Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
если хочешь сделать что либо - do it yourself 07.09.02 18:56 [ZloyShaman]
Автор: hex.sex <Computer-Hitler> Статус: Elderman Отредактировано 15.09.02 21:54 Количество правок: 1
|
короче, затороянили меня
отлечился вроде бы
а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс и хочет в сеть
процесс убил
файл стер
потом та же хрень
а антивирь молчит падла
ddhelp.exe располагается в папке winnt
мысли есть?
|
 |
Рвется - так пусти 13.09.02 10:20
Автор: PS <PS> Статус: Elderman
|
Пусти и посмотри - куда рвется, к кому и что просит (или отдает) ?
Может ему антивирус кое что отрезал, вот он за "отрезаными частями тела" в сеть и лезет ;)
|
 |  |
попался,сцука 13.09.02 20:16
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
File Version :
File Description : D:\WINNT\ddhelp.exe
File Path : D:\WINNT\ddhelp.exe
Process ID : 5FC (Heximal) 1532 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 195.34.31.11
Local Port : 3012
Remote Name : mail.ru
Remote Address : 194.67.57.51
Remote Port : 25 (SMTP - Simple Mail Transfer Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 6a-7b-20-00-01-00
Source: 00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xd8a7 (Correct)
Source: 195.34.31.11
Destination: 194.67.57.51
Transmission Control Protocol (TCP)
Source port: 3012
Destination port: 25
Sequence number: 801697466
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0xe358 (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: 6A 7B 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | j{ ...........E.
0010: 00 30 B5 4B 40 00 40 06 : A7 D8 C3 22 1F 0B C2 43 | .0.K@.@...."...C
0020: 39 33 0B C4 00 19 2F C8 : EE BA 00 00 00 00 70 02 | 93..../.......p.
0030: 22 38 58 E3 00 00 02 04 : 05 B4 01 01 04 02 | "8X...........
|
 |  |  |
попался,сцука 15.09.02 12:52
Автор: StR <Стас> Статус: Elderman
|
> Remote Name : mail.ru > Remote Address : 194.67.57.51 > Remote Port : 25 (SMTP - Simple Mail Transfer > Protocol) Диски с софтом покупал? Наверняка троян оттуда...
|
 |  |  |
Выкладывай не скриншот, а свой ddhelp.exe, посмотрим... 15.09.02 00:19
Автор: :-) <:-)> Статус: Elderman
|
|
 |  |  |
А дальше ? 14.09.02 00:57
Автор: PS <PS> Статус: Elderman
|
На сколько я понимаю (могу и ошибится) - это всего лишь пакет на установление коннекта. А письмо то он посылать будет или как ?
Самое интересное в том, что именно и куда он собирается послать.
Мда... на апдейт это в любом случае не похоже.
|
 |  |  |
Ну, что за гадина? Давай, колись :-) 13.09.02 20:34
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
 |  |  |  |
именноэто мне хотелось бы знать 13.09.02 20:45
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
а это отчет ФВ о его действиях
|
 |
Vse normal`no 12.09.02 23:59
Автор: + <Mikhail> Статус: Elderman
|
> короче, затороянили меня > отлечился вроде бы > а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс > и хочет в сеть > процесс убил > файл стер > потом та же хрень > а антивирь молчит падла > ddhelp.exe располагается в папке winnt > мысли есть? Not a virus.
ddhelp.exe - direct draw helper (idet vmeste s WindowsXX)
zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM module),
Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh references na ddhelp.exe. Kak tolko COM object sozdaetsia is DDRAW.DLL tak etot COM object, esli eto trebuetsia, zagruzhaet DDHELP.EXE.
|
 |  |
авот и ни фига 13.09.02 00:11
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > короче, затороянили меня > > отлечился вроде бы > > а сегодня ФВ говорит что файл ddhlelp.exe выполняет > процесс > > и хочет в сеть > > процесс убил > > файл стер > > потом та же хрень > > а антивирь молчит падла > > ddhelp.exe располагается в папке winnt > > мысли есть? > Not a virus. > > ddhelp.exe - direct draw helper (idet vmeste s WindowsXX) > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > module), > Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh > references na ddhelp.exe. Kak tolko COM object sozdaetsia > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > zagruzhaet DDHELP.EXE. > при загрузке есть алерт об отсутствии ддхелпа
это раз
два - какого хрена ему соваться в инет, файрволсвистит об этом
три - никогдараньше этого процесса у меня не запускалось - я параноик,и смотрю на процессы оченьчасто
|
 |  |  |
Упс.......... 13.09.02 00:19
Автор: JINN <Sergey> Статус: Elderman
|
> > > короче, затороянили меня > > > отлечился вроде бы > > > а сегодня ФВ говорит что файл ddhlelp.exe > выполняет > > процесс > > > и хочет в сеть > > > процесс убил > > > файл стер > > > потом та же хрень > > > а антивирь молчит падла > > > ddhelp.exe располагается в папке winnt > > > мысли есть? > > Not a virus. > > > > ddhelp.exe - direct draw helper (idet vmeste s > WindowsXX) > > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > > module), > > Tak chto ni v kakih autorun ili eche gdeto ty ne > naidesh > > references na ddhelp.exe. Kak tolko COM object > sozdaetsia > > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > > zagruzhaet DDHELP.EXE. > > > при загрузке есть алерт об отсутствии ддхелпа > это раз > два - какого хрена ему соваться в инет, файрволсвистит об > этом > три - никогдараньше этого процесса у меня не запускалось - > я параноик,и смотрю на процессы оченьчасто DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт рендеринг.
Может запускаться, может и нет, как уже сказал "+".
Такое впечатление, что какая-то из прог(геймзов), пользующих DDRAW ломится в сеть, чтобы чего-то скачать - обновления, поддержку и т.п.
Но учитывая то, что ты сказал - может быть вирь подменил исходный файл?
Какие вообше процессы и сервисы грузятся по старту машины?
зы - как вариант - интереса ради - сделать копию винта, удалить всё ценное и пустить ddhelp в сеть - поглядеть куда он так настойчиво рвётся.
|
 |  |  |  |
я не играю в игрушки 13.09.02 01:09
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > > > короче, затороянили меня > > > > отлечился вроде бы > > > > а сегодня ФВ говорит что файл ddhlelp.exe > > выполняет > > > процесс > > > > и хочет в сеть > > > > процесс убил > > > > файл стер > > > > потом та же хрень > > > > а антивирь молчит падла > > > > ddhelp.exe располагается в папке winnt > > > > мысли есть? > > > Not a virus. > > > > > > ddhelp.exe - direct draw helper (idet vmeste s > > WindowsXX) > > > zapuskaetsia is ddraw.dll (kotoray v svou > ochered` COM > > > module), > > > Tak chto ni v kakih autorun ili eche gdeto ty ne > > naidesh > > > references na ddhelp.exe. Kak tolko COM > object > > sozdaetsia > > > is DDRAW.DLL tak etot COM object, esli eto > trebuetsia, > > > zagruzhaet DDHELP.EXE. > > > > > при загрузке есть алерт об отсутствии ддхелпа > > это раз > > два - какого хрена ему соваться в инет, файрволсвистит > об > > этом > > три - никогдараньше этого процесса у меня не > запускалось - > > я параноик,и смотрю на процессы оченьчасто > DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт > рендеринг. > Может запускаться, может и нет, как уже сказал "+". > Такое впечатление, что какая-то из прог(геймзов), > пользующих DDRAW ломится в сеть, чтобы чего-то скачать - > обновления, поддержку и т.п. > > Но учитывая то, что ты сказал - может быть вирь подменил > исходный файл? > Какие вообше процессы и сервисы грузятся по старту машины? > > зы - как вариант - интереса ради - сделать копию винта, > удалить всё ценное и пустить ddhelp в сеть - поглядеть куда > он так настойчиво рвётся. и у меня нет лишнего винта :)
|
 |  |  |
авот и ни фига 13.09.02 00:16
Автор: + <Mikhail> Статус: Elderman
|
> > > короче, затороянили меня > > > отлечился вроде бы > > > а сегодня ФВ говорит что файл ddhlelp.exe > выполняет > > процесс > > > и хочет в сеть > > > процесс убил > > > файл стер > > > потом та же хрень > > > а антивирь молчит падла > > > ddhelp.exe располагается в папке winnt > > > мысли есть? > > Not a virus. > > > > ddhelp.exe - direct draw helper (idet vmeste s > WindowsXX) > > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM > > module), > > Tak chto ni v kakih autorun ili eche gdeto ty ne > naidesh > > references na ddhelp.exe. Kak tolko COM object > sozdaetsia > > is DDRAW.DLL tak etot COM object, esli eto trebuetsia, > > zagruzhaet DDHELP.EXE. > > > при загрузке есть алерт об отсутствии ддхелпа > это раз ne ponial . kakoi alert? kakogo otsutstviia?
> два - какого хрена ему соваться в инет, файрволсвистит об > этом sprosi MS chto on tam zabyl.
> три - никогдараньше этого процесса у меня не запускалось - > я параноик,и смотрю на процессы оченьчасто eto ni ochem ne govorit.
|
 |  |  |  |
Вопрос вдогонку.. 13.09.02 00:26
Автор: JINN <Sergey> Статус: Elderman
|
> > два - какого хрена ему соваться в инет, файрволсвистит > об > > этом А куда рвётся-то? Фаер светит айпишник куда ОНО пытается законнектиться?
|
 |
Может.... 12.09.02 22:25
Автор: JINN <Sergey> Статус: Elderman Отредактировано 12.09.02 22:31 Количество правок: 1
|
> короче, затороянили меня > отлечился вроде бы > а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс > и хочет в сеть > процесс убил > файл стер Т.е. файло потёр, а ОНО всё равно в сеть рвётся??
Поглядел у себя на винте - на первом партишине в98SE-рус, на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в папке - c:\windows\system (на С:\ стоИт вин98).
При попытке запуска ddhelp.exe из-под 98 - ничего не происходит, при попытке запуска из под в2к - следующее сообщение об ошибке -
"DDHELP.EXE - Entry Point Not Found
The procedure entry point RegisterServiceProcess could not be located in the dynamic link library KERNEL32.DLL"
> потом та же хрень > а антивирь молчит падла > ddhelp.exe располагается в папке winnt > мысли есть? Винда какая?
Проверить ЭТОТ винт на вири на другой тачке не пробовал?
Видяха случайно не из серии nVidia??
Драйвера на видео в последнее время не менял?
зы - А что за троян был, что ни антивирь, ни фв на него не отреагировали?
Название не помнишь?
|
 |  |
Может.... 12.09.02 23:45
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > короче, затороянили меня > > отлечился вроде бы > > а сегодня ФВ говорит что файл ddhlelp.exe выполняет > процесс > > и хочет в сеть > > процесс убил > > файл стер > Т.е. файло потёр, а ОНО всё равно в сеть рвётся?? > > Поглядел у себя на винте - на первом партишине в98SE-рус, > на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в > папке - c:\windows\system (на С:\ стоИт вин98). > При попытке запуска ddhelp.exe из-под 98 - ничего не > происходит, при попытке запуска из под в2к - следующее > сообщение об ошибке - > "DDHELP.EXE - Entry Point Not Found > The procedure entry point RegisterServiceProcess could not > be located in the dynamic link library KERNEL32.DLL" > > > потом та же хрень > > а антивирь молчит падла > > ddhelp.exe располагается в папке winnt > > мысли есть? > Винда какая? win2000 prof
> Проверить ЭТОТ винт на вири на другой тачке не пробовал? > Видяха случайно не из серии nVidia?? > Драйвера на видео в последнее время не менял? > нет
> зы - А что за троян был, что ни антивирь, ни фв на него не > отреагировали? > Название не помнишь? нет
|
 |  |  |
Может.... 12.09.02 23:48
Автор: JINN <Sergey> Статус: Elderman
|
А сам файл ddhelp.exe на винте имеется?
Если ты его снёс - откуда он опять появился?
|
 |  |  |  |
именно это мне и хочется узнать - откуданах? 13.09.02 00:01
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
 |  |  |  |  |
именно это мне и хочется узнать - откуданах? 13.09.02 14:56
Автор: Skeeve [Moscow SubTeam] <Vladimir Medvedev> Статус: Elderman
|
Было нечто похожее, когда я пытался удалять drwatson. Аналогично - файл появляется и появляется :-)
|
 |  |  |  |  |  |
Есть подозрение на Службу защиты системных файлов :)) 13.09.02 14:57
Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 13.09.02 14:59 Количество правок: 1
|
|
|
|