|
25-09-2003, 22:22
|
#1 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Что-то забивает канал в нет.
Модем у меня дохленький 14400, но я в принципе пока доволен. Последние 2 дня такая фишка - индикатор сети показывает 99% загруженность, хотя открыта только аська и одна давно полностью загруженная страница.
Что так может забивать канал?
__________________
Vaesse deireadh aep eigean ... |
|
[Ответить с цитированием] |
|
26-09-2003, 01:15
|
#2 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Проверся антивирусом. Брандмауэр есть? Может, тебя кто-то нюкает. MSConfig посмотри, раздел автозагрузка, может, троян какой грузится.
|
|
|
[Ответить с цитированием] |
|
26-09-2003, 10:12
|
#3 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
ОК, сенкс, буду смотреть
|
|
|
[Ответить с цитированием] |
|
26-09-2003, 23:10
|
#4 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Да, тут копался в диспечере задач, и в списке процессов были замечены следующие, доселе мне неизвестные:
lid.exe, msm.exe, alg.exe, lsass.exe, csrss.exe, smss.exe Что за они, за что отвечают, и нужны ли вообще, кто-нибудь знает? |
|
|
[Ответить с цитированием] |
|
26-09-2003, 23:14
|
#5 |
|
void*
Join Date: авг 2003
Location: Одесса
Posts: 4,072
|
Coldblooded alg.exe, lsass.exe, csrss.exe, smss.exe - это системные процессы, что такое остальное не знаю..
|
|
|
[Ответить с цитированием] |
|
26-09-2003, 23:25
|
#6 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Ага, только что разобрался, остался только вопрос про lid и msm
|
|
|
[Ответить с цитированием] |
|
27-09-2003, 01:28
|
#7 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Посмотри, когда были созданы и/или изменены lid и msm. Если в ближашие пару дней - вероятность 80%, что это вирус или троян. А может быть, ты установил какую-то прогу, требующую подключения?
|
|
|
[Ответить с цитированием] |
|
27-09-2003, 10:58
|
#8 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Значит по порядку. Файлы прописаны в windows/system и оба в описании имеют WebServer MFC Application. Дата создания обоих 15 сентября. Так же имеется lid.dll с описаловом HTMLEdit module. При загрузке винды нету, но как только запускается експлорер (достаточно открыть Мой Компьютер) подгружаются в память. В автозагрузке стоял lid, но я его убрал. Пока замувил все 3 файла в папку, вроде сбоев нет ... так что возможно или троян или инет-шпион.
Да, еще помнится блуждая по нету нашел некую прогу которые всякие назойливые бесплатные примочки к софту типа гатора киляет, вот хоть убей не помню как называется, что-то вроде ad advisor, может подскажете. |
|
|
[Ответить с цитированием] |
|
27-09-2003, 11:09
|
#9 |
|
Модератор
Freelancer Join Date: сен 2000
Posts: 8,530
|
Coldblooded
AdAware она завется. |
|
|
Дневник [Ответить с цитированием] |
|
27-09-2003, 14:58
|
#10 |
|
Администратор
Буржуин проклятый Join Date: мая 2000
Location: Париж, Франция
Posts: 10,913
|
|
|
|
Дневник [Ответить с цитированием] |
|
27-09-2003, 18:14
|
#11 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Coldblooded Вспомни, не устанавливал ли ты какой-нибудь софт 15-го числа, в том числе Микрософтовский. Но по-моему, WebServer входит в компоненты Винды. Залезь в "Установку и удаление", раздел "Установка компонентов Windows", и, если найдёшь "WebServer MFC Application", можешь удалить его. Или ты держишь сервер?
|
|
|
[Ответить с цитированием] |
|
27-09-2003, 20:49
|
#12 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Jazz Alexvn
Сенкс. Vampire2 Черт его знает. Сервака не держу 
|
|
|
[Ответить с цитированием] |
|
27-09-2003, 21:09
|
#13 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
И еще вдогонку. Детальное изучение папки system на наличие прог созданных 15 числа дало следующее -
ddd18.exe - sfx rar архив с вышеупомянутым msm.exe, а так же regsocks5.exe и ssocks5.dll, эти же файлы и в самой папке, а так же некий rlid.exe. Все закарантинены в отдельную папку. |
|
|
[Ответить с цитированием] |
|
27-09-2003, 21:16
|
#14 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
И еще раз вдогонку. В описаловах к rlid & regsocks5 стоит redirector registration ZhSG
|
|
|
[Ответить с цитированием] |
|
27-09-2003, 22:21
|
#15 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
И еще, теперь картина немного изменилась, теперь вместо постоянного забивания канала периодически на секунду что-то передает, в логе запись типа
2003-09-27 22:16:26 DROP ICMP 213.184.***.*** 213.184.226.*** - - 92 - - - - 8 0 - Последний ip - мой, первый - каждый раз новый. все-таки какое-то чувство что нейкая вирусяга хозяйничает, хотя drweb молчит аки партизанен. |
|
|
[Ответить с цитированием] |
|
27-09-2003, 23:17
|
#16 |
|
void*
Join Date: авг 2003
Location: Одесса
Posts: 4,072
|
Coldblooded в принципе ты можешь юзать два антивируса одновременно. Есть шанс, если один что-то пропустит, то второй найдет.
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 01:16
|
#17 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Coldblooded Эх, батенька, не уважаю я Доктора Веба. И Нортона Антивируса тоже. Касперский всё находит. Firewall у тебя есть какой-нибудь?
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 02:03
|
#18 |
|
Администратор
Буржуин проклятый Join Date: мая 2000
Location: Париж, Франция
Posts: 10,913
|
Coldblooded
Читай тут про lid.dll и lid.exe и как с ними бороться: http://forums.spywareinfo.com/index....11&t=10147&hl= Самый натуральный троян. |
|
|
Дневник [Ответить с цитированием] |
|
28-09-2003, 02:04
|
#19 |
|
Администратор
Буржуин проклятый Join Date: мая 2000
Location: Париж, Франция
Posts: 10,913
|
И вообще: drweb - не самый удачный антивирус, проверься касперским или нортоном.
|
|
|
Дневник [Ответить с цитированием] |
|
28-09-2003, 11:29
|
#20 |
|
Камрад
Join Date: сен 2003
Location: Одесса/Europe
Posts: 1,670
|
Alexvn
ИМХО удачных антивирей не существует, нортон разве что себя поймать может, а АВП убить легче лёгкого  . Но АВП хотя бы что-то ещё найти способен.
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 11:42
|
#21 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Coldblooded "Тёщенька, вы попали!" (В. Винокур)
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 12:14
|
#22 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Vampire2
И вообще выкинь модем и забудь дорогу в интернет Насчет анитивируса - как говорится на вкус и цвет ... каждый разраотчик кричит "мой антивирус да бест", и, по правде говоря, я не думаю что один намного хуже другого. Сенкс всем за поддержку. |
|
|
[Ответить с цитированием] |
|
28-09-2003, 18:48
|
#23 |
|
Камрад
Join Date: сен 2001
Location: Минск
Posts: 668
|
Кстати, удаление lid не особо помогло, комп по прежнему каждые 5 секунд что-то куда-то посылает
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 21:27
|
#24 |
|
Камрад
Join Date: авг 2002
Location: Столица разумного мира.
Posts: 231
|
Coldblooded А к Микрософту не ходил? Может, уже заплатку сделали, как было в случае с Бластером?
|
|
|
[Ответить с цитированием] |
|
28-09-2003, 23:05
|
#25 |
|
Администратор
Буржуин проклятый Join Date: мая 2000
Location: Париж, Франция
Posts: 10,913
|
Coldblooded - ты его просто удалил или сделал так, как по ссылке на обсуждение написано? Я не вчитывался, правда, но там по моему какая то хитрая процедура описана была...
|
|
|
Дневник [Ответить с цитированием] |
 |
|
|
Linear Mode
