Каморка

На моем домашнем компе завелся сабж. После загрузки начинается активность в сети. TCPView показывает, что все начинается и зависит от svchost. Какая-то сволочь использует RPC для запуска чего-то при загрузке. Если убить этот процесс и перезапустить svchost, то проблема исчезает. Пока ничего, удалось найти, не помогло найти виновника.
Вопрос: как узнать какая DLL загружена svchost-ом?

Проф. Преображенский писал(а):На моем домашнем компе завелся сабж. После загрузки начинается активность в сети. TCPView показывает, что все начинается и зависит от svchost. Какая-то сволочь использует RPC для запуска чего-то при загрузке. Если убить этот процесс и перезапустить svchost, то проблема исчезает. Пока ничего, удалось найти, не помогло найти виновника.
Вопрос: как узнать какая DLL загружена svchost-ом?

Taskmanager & Processexplorer by Sysinternals
PS если не найдешь свистни.

Vims писал(а):

Проф. Преображенский писал(а):На моем домашнем компе завелся сабж. После загрузки начинается активность в сети. TCPView показывает, что все начинается и зависит от svchost. Какая-то сволочь использует RPC для запуска чего-то при загрузке. Если убить этот процесс и перезапустить svchost, то проблема исчезает. Пока ничего, удалось найти, не помогло найти виновника.
Вопрос: как узнать какая DLL загружена svchost-ом?

Taskmanager & Processexplorer by Sysinternals
PS если не найдешь свистни.

Стормозил. Я этим добром на работе пользуюсь, а дома зациклился на поисках смотрелок чисто ДЛЛ.
Посмотрел - ничего не понял. Вроде загружено все нужное.
Что характерно, паразит пробуждается только при загрузке. Если загружаться с отсоединенной сетью или перезапустить RPC, то все нормально. RUN ключи в реестре проверил.

Ну начинается активность в сети - ну и что? А у вас обновление виндов включено?

Stanislav писал(а):Ну начинается активность в сети - ну и что? А у вас обновление виндов включено?

Мне не нравятся названия сайтов и объем активности. У меня дома ВИН2000. Вроде включено.

Проф. Преображенский писал(а):

Stanislav писал(а):Ну начинается активность в сети - ну и что? А у вас обновление виндов включено?

Мне не нравятся названия сайтов и объем активности. У меня дома ВИН2000. Вроде включено.

А что за названия?
Кстати, Микрософт втихаря прокачивает на комп пользователей у которых не стоит ИЕ7 его установку и потом пытается установить его в качестве обновления.

Проф. Преображенский писал(а):На моем домашнем компе завелся сабж. После загрузки начинается активность в сети. TCPView показывает, что все начинается и зависит от svchost. Какая-то сволочь использует RPC для запуска чего-то при загрузке. Если убить этот процесс и перезапустить svchost, то проблема исчезает. Пока ничего, удалось найти, не помогло найти виновника.
Вопрос: как узнать какая DLL загружена svchost-ом?

Эта зараза называется Виндоус.
Если не верите, попробуйте при появлении активности svchost остановить Automatic Updates service

Кажется это Trojan-Spy.Win32.Lydra.a aka mdm.exe. Душу голыми руками, т.к. инструмента (нахаляву) не нашел.

spybot не берет? У меня по-моему этот mdm.exe AVG & Spybot идентифицировали. насчет убирала руками - уже не помню, что именно, но что-то убирала, может его.

bella писал(а):spybot не берет? У меня по-моему этот mdm.exe AVG & Spybot идентифицировали. насчет убирала руками - уже не помню, что именно, но что-то убирала, может его.

Штук 5 разных спайботов перепробовал. В том числе и шароварных, которые ищут, но не убивают.

у меня ХР, так что может быть поэтому ловится. сервер 2003 я стерла, ловил много вирусов.
Спайботом в safe mode without network тоже не ловится? BTW, у меня windows automatic update отключен. И вообще апдейт отключен. И вообще, я помню, когда руками чистила, то это кончилось тем, что я сделала windows repair.

У меня такое было. Долго бился. Вот тут рецепт.

Waterbyte писал(а):У меня такое было. Долго бился. Вот тут рецепт.

Там у вас линк
http://www.atribune.org/content/view/24/2 не открывается

bella писал(а): Там у вас линк
http://www.atribune.org/content/view/24/2 не открывается

Странно... у меня открывается...