Винда что-то мне пытается всучить

DKA 14.04.2007 - 17:56

У меня ХР HоmeEd, лицензионка. Обратил внимание, что последние два дня мне загружается что-то с адреса SVCHOST.EXE аu.download.windowsupdate.com. Выявил аутпостом. Причем автоматическое обновление у меня полностью отключено. Заблокировал этот SVCHOST - инет вообще тогда не работает. Блокирую выборочно адреса, он чрез другие собака лезет и жрет траф. То есть невозможно от этой дряни отказаться. Просканил нортоном, виндос-дефендером, аутпостом, и еще парой - прог никаких троянов нет.
Что это может знаить? Есть предположение, что мне принудительно ставят SP2.

xytaxis 14.04.2007 - 18:01

А отключено каким путем? поставлена галочка "не загружать автоматические обновления", или служба остановлена?

DKA 14.04.2007 - 18:07

Галка стоит Не обновлять, где в панеле управления "Автоматическое обновление". И в свойствах системы. Также отключены у медиаплеера и остальных, кто раннее в сетку рвался.

xytaxis 14.04.2007 - 18:09

попробуйте ради экспериманта службу автоматических обновлений остановить

DKA 14.04.2007 - 18:11

А как? И по поводу Sp2 что думаете?

xytaxis 14.04.2007 - 18:16

по поводу СП2.. ну у меня в ноуте тоже XP HomeEd лицензионный стоит поумолчанке с вшитым СП2... есть и есть.. мне с него ни тепло не холодно, друг мой нарадоватся не может на сп2, только по одной причине - поддержка Bluetooth. На на настольное машине вообще вин2000 сп4 стоит, и переустанавливать не соибраюсь. и так хорошо живется и свою фнукцию 2000 выполняет целиком.

по поводу того как отключить:
в панели управления выбираете пункт "Администрирование", там выбираете "службы", находите нужную, и останавливаете.

DKA 14.04.2007 - 18:21

Ага, там стояло "работает". Выключил. Будем посмотреть.

DKA 14.04.2007 - 18:45

Хм. Не помогает. Все равно лезет эта дрянь. 😞

xytaxis 14.04.2007 - 18:57

а вы типа запуска там поставили "отключено"? и после этого перезагружались?

DKA 14.04.2007 - 19:14

Да. Но не перегружался. Сейчас перегружу.

Mondor 14.04.2007 - 19:14

Никто никому принудительно SP2 не поставит.

Кроме того, просто "выключил" помогает лишь на текущий сеанс. Надо щелкнуть правой кнопкой мыши, и в появившемся окне запретить запуск этой службы. Как и сказал xytaxis.

DKA 14.04.2007 - 19:23

Перегруз ничего не дает. Я в командной строке пишу services.msc, смотрю автоматическое обновление - там стоит "отключено". И при этом оно грузится.

Кстатм сам файл SVCHOST один из сканеров обозвал трояном и предложил снести. На сколько я знаю, эта прга отвечает за интернет, и сносить нельзя.

xytaxis 14.04.2007 - 19:25

троян врядли будет ломится на windowsupdate.com.....

DKA 14.04.2007 - 19:33

Мда. Попробую с работы скачать SP2 и поставить, мож успокоится.

D!m@n 14.04.2007 - 22:01

Вообще, конечно, не похоже...
Но все-таки попробуйте просканить комп вот этим антивирем: http://slil.ru/24235523
Хуже не будет.
(прога бесплатная, правил раздела не нарушаю 😊)

Собот 14.04.2007 - 23:35

На какие конкретно адреса ломится?

GeorgeM 15.04.2007 - 01:15

так,
1) svchost - сам по себе ничего не качает и качать не может. Бо он есть служба запуска сторонних приложений.
2) Вот что именно им запускается и смотрите. netstat -b -v
3) в адресе сайта с которого качает никаких изменённых буковок не замечено? Точно ли это мелкософта сайт?
4) а что именно качает? (и с какого, кстати порта?) и куда именно лезет при, цитирую, "блокировании адреса" ?

...очень на вирус похоже.

p.s. А СП2 это не роскошь, а куча закрытых дыр, в том числе и от вирусов.

ОптоГлаз 15.04.2007 - 02:40

А ничего сташного в этом нету, дайте отработать ему и работайте дальше.

DKA 15.04.2007 - 13:11

Ломится только сюда аu.download.windowsupdate.com IP 208.111.148.191 208.111.148.190 208.111.148.195 213.155.151.145 вроде мелкософт
Я бы ему конечно дал отработать, если бы у меня анлим был, а так.. непонятно за что не хочу.

DKA 18.04.2007 - 23:19

Вобщем залил я систему обовлениями по уши, даже какой-то preSP3 поставил. Для контроля захожу на страницы виндовс-апдейт, есть ли что для меня. Высокоприоритетного нету пишут. А эта дрянь все равно лезет ту да же. Правда теперь это у нее плохое получается, я прикрыл почти все порта файроволом. Но то и дело выскакивает окошко, что отбита попытка. Чего еще сделать можно?

L0Ki 30.04.2007 - 10:51

Вот что говорит WHOIS

OrgName: Limelight Networks, Inc.
OrgID: LLNW
Address: 2220 W. 14th Street
City: Tempe
StateProv: AZ
PostalCode: 85281
Country: US

ReferralServer: rwhois://rwhois.llnw.net:4321/

NetRange: 208.111.128.0 - 208.111.191.255
CIDR: 208.111.128.0/18
NetName: LLNW-3
NetHandle: NET-208-111-128-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: DNS.LAX.LLNS.NET
NameServer: DNS.LGA.LLNS.NET
NameServer: DNS.SJC.LLNS.NET
NameServer: DNS.IAD.LLNS.NET
Comment: *** All abuse complaints must go to abuse (at) limelightnetworks.com
RegDate: 2006-03-30
Updated: 2006-11-29

RAbuseHandle: LNAD-ARIN
RAbuseName: Limelight Networks Abuse Dept
RAbusePhone: +1-602-850-5095
RAbuseEmail: ipadmin@limelightnetworks.com

RTechHandle: LNAA-ARIN
RTechName: Limelight Networks ARIN Admin
RTechPhone: +1-602-850-5095
RTechEmail: arinadmin@limelightnetworks.com

OrgAbuseHandle: LNAD-ARIN
OrgAbuseName: Limelight Networks Abuse Dept
OrgAbusePhone: +1-602-850-5095
OrgAbuseEmail: ipadmin@limelightnetworks.com

OrgTechHandle: LNAA-ARIN
OrgTechName: Limelight Networks ARIN Admin
OrgTechPhone: +1-602-850-5095
OrgTechEmail: arinadmin@limelightnetworks.com

# ARIN WHOIS database, last updated 2007-04-29 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

-------------------------------------

inetnum: 213.155.151.128 - 213.155.151.191
netname: UK-AKAMAI
descr: Akamai International B.V.
org: ORG-AIB3-RIPE
country: EU
admin-c: NARA1-RIPE
tech-c: NARA1-RIPE
status: ASSIGNED PA
mnt-by: TELIANET-LIR
source: RIPE # Filtered

organisation: ORG-AIB3-RIPE
org-name: Akamai International B.V.
org-type: OTHER
descr: The Business Internet
address: c/o Akamai Technologies, 8 Cambridge Center
address: MA 02142 Cambridge
address: Germany
phone: +16174443007
e-mail: noc@akamai.com
admin-c: NOC72-RIPE
tech-c: NOC72-RIPE
mnt-by: TELIAUK-LIR
mnt-ref: TELIAUK-LIR
source: RIPE # Filtered

route: 213.155.128.0/19
descr: TELIANET-BLK
origin: AS1299
mnt-by: TELIANET-RR
source: RIPE # Filtered

------------------
...Небо, небо не видело такого позорного пацака как ты, скрипач!

DKA 30.04.2007 - 23:12

А по-русски?

spekulyant 30.04.2007 - 23:41

Небо, небо не видело такого позорного пацака как ты, скрипач! 😊

L0Ki 30.04.2007 - 23:45

По-русски
Все IP в диапазоне 208.111.128.0 - 208.111.191.255 принадлежат некоей фирме в США под названием Limelight Networks, Inc.
Диапазон 213.155.151.128 - 213.155.151.191 принадлежит Akamai International B.V. в Германии.
Зачем туда комп ломится - одному ему ведомо. На сервак вин-апдейт не сильно похоже...

DKA 30.04.2007 - 23:56

Еще вот эти:
8.255.64.253
8.255.66.254
8.255.64.254
8.255.65.252

Может это какие-то промежуточные пункты? У меня GRPS, если это имеет значение.

BALTAZAR 01.05.2007 - 12:47

Сайт, где могут помочь.... http://www.softboard.ru/index.php?s=58d04e1d96899ad88aac6b0d7cfe67d6&showforum=33

была похожая проблема. Spy Sweeper нашел RootKit (перехватчики), почистил, проблема исчезла.

Mihoshi 01.05.2007 - 18:15

стандартный набор действий:

AVZ

AVG

SpyBot

Фаерволы и прочее хорошо, но антибиотики полезнее.

DKA 02.05.2007 - 13:59

Скачал проги, буду дальше винду мучать.

Сивутя 02.05.2007 - 17:47

Нефига её мучать.

В старые добрые времена была такая офигенная прога: format c: и всё... И все проблемы решены и ничё ниоткуда качать не будет 😀

xytaxis 02.05.2007 - 17:53

кто сказал что ее сейчас нет? 😊

Сивутя 02.05.2007 - 21:43

xytaxis
кто сказал что ее сейчас нет? 😊

у меня её сейчас нет... а так не хватает! 😊

Чтобы отформатить приходится запускаться с установочного DVD (или CD -х.е.з.) XP SP2 😊

DKA 04.05.2007 - 11:52

Mihoshi
стандартный набор действий:
AVZ
AVG
SpyBot
Фаерволы и прочее хорошо, но антибиотики полезнее.

Короче прошелся я этими антивирями и ничего они не нашли, как я и ожидал.