Одесса: 0°С (вода 9°С)
Киев: -2°С
Львов: -2°С

Тема: windowsupdate указывает на localhost

Ответить в теме
Показано с 1 по 9 из 9
  1. Вверх #1

    По умолчанию windowsupdate указывает на localhost

    Утром начала выскакивать ошибка googleupdate.exe. Решил обновить виндовс XP и заодно и гугл хром и обнаружил, что windowsupdate открывает страничку моего локального сервера. Проверил
    Код:
    C:\>tracert windowsupdate.microsoft.com
    
    Tracing route to localhost [127.0.0.1]
    over a maximum of 30 hops:
    
      1    <1 ms    <1 ms    <1 ms  localhost [127.0.0.1]
    
    Trace complete.
    
    C:\>nslookup windowsupdate.microsoft.com
    Server:  ns1.odessa.comstar.net.ua
    Address:  89.209.65.130
    
    Non-authoritative answer:
    Name:    windowsupdate.microsoft.nsatc.net
    Address:  207.46.18.94
    Aliases:  windowsupdate.microsoft.com
    
    
    C:\>
    Посмотрел %SystemRoot%\System32\drivers\etc\hosts
    Код:
    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host
    
    127.0.0.1       localhost
    После этого открыл оперу скачал trojanremover. Запускаю, а он не инталлируется, а висит в памяти. В защищённом режиме тоже самое.
    Венера


  2. Вверх #2
    Не покидает форум Аватар для Spectre
    Пол
    Мужской
    Адрес
    od.ua
    Сообщений
    8,579
    Репутация
    5709
    Попробуй почистить кэш DNS'a - ipconfig /flushdns

  3. Вверх #3
    ipconfig /flushdns сделал. ещё пробовал disable/enable сетевому соединению. перегружался. странная вещь, все остальные сайты работают. пробовал скачать Microsoft® Windows® Malicious Software Removal Tool (KB890830) Ни оперой, ни эксплорером не получилось. Гугл хром не запускается из-за ошибки. Я и начал разбиратся с этим, потому что хром перестал работать. Инсталлер хрома тоже с ошибкой падает.
    Венера

  4. Вверх #4
    Не покидает форум Аватар для Spectre
    Пол
    Мужской
    Адрес
    od.ua
    Сообщений
    8,579
    Репутация
    5709
    могу посмотреть на вашу систему бесплатно
    аська 150270061

  5. Вверх #5
    спасибо за предложение. попробую ещё пару возможностей. Возможно, обращусь, если ничего не выйдет.
    Венера

  6. Вверх #6
    Живёт на форуме Аватар для moretti
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    57
    Сообщений
    4,659
    Репутация
    1365
    Цитата Сообщение от paha Посмотреть сообщение
    спасибо за предложение. попробую ещё пару возможностей. Возможно, обращусь, если ничего не выйдет.
    на вирус очень похоже. причем на непростой вирус. попробуй установить любой антивирус- пусть даже триал. и просканировать систему
    In dubio pro reo

  7. Вверх #7
    Верно. Просканил авирой бесплатной нашёл подозрение на троян, ничего не вилечило, зато полезный файл отчёта составило. Есть в папке system32 фалы TDS* c расширениями sys, dll 4 штруки и ещё в папке drivers тоже есть. Ни под моим аккаунтом ни под админом не видно ни в тотал командере ни в виндовс експлорере этих файлов. Галки показывать скрытые/системные везде где надо стоят, проверил. Пробовал удалить их erase tds*.* получал access denied. dir tds*.* показал 2 файла но не выдал их названий . Я пришёл к выводу что эта зараза лишила меня прав. Также в ключе реестра в services есть TDSSsrv.sys ключ тоже нивидимый для меня. Нашёл один видимый ключ с этой заразой legacy_driver_tdss. Удалял его, он восстанавливался после перезагрузки. Потом я решил действовать теми же методами, лишить эту дрянь прав на это единсвенный ключ реестра. поубирал всех кто может его редактировать в итоге это ключ стал тоже невидимый для меня. Потом начал процесс-експлорером искать хендлеры с TDSS и закрывать их. Оно находило их в svhost.exe с соотв. стратовавшим сервисом. Прибив один оно возраждалось и цеплялос к следующему сервису. Где-то на половине списка из svhost процессов я решил глянуть в панель управления сервисами и пришёл в ужас. Это зараза каждый раз когда цеплялась к новому сервису лишала меня прав на этот сервис (запуск, перезапуск, останов загреено). Я пришёл к выводу что если бы и был какой-то антивирус или троянремувер, он бы максимум удалил бы ключи реестра и удилил/поместил в карантин невидимые файлы(конечно если бы каким-то невообразимым образом получил на это права, которых не было даже у учётной записи администратора). Но права на сервисы лечиние мне не вернуло бы, в итоге я утратил контроль над своей системой. Нортон гостом развернул случайно оставшийся резервный образ системы, он остался на старом винчестере после переезда на новый. К радости копия оказалась незаражённой. Ничего не потеряно.
    Последний раз редактировалось paha; 13.01.2009 в 12:32.
    Венера

  8. Вверх #8
    Живёт на форуме Аватар для moretti
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    57
    Сообщений
    4,659
    Репутация
    1365
    самый надежный вариант - резервная копия.
    In dubio pro reo

  9. Вверх #9


Ответить в теме

Метки этой темы

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения