Тема: 
windowsupdate указывает на localhost
Утром начала выскакивать ошибка googleupdate.exe. Решил обновить виндовс XP и заодно и гугл хром и обнаружил, что windowsupdate открывает страничку моего локального сервера. Проверил
Посмотрел %SystemRoot%\System32\drivers\etc\hostsКод:C:\>tracert windowsupdate.microsoft.com Tracing route to localhost [127.0.0.1] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms localhost [127.0.0.1] Trace complete. C:\>nslookup windowsupdate.microsoft.com Server: ns1.odessa.comstar.net.ua Address: 89.209.65.130 Non-authoritative answer: Name: windowsupdate.microsoft.nsatc.net Address: 207.46.18.94 Aliases: windowsupdate.microsoft.com C:\>
После этого открыл оперу скачал trojanremover. Запускаю, а он не инталлируется, а висит в памяти. В защищённом режиме тоже самое.Код:# Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost
Ответить с цитированием
Сообщение от paha
. Я пришёл к выводу что эта зараза лишила меня прав. Также в ключе реестра в services есть TDSSsrv.sys ключ тоже нивидимый для меня. Нашёл один видимый ключ с этой заразой legacy_driver_tdss. Удалял его, он восстанавливался после перезагрузки. Потом я решил действовать теми же методами, лишить эту дрянь прав на это единсвенный ключ реестра. поубирал всех кто может его редактировать в итоге это ключ стал тоже невидимый для меня. Потом начал процесс-експлорером искать хендлеры с TDSS и закрывать их. Оно находило их в svhost.exe с соотв. стратовавшим сервисом. Прибив один оно возраждалось и цеплялос к следующему сервису. Где-то на половине списка из svhost процессов я решил глянуть в панель управления сервисами и пришёл в ужас. Это зараза каждый раз когда цеплялась к новому сервису лишала меня прав на этот сервис (запуск, перезапуск, останов загреено). Я пришёл к выводу что если бы и был какой-то антивирус или троянремувер, он бы максимум удалил бы ключи реестра и удилил/поместил в карантин невидимые файлы(конечно если бы каким-то невообразимым образом получил на это права, которых не было даже у учётной записи администратора). Но права на сервисы лечиние мне не вернуло бы, в итоге я утратил контроль над своей системой. Нортон гостом развернул случайно оставшийся резервный образ системы, он остался на старом винчестере после переезда на новый. К радости копия оказалась незаражённой. Ничего не потеряно.
Социальные закладки