Приветствую всех, кто читает этот топ.
Если запостил не в тот раздел, просьба к администрации перенести топ

Столкнулся с непонятной для меня проблемой, поэтому решил задать вопросы здесь. Суть вот в чем.

Вопрос №1
Зашел через Opera (v 9.26) на google.com и решил поискать интересующую меня инфу. Когда Google выдал результат поиска, первые несколько (по-моему пять) ссылок были подсвечены цветом как будто я их уже посещал в данной сессии. При попытке перейти по этим ссылкам браузер открывал не их, а страницу с теми же результатами поиска, которые выдал Google. Кэш Opera был полностью очищен. Перезагрузил комп, почистил кэш снова, запустил Mars WinCleaner и повторил поиск. Та же история.

Вопрос №2
Решил посмотреть сетевую активность с помощью TCP Viev. И увидел вот такие странные, на мой взгляд, соединения:
[System Process]:0 TCP comp:2090 70.130.174.99:48363 TIME_WAIT
[System Process]:0 TCP comp:2106 24.63.79.216:54069 TIME_WAIT
[System Process]:0 TCP comp:2095 70.240.197.90:4555 TIME_WAIT
Под comp понимается мой внутренний IP от прова вида 10.*.*.*

Насторожило то, что сетевой эктан KIS (v 7.0.1.325) эту активность не фиксировал. Проверка компьтера антивирусом (тем же KIS) ничего не выявила.
Возможно вопросы кому-то покажутся глупыми. Но все же прошу знающих людей ответить, что то может быть.

Вопрос 2.
похоже на червяка.....
сетевой экран, если ты его конфигурировал на "уровне приложений"..... и не мог ничего показать , наверняка для system ты уже открыл права.

..... но судя по совместным симптомам..... с вопросом 1
Adware

продолжай.... всего скорее окажется "лишняя" dll-ка у винлогон.

Delimiter,
извиняюсь за глупый вопрос, но как узнать, какая именно DLL-ка лишняя? Смотрю список DLL winlogon.exe. Их там 81.

Недавно тут продавали троян, который подменяет результаты поисковиков. Может это он как раз? :) Можно попробовать его обмануть. Попробуй написать в файл hosts

72.14.221.104 asdffdsa.ru


И при заходе на asdffdsa.ru ты окажешься в гугле. Возможно, это обманет троян. (если дело в нем)

Macro, спасибо
Сделал так. Opera выдала пустую страницу, а FireFox выдал Google. Значит этот трой. Теперь вопрос, как его удалить???

Недавно тут продавали троян, который подменяет результаты поисковиков. Может это он как раз? :) Можно попробовать его обмануть. Попробуй написать в файл hosts

72.14.221.104 asdffdsa.ru


И при заходе на asdffdsa.ru ты окажешься в гугле. Возможно, это обманет троян. (если дело в нем)
это-же ip http://www.google.ru/

армаорум, проверь, присутствуют ли левые службы, автозапуск. Откати систему до точки восстановления до этих проблем.

1. Прокси в браузере используется? Или что-нибудь вроде sockschain/sockscap? То, что процесс system:0 - может на самом деле ничего не означать страшного. Это могут быть уже "мертвые" соединения (от закрытого процесса). А вот то, что соединения идут на какие-то левые ip : ports - это подозрительно. Потому что для браузера вполне обычными должны быть левые ip, но порт удаленный - 80, а не 48363, 54069 и т.п.

Если прокси используются - это ответ на вопрос.

2. Советую просканировать на предмет наличия malware с помощью OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php) (Online Solutions Autorun Manager (http://www.online-solutions.ru/ru/osam_autorun_manager.php)). Показывает абсолютно всю автозагрузку, используемую различными вирусами/спамботами, malware. Найдет так же и скрытые записи в реестре от руткитов. Если по логу самому не понятно, что может иметь отношение к вредоносным программам, то можно скинуть лог им на форум (http://forum.online-solutions.ru), где получить квалифицированную помощь (что нормальное, что нужно удалить).

Если что - можно мне в PM написать.

армаорум, проверь, присутствуют ли левые службы, автозапуск. Откати систему до точки восстановления до этих проблем.
Проверял. Ничего не обнаружил :confused: А функция восстановления системы у меня отключена

1. Прокси в браузере используется? Или что-нибудь вроде sockschain/sockscap? То, что процесс system:0 - может на самом деле ничего не означать страшного. Это могут быть уже "мертвые" соединения (от закрытого процесса). А вот то, что соединения идут на какие-то левые ip : ports - это подозрительно. Потому что для браузера вполне обычными должны быть левые ip, но порт удаленный - 80, а не 48363, 54069 и т.п.

Если прокси используются - это ответ на вопрос.
Соксифицирую приложения через Proxifier. Прокси я конечно использую. Но все прокси от сервиса, который я юзаю, работают на 4-значных портах. А тут 5-значные порты


2. Советую просканировать на предмет наличия malware с помощью OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php) (Online Solutions Autorun Manager (http://www.online-solutions.ru/ru/osam_autorun_manager.php)). Показывает абсолютно всю автозагрузку, используемую различными вирусами/спамботами, malware. Найдет так же и скрытые записи в реестре от руткитов. Если по логу самому не понятно, что может иметь отношение к вредоносным программам, то можно скинуть лог им на форум (http://forum.online-solutions.ru), где получить квалифицированную помощь (что нормальное, что нужно удалить).

Если что - можно мне в PM написать.
Большое спасибо за данный совет