Вопросы и Ответы / Windows XP /  ?

  Вопрос от посетителя:  

Одолел вирус, автоматически переадресовывающий загружаемую в Интернете страницу на порносайты - переадресует каждую 2 - 3 открываемую страницу... Avast, Panda, SP и beta 1 антиспайвера не помощники... Outpost'ом заблокировал адреса этих порносайтов - мешать, конечно, стало меньше, но проблема переадресации осталась... Постоянно активным процессом при онлайне Outpost показывает SVCHOST.EXE (кроме windows/system32 в файловой системе еще 3 аналогичных файла), который все время что-то интенсивно качает с au.microsoftupdate.com - причем автоматическое обновление Windows у меня отключено... Отключаешь процесс, сразу загружается заново и продолжает что-то качать... Может быть, моя проблема связана с SVCHOST.EXE, и что он качает? Что делать, как бороться? Заплатки и антивирусы, связанные с изменением этого файла msblast-lovsan'ом, не помогли...

  Ответы:  

  Cache:
Решается примерно так 1. [HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main] Смотри всякие разные странные ссылочки :) и заменяй все странности на пустые 2. Установи regclener (http://www.jv16.org/) и в пункте автозагрузка внимательно изучи все что есть (можешь смело удалять все кроме двух dtsktop их не трогай вин не будет работать) 3. Желательно поставть себе комплект утилит для чистки системы типа TuneUp и On-Track Sustem Suite очисть все что можно :) 4. И наконец для нормальной работы в инет нужно работать примерно так : обязательно файрвалл-антивирус-антишпион. Мой выбор Касперский 5 + Agnitium Outpost 2.1 + LavaSoft Ad-Adware все это запускается только во время работы (три нажатия на иконки) с инетом поэтому скорость не страдает плюс еще пользуюсь оперой 7.63 и все работает великолепно никакх проблем с порно ;)

  Umnik:
Попробуй поставить Касперского пятой версии с расширенными базами.

  Leo77:
Есть ещё Dr.Web, Ad-Aware SE, Spybot - Search&Destroy, SpywareBlaster, Касперский, наконец. Набери в Пуск -> Выполнить -> msconfig -> Автозагрузка - посмотри, что там, может, что явно лишнего найдешь. Просмтори ветку реестра [HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] и все подпапки.

  sptd:
Вам нужен Ad-Aware SE с сайта Lavasoft.

  Alexey:
Те файлы, наверное, просто резервные копии. Смотри через taskinfo 2003, откуда процесс svchost стартует, вроде должен только с windows\system32\, остальные поубивай. Скорее всего, сидит еще один процесс, который следит за этим и перезапускает при необходимости. Svchost тут не причем, это, собственно, всякие различные системные сервисы, а вирус просто пристроился к нему и качает от его имени; кстати, перезапуск SVCHOST наверняка настроен в сервисах и вполне нормальное явление. А вот сайт au.microsoftupdate.com, видимо, ничего общего с апдейтами не имеет. Посмотри везде автозагрузку, подозрительные файлы и т.п. В общем, рекомендую найти TaskInfo 2003 с его помощью ты узнаешь о процессах всё вплоть до того, какие файлы они открыли и в какой позиции они находятся.

  Максим:
От таких проблем очень хорошо помогает программа Ad-Aware SE 1.05. Программа бесплатная. http://www.lavasoft.de/. Установите и проверьте свой компьютер.

  TU-154:
Посмотрите местонахождение файлов svchost.exe. Этот файл должен быть только в папках \Windows\System32 (оригинал) и \Windows\System32\dllcache (копия). Остальные удаляйте. Проверьте систему антишпионом (Lavasoft Ad-Aware SE) с обновленными базами. Проверку и удаление желательно провести в Безопасном режиме.

  DOOM:
Это гон. Не делай как предлагает Yura, у него просто руки кривые. Самый реальный способ отследить все левые процессы и удалить их из реестра и файлы. Перезапуск можно делать только после удаления всех левых процессов. Если не уверен системный ли это фаил, то посмотри его свойства. Если системный, то будет подписан Мелкимсофтом. Не спорю, процесс нудный, но помогает. А также поставь SP2. Он блокирует все попытки загрузки левых программ с инета. Желательно пользоваться не стандартным эксплориером (к примеру MyIE2, программа бесплатная, имеет втроенную функцию блокировки всплывающих окон и банеров, которые могут появлятся десятками). Ну и антивирус какой либо (дело вкуса). В итоге, машина будет практически полностью защищена. У меня раньше тоже были такие проблеммы, но в последние пол года, они ни разу не возникли. SP2+MyIE2+антивирус(обновляемый) = 99% защиты

  Michael:
У вас в системе по-прежнему сидит шпион. Рекомендую программы по его удалению Lavasoft Ad-Aware SE, Microsoft AntiSpyware. И проверьте в папке Add and remove programs нет ли там лишних программ, которых вы не устанавливали.

  Rem:
Это работа какого-то шпиона. Лечится Ad-Aware и (или) SpyBot - Search&Destroy.

  Yura:
Все перечисленные советы не помогут, даже не пробуйте. Lavasoft Ad-Aware с этим не справляется, а антивирусы это не лечит, так как это не вирус. Помогает только format c:! Проверено неоднократно в комп.клубе - ночью народ полазит по порносайтам, а днем у взрослых людей начинают порносайты открываться. Мы пробовали это лечить - надо убирать кучу мусора из автозагрузки, из реестра, из системных директорий Винды - и все равно через час-два все появляется снова. Так что лечение одно - установить Винду и все программы, игры с нуля, сделать имидж системного диска и в случае необходимости восстанавливать винду из имиджа. 2 минуты и виндовс новый без всякого лишнего барахла. Если кто найдет другое лечение - пишите: 2fax@mail.ru

  Руслан:
Поставь Norton Internet Security и он будет постоянно блокировать это соединение и выдавать сообщение о нём.

  Tele:
Вычищать руками. Используй FAR - список процессов - убить. Но перед этим обязательно по F3 - просмотри и сохрани всю инфу о подозрительных процессах. Потом в ДОСе или в Safe Mode постирай все!!! Потом чистка реестра - любой прогой, их много. И так несколько раз!!! А советовать format c: - это банально!

  Dr.Tsuker:
Ещё можно попробовать Spy Sweeperом просканировать.

  Алекс:
Было такое у меня на 30 машинах. Надежный рецепт: снимаешь винт чистишь на надежной машине семантиком, ставишь винт, ставишь sp2 ставишь семантик, гарантия 100% все остальное бесполезно этот вирус через дырки в винде проникает пока не апгрейдишь будешь регулярно подхватывать. и всех по локалке заражать!

  Саша:
Была такая же фигня. Как включишь explorer порно одолевает. чтобы explorer не тянуло на порно, надо удалить в папке Windows/system32 файлы -qweXXX.dll, проверенно.

Смотреть другие вопросы раздела FAQ Windows XP >>

***