У меня ХР HоmeEd, лицензионка. Обратил внимание, что последние два дня мне загружается что-то с адреса SVCHOST.EXE аu.download.windowsupdate.com. Выявил аутпостом. Причем автоматическое обновление у меня полностью отключено. Заблокировал этот SVCHOST - инет вообще тогда не работает. Блокирую выборочно адреса, он чрез другие собака лезет и жрет траф. То есть невозможно от этой дряни отказаться. Просканил нортоном, виндос-дефендером, аутпостом, и еще парой - прог никаких троянов нет.
Что это может знаить? Есть предположение, что мне принудительно ставят SP2.
А отключено каким путем? поставлена галочка "не загружать автоматические обновления", или служба остановлена?
Галка стоит Не обновлять, где в панеле управления "Автоматическое обновление". И в свойствах системы. Также отключены у медиаплеера и остальных, кто раннее в сетку рвался.
попробуйте ради экспериманта службу автоматических обновлений остановить
А как? И по поводу Sp2 что думаете?
по поводу СП2.. ну у меня в ноуте тоже XP HomeEd лицензионный стоит поумолчанке с вшитым СП2... есть и есть.. мне с него ни тепло не холодно, друг мой нарадоватся не может на сп2, только по одной причине - поддержка Bluetooth. На на настольное машине вообще вин2000 сп4 стоит, и переустанавливать не соибраюсь. и так хорошо живется и свою фнукцию 2000 выполняет целиком.
по поводу того как отключить:
в панели управления выбираете пункт "Администрирование", там выбираете "службы", находите нужную, и останавливаете.
Ага, там стояло "работает". Выключил. Будем посмотреть.
Хм. Не помогает. Все равно лезет эта дрянь. 😞
а вы типа запуска там поставили "отключено"? и после этого перезагружались?
Да. Но не перегружался. Сейчас перегружу.
Никто никому принудительно SP2 не поставит.
Кроме того, просто "выключил" помогает лишь на текущий сеанс. Надо щелкнуть правой кнопкой мыши, и в появившемся окне запретить запуск этой службы. Как и сказал xytaxis.
Перегруз ничего не дает. Я в командной строке пишу services.msc, смотрю автоматическое обновление - там стоит "отключено". И при этом оно грузится.
Кстатм сам файл SVCHOST один из сканеров обозвал трояном и предложил снести. На сколько я знаю, эта прга отвечает за интернет, и сносить нельзя.
троян врядли будет ломится на windowsupdate.com.....
Мда. Попробую с работы скачать SP2 и поставить, мож успокоится.
Вообще, конечно, не похоже...
Но все-таки попробуйте просканить комп вот этим антивирем: http://slil.ru/24235523
Хуже не будет.
(прога бесплатная, правил раздела не нарушаю 😊)
На какие конкретно адреса ломится?
так,
1) svchost - сам по себе ничего не качает и качать не может. Бо он есть служба запуска сторонних приложений.
2) Вот что именно им запускается и смотрите. netstat -b -v
3) в адресе сайта с которого качает никаких изменённых буковок не замечено? Точно ли это мелкософта сайт?
4) а что именно качает? (и с какого, кстати порта?) и куда именно лезет при, цитирую, "блокировании адреса" ?
...очень на вирус похоже.
p.s. А СП2 это не роскошь, а куча закрытых дыр, в том числе и от вирусов.
А ничего сташного в этом нету, дайте отработать ему и работайте дальше.
Ломится только сюда аu.download.windowsupdate.com IP 208.111.148.191 208.111.148.190 208.111.148.195 213.155.151.145 вроде мелкософт
Я бы ему конечно дал отработать, если бы у меня анлим был, а так.. непонятно за что не хочу.
Вобщем залил я систему обовлениями по уши, даже какой-то preSP3 поставил. Для контроля захожу на страницы виндовс-апдейт, есть ли что для меня. Высокоприоритетного нету пишут. А эта дрянь все равно лезет ту да же. Правда теперь это у нее плохое получается, я прикрыл почти все порта файроволом. Но то и дело выскакивает окошко, что отбита попытка. Чего еще сделать можно?
Вот что говорит WHOIS
OrgName: Limelight Networks, Inc.
OrgID: LLNW
Address: 2220 W. 14th Street
City: Tempe
StateProv: AZ
PostalCode: 85281
Country: US
ReferralServer: rwhois://rwhois.llnw.net:4321/
NetRange: 208.111.128.0 - 208.111.191.255
CIDR: 208.111.128.0/18
NetName: LLNW-3
NetHandle: NET-208-111-128-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: DNS.LAX.LLNS.NET
NameServer: DNS.LGA.LLNS.NET
NameServer: DNS.SJC.LLNS.NET
NameServer: DNS.IAD.LLNS.NET
Comment: *** All abuse complaints must go to abuse (at) limelightnetworks.com
RegDate: 2006-03-30
Updated: 2006-11-29
RAbuseHandle: LNAD-ARIN
RAbuseName: Limelight Networks Abuse Dept
RAbusePhone: +1-602-850-5095
RAbuseEmail: ipadmin@limelightnetworks.com
RTechHandle: LNAA-ARIN
RTechName: Limelight Networks ARIN Admin
RTechPhone: +1-602-850-5095
RTechEmail: arinadmin@limelightnetworks.com
OrgAbuseHandle: LNAD-ARIN
OrgAbuseName: Limelight Networks Abuse Dept
OrgAbusePhone: +1-602-850-5095
OrgAbuseEmail: ipadmin@limelightnetworks.com
OrgTechHandle: LNAA-ARIN
OrgTechName: Limelight Networks ARIN Admin
OrgTechPhone: +1-602-850-5095
OrgTechEmail: arinadmin@limelightnetworks.com
# ARIN WHOIS database, last updated 2007-04-29 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
-------------------------------------
inetnum: 213.155.151.128 - 213.155.151.191
netname: UK-AKAMAI
descr: Akamai International B.V.
org: ORG-AIB3-RIPE
country: EU
admin-c: NARA1-RIPE
tech-c: NARA1-RIPE
status: ASSIGNED PA
mnt-by: TELIANET-LIR
source: RIPE # Filtered
organisation: ORG-AIB3-RIPE
org-name: Akamai International B.V.
org-type: OTHER
descr: The Business Internet
address: c/o Akamai Technologies, 8 Cambridge Center
address: MA 02142 Cambridge
address: Germany
phone: +16174443007
e-mail: noc@akamai.com
admin-c: NOC72-RIPE
tech-c: NOC72-RIPE
mnt-by: TELIAUK-LIR
mnt-ref: TELIAUK-LIR
source: RIPE # Filtered
route: 213.155.128.0/19
descr: TELIANET-BLK
origin: AS1299
mnt-by: TELIANET-RR
source: RIPE # Filtered
------------------
...Небо, небо не видело такого позорного пацака как ты, скрипач!
А по-русски?
Небо, небо не видело такого позорного пацака как ты, скрипач! 😊
По-русски
Все IP в диапазоне 208.111.128.0 - 208.111.191.255 принадлежат некоей фирме в США под названием Limelight Networks, Inc.
Диапазон 213.155.151.128 - 213.155.151.191 принадлежит Akamai International B.V. в Германии.
Зачем туда комп ломится - одному ему ведомо. На сервак вин-апдейт не сильно похоже...
Еще вот эти:
8.255.64.253
8.255.66.254
8.255.64.254
8.255.65.252
Может это какие-то промежуточные пункты? У меня GRPS, если это имеет значение.
Сайт, где могут помочь.... http://www.softboard.ru/index.php?s=58d04e1d96899ad88aac6b0d7cfe67d6&showforum=33
была похожая проблема. Spy Sweeper нашел RootKit (перехватчики), почистил, проблема исчезла.
стандартный набор действий:
AVZ
AVG
SpyBot
Фаерволы и прочее хорошо, но антибиотики полезнее.
Скачал проги, буду дальше винду мучать.
Нефига её мучать.
В старые добрые времена была такая офигенная прога: format c: и всё... И все проблемы решены и ничё ниоткуда качать не будет 😀
кто сказал что ее сейчас нет? 😊
xytaxis
кто сказал что ее сейчас нет? 😊
у меня её сейчас нет... а так не хватает! 😊
Чтобы отформатить приходится запускаться с установочного DVD (или CD -х.е.з.) XP SP2 😊
MihoshiКороче прошелся я этими антивирями и ничего они не нашли, как я и ожидал.
стандартный набор действий:
AVZ
AVG
SpyBot
Фаерволы и прочее хорошо, но антибиотики полезнее.