Zeroto9 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 12tyjstul, сэнкс за советы. Действительно, параноя - эт плохо((     445 и 135 закрыл. Ещё в комодо поставил правило, чтоб эти два порта закрыть через правила. Теперь и не ломится никто)) Если я отключу службу COM+, то ничё плохого не будет? Всмысле, никаких глюков и ошибок? Ещё я тут полазил, пошнырил в AVZ через реестр. Похоже, что dllhost этот из-за K-Lite Codec Pack'а лезет. Такое может быть? А точнее из-за фильтра ffdshow.     Добавлено: млин.. отключил службу COM+, ребутнулся. Вот как раз в диспетчере задач и пропали имена всех процессов. Включил службу - всё появилось. Хм.. Значит нельзя вырубать это. А я-то думал, что это руткита последствия))) Терь остается две задачи: выяснить, какая прога запускает этот dllhost и что за PCI устройство висит в диспетчере устройств.   Добавлено: ну вот.. теперь в процессах висят два dllhost'а.. Всего записей: 45 | Зарегистр. 10-04-2009 | Отправлено: 01:04 03-06-2009

GeKa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: я с одним Kido боролся неделю.. а ты гришь, что комп у тя без антивиря. не факт, что он у тя чистый)) Чистый, чистый)     Цитата: dllhost снова в процессах висит. Может он так и должен? Люди, дайте мне ответ, плиз. Я прям успокоиться не могу. Подозрительный процесс всё-таки.   Сисинтерналовский ProcessExplorer запусти и глянь что это за процесс. Там по в свойствах написано откуда, с какими параметрами, кто и почему запускает) Всего записей: 191 | Зарегистр. 17-05-2004 | Отправлено: 08:19 03-06-2009

GeKa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: GeKa   Ты ещё wireshark присоветуй ... Зачем он ему? У него нет проблем с исходящим траффом, человека беспокоят процессы висящие. ProcessExplorer как раз поможет определить откуда у них ноги ростут. Всего записей: 191 | Зарегистр. 17-05-2004 | Отправлено: 13:35 03-06-2009

Zeroto9 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а ссылочкой не подскажете, где его скачать можно?   по-поводу dllhost'ов: меня обеспокоило, что вчера два их висело уже. проверил поиском, тока в папке system32 лежит один. больше вроде нету. удалил K-Lite. но всё равно выскакивает иногда этот dllhost. а комодо может его иницииорвать?   Добавлено: ссылки не надо)) нашёл, скачал. ща тестить буду   Добавлено: млин. скачать-то скачал, запустил. но разобраться толком не могу.(( ибо англ. плохо знаю.   подскажите, как определить что именно инициирует dllhost? Всего записей: 45 | Зарегистр. 10-04-2009 | Отправлено: 18:29 03-06-2009

GeKa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: подскажите, как определить что именно инициирует dllhost? Ну там в строке с ним прописано что это за служба. А если по нему ПКМ и свойства глянуть, то там увидишь с какими параметрами и откуда запускается, какими службами используется и много еще чего полезного и бесполезного) То что их 2, это нормально. Система для своих нужд может запускать несколько копий с разными парметрами для разных служб. Всего записей: 191 | Зарегистр. 17-05-2004 | Отправлено: 18:59 03-06-2009

Zeroto9 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кажется нашёл! Если я всё правильно понял, и если я не ошибаюсь, то всё дело в драйверах ATI! У меня недавно стоял Radeon9800pro, но ему 4 года уже и он походу сгорел. Я купил Radeon3650. И видимо из-за него этот dllhost лезет, т.к. раньше его и впомине не было (когда старая видюха стояла). Всего записей: 45 | Зарегистр. 10-04-2009 | Отправлено: 19:43 03-06-2009

GeKa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну вот видишь, это не вирус, а ты так переживал) А параметры запуска для каждого из процессов во вкладке Image смотри. Там более понятно откуда оно и как запускается. Всего записей: 191 | Зарегистр. 17-05-2004 | Отправлено: 20:57 03-06-2009 | Исправлено: GeKa, 20:57 03-06-2009

loosingar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хорошо, что все решилось, но на будущее рекомендую иметь подборку софта первой необходимости   anvir task manager показывает не только имя запущенного файла, но и полный путь до него. ну, это кроме основного функционала.   svchostviewer на всякий случай, всегда пригодится         Удали НОД, удали Комодо, поставь НОРМАЛЬНУЮ защиту. Не слушай советчиков, не читай обзоров. Потрать неделю жизни, сам оттести два десятка пакетов, и сам разберись с чем провести остаток жизни. Разберись вообще с компьютером. После фразы "настройки по защите + антивирь с базами + обновления винды + файервол" внезапно становится понятно, что тебе пока лучше к компу не подходить без контрацепции.     Меня не слушая, я дальше жаловаться буду. Нод - дыра. Мне пофиг как он ловит вирусы, но когда мне пришлось с машины клиента выковыривать руткит встроившийся в НОД - мне хватило этого надолго. Комодо - прикольное название, прикольное междумордие... Если бы работал также, как выглядит - цены бы не было. А сейчас - цены нет, но и не работает.         PS GMER Первая необходимость. Читай о нем, читай про него, учись пользоваться. Ничего не делает за тебя, но зато - инструмент виртуоза. Всего записей: 880 | Зарегистр. 12-04-2003 | Отправлено: 23:09 03-06-2009 | Исправлено: loosingar, 23:11 03-06-2009

Zeroto9 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору loosingar, спасибо, все советы учту, но что есть НОРМАЛЬНАЯ ЗАЩИТА?   чем именно защитить комп? антивирь чтоль не ставить? а как же быть с фаерволом?   Добавлено: svchost viewer не видит процесса dllhost. как так? А Process Explorer видит.   Добавлено: вот что нашёл GMER:   loosingar, подскажи, плиз. походу ты один тут просекаешь фишку. если я пральн понял, то у меня в ноде сидит зараза и в комодо? Всего записей: 45 | Зарегистр. 10-04-2009 | Отправлено: 00:05 04-06-2009

HDD Platinum Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: чем именно защитить комп? антивирь чтоль не ставить?   Антивирь))) Но нет 100% защиты. Допустим KAV как основной и раз в неделю или две проверка CureIT. Как пример.   Меня например устраивала функциональность Kis. А сейчас сижу за роутером вообще без фаера, только антивирус. Цитата: anvir task manager Хорошая программа, так же, как дополнительный инструмент avz. Если есть подозрение на вирус сканируй загружаясь LiveCD. ---------- Мир есть Текст The Show Must Go On Карта раздела «Microsoft Windows» Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 00:27 04-06-2009

GeKa Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: если я пральн понял, то у меня в ноде сидит зараза и в комодо?   Нет у тебя никакой заразы, успокойся уже) Всего записей: 191 | Зарегистр. 17-05-2004 | Отправлено: 13:04 04-06-2009

Zeroto9 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212, у мя дотнет отключены службы. и ATI службы отключены. наверн в этом причина. GeKa, проверил CureIt'ом и LiveCD. Вроде чисто всё)). Для полного спокойствия найду замену ноду и комоде) Всего записей: 45 | Зарегистр. 10-04-2009 | Отправлено: 16:10 04-06-2009

Agul Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Symantec antivirus corporate попробуй, он сам себя тоже проверяет. Всего записей: 891 | Зарегистр. 30-09-2004 | Отправлено: 12:59 14-06-2009

loosingar Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Symantec antivirus corporate попробуй, он сам себя тоже проверяет.   Кстати, пока это наилучший совет во всей ветке.   А я вообще никому ничего советовать не собираюсь, так как твердо уверен, что любой человек должен САМ дойти до всего, что ему необходимо. А если не может, то моя помощь все равно ничего не изменит.     Но я готов за ОЧЕНЬ большие деньги лечить вирусы руками и показывать как это делается. Всего записей: 880 | Зарегистр. 12-04-2003 | Отправлено: 12:39 25-06-2009

Ghost_BY Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите, плиз, может ли в качестве руткита для вируса служить безобидный сам по себе файл?   У меня в качестве руткита KAV7 указал на системный файл smss.exe (лежит в папке WINDOWS\System32), когда я нажал "Прервать процесс", обнаружил и трояна, который этот файл маскировал. Трояна я удалил, после этого Касперский никак не реагирует на файл smss.exe, типа всё пучком. Отослал этот файл на VirusTotal, ни один из антивирусов не показал malware. Вот и не пойму теперь, что мне с этим smss.exe делать: пусть живет или удалить от греха?   Заранее спасибо. Всего записей: 246 | Зарегистр. 17-10-2007 | Отправлено: 02:14 29-11-2009

rodrigo_f Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Что такое smss.exe? Почитайте тут: http://ru.wikipedia.org/wiki/Smss.exe ---------- U=I*R Всего записей: 9394 | Зарегистр. 25-08-2007 | Отправлено: 06:50 29-11-2009

Ghost_BY Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rodrigo_f, спасибо, намек понял И проблеме своей объяснение уже нашел: http://forum.kaspersky.com/index.php?s=&showtopic=123955&view=findpost&p=1035312 Всего записей: 246 | Зарегистр. 17-10-2007 | Отправлено: 16:53 29-11-2009

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Борьба с руткитом

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование