если хочешь сделать что либо - do it yourself07.09.02 18:56 [ZloyShaman] Автор: hex.sex <Computer-Hitler> Статус: Elderman Отредактировано 15.09.02 21:54 Количество правок: 1
короче, затороянили меня
отлечился вроде бы
а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс и хочет в сеть
процесс убил
файл стер
потом та же хрень
а антивирь молчит падла
ddhelp.exe располагается в папке winnt
мысли есть?
Рвется - так пусти13.09.02 10:20 Автор: PS <PS> Статус: Elderman
Пусти и посмотри - куда рвется, к кому и что просит (или отдает) ?
Может ему антивирус кое что отрезал, вот он за "отрезаными частями тела" в сеть и лезет ;)
File Version :
File Description : D:\WINNT\ddhelp.exe
File Path : D:\WINNT\ddhelp.exe
Process ID : 5FC (Heximal) 1532 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 195.34.31.11
Local Port : 3012
Remote Name : mail.ru
Remote Address : 194.67.57.51
Remote Port : 25 (SMTP - Simple Mail Transfer Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 6a-7b-20-00-01-00
Source: 00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xd8a7 (Correct)
Source: 195.34.31.11
Destination: 194.67.57.51
Transmission Control Protocol (TCP)
Source port: 3012
Destination port: 25
Sequence number: 801697466
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0xe358 (Correct)
Data (0 Bytes)
На сколько я понимаю (могу и ошибится) - это всего лишь пакет на установление коннекта. А письмо то он посылать будет или как ?
Самое интересное в том, что именно и куда он собирается послать.
Мда... на апдейт это в любом случае не похоже.
Ну, что за гадина? Давай, колись :-)13.09.02 20:34 Автор: HandleX <Александр М.> Статус: The Elderman
> короче, затороянили меня > отлечился вроде бы > а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс > и хочет в сеть > процесс убил > файл стер > потом та же хрень > а антивирь молчит падла > ddhelp.exe располагается в папке winnt > мысли есть? Not a virus.
ddhelp.exe - direct draw helper (idet vmeste s WindowsXX)
zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM module),
Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh references na ddhelp.exe. Kak tolko COM object sozdaetsia is DDRAW.DLL tak etot COM object, esli eto trebuetsia, zagruzhaet DDHELP.EXE.
авот и ни фига13.09.02 00:11 Автор: hex.sex <Computer-Hitler> Статус: Elderman
> > короче, затороянили меня > > отлечился вроде бы > > а сегодня ФВ говорит что файл ddhlelp.exe выполняет > процесс > > и хочет в сеть > > процесс убил > > файл стер > > потом та же хрень > > а антивирь молчит падла > > ddhelp.exe располагается в папке winnt > > мысли есть? > Not a virus. > > ddhelp.exe - direct draw helper (idet vmeste s WindowsXX) > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > module), > Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh > references na ddhelp.exe. Kak tolko COM object sozdaetsia > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > zagruzhaet DDHELP.EXE. > при загрузке есть алерт об отсутствии ддхелпа
это раз
два - какого хрена ему соваться в инет, файрволсвистит об этом
три - никогдараньше этого процесса у меня не запускалось - я параноик,и смотрю на процессы оченьчасто
> > > короче, затороянили меня > > > отлечился вроде бы > > > а сегодня ФВ говорит что файл ddhlelp.exe > выполняет > > процесс > > > и хочет в сеть > > > процесс убил > > > файл стер > > > потом та же хрень > > > а антивирь молчит падла > > > ddhelp.exe располагается в папке winnt > > > мысли есть? > > Not a virus. > > > > ddhelp.exe - direct draw helper (idet vmeste s > WindowsXX) > > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > > module), > > Tak chto ni v kakih autorun ili eche gdeto ty ne > naidesh > > references na ddhelp.exe. Kak tolko COM object > sozdaetsia > > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > > zagruzhaet DDHELP.EXE. > > > при загрузке есть алерт об отсутствии ддхелпа > это раз > два - какого хрена ему соваться в инет, файрволсвистит об > этом > три - никогдараньше этого процесса у меня не запускалось - > я параноик,и смотрю на процессы оченьчасто DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт рендеринг.
Может запускаться, может и нет, как уже сказал "+".
Такое впечатление, что какая-то из прог(геймзов), пользующих DDRAW ломится в сеть, чтобы чего-то скачать - обновления, поддержку и т.п.
Но учитывая то, что ты сказал - может быть вирь подменил исходный файл?
Какие вообше процессы и сервисы грузятся по старту машины?
зы - как вариант - интереса ради - сделать копию винта, удалить всё ценное и пустить ddhelp в сеть - поглядеть куда он так настойчиво рвётся.
я не играю в игрушки13.09.02 01:09 Автор: hex.sex <Computer-Hitler> Статус: Elderman
> > > > короче, затороянили меня > > > > отлечился вроде бы > > > > а сегодня ФВ говорит что файл ddhlelp.exe > > выполняет > > > процесс > > > > и хочет в сеть > > > > процесс убил > > > > файл стер > > > > потом та же хрень > > > > а антивирь молчит падла > > > > ddhelp.exe располагается в папке winnt > > > > мысли есть? > > > Not a virus. > > > > > > ddhelp.exe - direct draw helper (idet vmeste s > > WindowsXX) > > > zapuskaetsia is ddraw.dll (kotoray v svou > ochered` COM > > > module), > > > Tak chto ni v kakih autorun ili eche gdeto ty ne > > naidesh > > > references na ddhelp.exe. Kak tolko COM > object > > sozdaetsia > > > is DDRAW.DLL tak etot COM object, esli eto > trebuetsia, > > > zagruzhaet DDHELP.EXE. > > > > > при загрузке есть алерт об отсутствии ддхелпа > > это раз > > два - какого хрена ему соваться в инет, файрволсвистит > об > > этом > > три - никогдараньше этого процесса у меня не > запускалось - > > я параноик,и смотрю на процессы оченьчасто > DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт > рендеринг. > Может запускаться, может и нет, как уже сказал "+". > Такое впечатление, что какая-то из прог(геймзов), > пользующих DDRAW ломится в сеть, чтобы чего-то скачать - > обновления, поддержку и т.п. > > Но учитывая то, что ты сказал - может быть вирь подменил > исходный файл? > Какие вообше процессы и сервисы грузятся по старту машины? > > зы - как вариант - интереса ради - сделать копию винта, > удалить всё ценное и пустить ddhelp в сеть - поглядеть куда > он так настойчиво рвётся. и у меня нет лишнего винта :)
авот и ни фига13.09.02 00:16 Автор: + <Mikhail> Статус: Elderman
> > > короче, затороянили меня > > > отлечился вроде бы > > > а сегодня ФВ говорит что файл ddhlelp.exe > выполняет > > процесс > > > и хочет в сеть > > > процесс убил > > > файл стер > > > потом та же хрень > > > а антивирь молчит падла > > > ddhelp.exe располагается в папке winnt > > > мысли есть? > > Not a virus. > > > > ddhelp.exe - direct draw helper (idet vmeste s > WindowsXX) > > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > > module), > > Tak chto ni v kakih autorun ili eche gdeto ty ne > naidesh > > references na ddhelp.exe. Kak tolko COM object > sozdaetsia > > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > > zagruzhaet DDHELP.EXE. > > > при загрузке есть алерт об отсутствии ддхелпа > это раз ne ponial . kakoi alert? kakogo otsutstviia?
> два - какого хрена ему соваться в инет, файрволсвистит об > этом sprosi MS chto on tam zabyl.
> три - никогдараньше этого процесса у меня не запускалось - > я параноик,и смотрю на процессы оченьчасто eto ni ochem ne govorit.
Вопрос вдогонку..13.09.02 00:26 Автор: JINN <Sergey> Статус: Elderman
> короче, затороянили меня > отлечился вроде бы > а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс > и хочет в сеть > процесс убил > файл стер Т.е. файло потёр, а ОНО всё равно в сеть рвётся??
Поглядел у себя на винте - на первом партишине в98SE-рус, на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в папке - c:\windows\system (на С:\ стоИт вин98).
При попытке запуска ddhelp.exe из-под 98 - ничего не происходит, при попытке запуска из под в2к - следующее сообщение об ошибке -
"DDHELP.EXE - Entry Point Not Found
The procedure entry point RegisterServiceProcess could not be located in the dynamic link library KERNEL32.DLL"
> потом та же хрень > а антивирь молчит падла > ddhelp.exe располагается в папке winnt > мысли есть? Винда какая?
Проверить ЭТОТ винт на вири на другой тачке не пробовал?
Видяха случайно не из серии nVidia??
Драйвера на видео в последнее время не менял?
зы - А что за троян был, что ни антивирь, ни фв на него не отреагировали?
Название не помнишь?
> > короче, затороянили меня > > отлечился вроде бы > > а сегодня ФВ говорит что файл ddhlelp.exe выполняет > процесс > > и хочет в сеть > > процесс убил > > файл стер > Т.е. файло потёр, а ОНО всё равно в сеть рвётся?? > > Поглядел у себя на винте - на первом партишине в98SE-рус, > на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в > папке - c:\windows\system (на С:\ стоИт вин98). > При попытке запуска ddhelp.exe из-под 98 - ничего не > происходит, при попытке запуска из под в2к - следующее > сообщение об ошибке - > "DDHELP.EXE - Entry Point Not Found > The procedure entry point RegisterServiceProcess could not > be located in the dynamic link library KERNEL32.DLL" > > > потом та же хрень > > а антивирь молчит падла > > ddhelp.exe располагается в папке winnt > > мысли есть? > Винда какая? win2000 prof
> Проверить ЭТОТ винт на вири на другой тачке не пробовал? > Видяха случайно не из серии nVidia?? > Драйвера на видео в последнее время не менял? > нет
> зы - А что за троян был, что ни антивирь, ни фв на него не > отреагировали? > Название не помнишь? нет
Было нечто похожее, когда я пытался удалять drwatson. Аналогично - файл появляется и появляется :-)
Есть подозрение на Службу защиты системных файлов :))13.09.02 14:57 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 13.09.02 14:59 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
