего-то ... )
Теперь ничего в интернет не лезет, но и самому "виндовс" - тоже ...

Попробуйте XoftSpySE Anti-Spyware Одна из лучших программ для обнаружения и удаления шпионских и рекламных модулей.
XoftSpySE Anti-Spyware предназначена для обнаружения и удаления таких вредоносных программ как: Adware, Spyware , W32/Spybot, Malware, Pop-up Generators, Keyloggers, Unwanted Toolbars, CWS, Trojans и Browser Hijackers, Backdoors, BHOs и т.д. Позволяет производить полное сканирование жестких дисков, памяти и системного реестра.
В настройках сканирования можно указать, какой тип шпионского программного обеспечения необходимо искать на компьютере. Кроме этого можно ограничить поиск указанными папками. XoftSpySE Anti-Spyware не только находит разнообразные вредоносные модули, но и предоставляет исчерпывающую информацию о каждом из них. Присутствует возможность работы по расписанию.
Очень высокая скорость сканирования. Большая база данных, свыше 44000 + регулярные обновления, что особенно важно для утилиты, основное предназначение которой заключается в обеспечении безопасности пользователя.
Идеальный вариант - использовать XoftSpySE Anti-Spyware одновременно с Ad-Aware SE, так как она находит и такие модули, которые не может обнаружить Ad-Aware.
Ссылка в скрытом тексте

MadrabbitZ
посмотрите здесь:
http://forum.ixbt.com/topic.cgi?id=7:35021
Windows Update точно отключен?

MadrabbitZ
Помнится тоже подцепил похожую заразу, которая тянула всякую вирусню в кэш. Ничем не виделась, так, как внедрилась в системную dll. Вылечил командой sfc /scannow. Попробуйте, может и вам поможет

alp1n3
Pawo
Maza_Faka
Буду пробовать дальше, видимо надо все-же сначала убить все возможные следы этой заразы.
Восстановление системы пока отложил (еще не все нужное перетащил))

Походу она еще и расползается (пытается) по другим дискам.
На флэшке, которую втыкал в комп - образовались "автораны".
USB секюрити, стоящий на стационарнике - засек и замочил :)))

Добавлено:
Обновление - отключено точно ))

Насчет системной dll - врядли, я все-же сумел нарушить работу этой штуки, удалив несколько странных dll без подписей и даже без даты создания (со злости - начал эксперименты)
С помощью проги, которую посоветовал Cheery

Тоесть лезть в интернет она перестала (по крайней мере - крутить банеры)
Но на флэшку себя пытается поселить (по видимому она) ...

Добавлено:
Pawo
Залез по ссылке - и сказал "#$% :)
llnw.net - получается от Майкрософт ?....
Тогда все запутывается еще больше ...

Но там, кроме приведенных мной адресов - крутилось еще до 10 ....

Посмотрите - может у вас второй svchost.exe завелся, например не /Windows/system32/svchost.exe а скажем /Windows/svchost.exe

Такое тоже бывает =)

У меня их два, один в папке /Windows/system32/ а другой в /Windows/system32/dllcache
Это нормально?

Да!

Помогите пожалуйста , почти такая же проблема, что то через svchost.exe лезет в интернет и качает трафик, автообновление отключено, приходиться блокировать этот процесс фрейволом проверял утилитой от др.веб и нодом со свежими базами ничего не находит, ОС Windows 7, в процессе задач запущенных служб svchost.exe аж 15 штук но ни одной от имени пользователя, а все от системы, local service, network service.