Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | |
Не обязательно все. 13.09.02 22:57 Число просмотров: 827
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > > 2HEX - по старту машины - что запускается?
> > 30 процессов
> > ...все перечислитть?
> Нет, просто ты говорил "я параноик,и смотрю на процессы
> очень часто", вот я и подумал, что ты мог заметить что
> чё-нить новое стало запускаться.
>
ничего, кроме этого @$аного ддхелпа - через раз
> > > Кстати, если грузишься в safemode - то же самое
> > происходит?
> > не гружусь, на фига?
> По идее в сэйфмоде половина сервисов и процессов будет
> отрублена - можно отследить, когда такая хрень начинается.
ну что нибудь типа того :-)
|
|
<sysadmin>
|
если хочешь сделать что либо - do it yourself 07.09.02 18:56 [ZloyShaman]
Автор: hex.sex <Computer-Hitler> Статус: Elderman
Отредактировано 15.09.02 21:54 Количество правок: 1
|
короче, затороянили меня
отлечился вроде бы
а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс и хочет в сеть
процесс убил
файл стер
потом та же хрень
а антивирь молчит падла
ddhelp.exe располагается в папке winnt
мысли есть?
|
|
Рвется - так пусти 13.09.02 10:20
Автор: PS <PS> Статус: Elderman
|
Пусти и посмотри - куда рвется, к кому и что просит (или отдает) ?
Может ему антивирус кое что отрезал, вот он за "отрезаными частями тела" в сеть и лезет ;)
|
| |
попался,сцука 13.09.02 20:16
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
File Version :
File Description : D:\WINNT\ddhelp.exe
File Path : D:\WINNT\ddhelp.exe
Process ID : 5FC (Heximal) 1532 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 195.34.31.11
Local Port : 3012
Remote Name : mail.ru
Remote Address : 194.67.57.51
Remote Port : 25 (SMTP - Simple Mail Transfer Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 6a-7b-20-00-01-00
Source: 00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xd8a7 (Correct)
Source: 195.34.31.11
Destination: 194.67.57.51
Transmission Control Protocol (TCP)
Source port: 3012
Destination port: 25
Sequence number: 801697466
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0xe358 (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: 6A 7B 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | j{ ...........E.
0010: 00 30 B5 4B 40 00 40 06 : A7 D8 C3 22 1F 0B C2 43 | .0.K@.@...."...C
0020: 39 33 0B C4 00 19 2F C8 : EE BA 00 00 00 00 70 02 | 93..../.......p.
0030: 22 38 58 E3 00 00 02 04 : 05 B4 01 01 04 02 | "8X...........
|
| | |
попался,сцука 15.09.02 12:52
Автор: StR <Стас> Статус: Elderman
|
> Remote Name : mail.ru
> Remote Address : 194.67.57.51
> Remote Port : 25 (SMTP - Simple Mail Transfer
> Protocol)
Диски с софтом покупал? Наверняка троян оттуда...
|
| | |
Выкладывай не скриншот, а свой ddhelp.exe, посмотрим... 15.09.02 00:19
Автор: :-) <:-)> Статус: Elderman
|
|
|
| | |
А дальше ? 14.09.02 00:57
Автор: PS <PS> Статус: Elderman
|
На сколько я понимаю (могу и ошибится) - это всего лишь пакет на установление коннекта. А письмо то он посылать будет или как ?
Самое интересное в том, что именно и куда он собирается послать.
Мда... на апдейт это в любом случае не похоже.
|
| | |
Ну, что за гадина? Давай, колись :-) 13.09.02 20:34
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | |
именноэто мне хотелось бы знать 13.09.02 20:45
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
а это отчет ФВ о его действиях
|
|
Vse normal`no 12.09.02 23:59
Автор: + <Mikhail> Статус: Elderman
|
> короче, затороянили меня
> отлечился вроде бы
> а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс
> и хочет в сеть
> процесс убил
> файл стер
> потом та же хрень
> а антивирь молчит падла
> ddhelp.exe располагается в папке winnt
> мысли есть?
Not a virus.
ddhelp.exe - direct draw helper (idet vmeste s WindowsXX)
zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM module),
Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh references na ddhelp.exe. Kak tolko COM object sozdaetsia is DDRAW.DLL tak etot COM object, esli eto trebuetsia, zagruzhaet DDHELP.EXE.
|
| |
авот и ни фига 13.09.02 00:11
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > короче, затороянили меня
> > отлечился вроде бы
> > а сегодня ФВ говорит что файл ddhlelp.exe выполняет
> процесс
> > и хочет в сеть
> > процесс убил
> > файл стер
> > потом та же хрень
> > а антивирь молчит падла
> > ddhelp.exe располагается в папке winnt
> > мысли есть?
> Not a virus.
>
> ddhelp.exe - direct draw helper (idet vmeste s WindowsXX)
> zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM
> module),
> Tak chto ni v kakih autorun ili eche gdeto ty ne naidesh
> references na ddhelp.exe. Kak tolko COM object sozdaetsia
> is DDRAW.DLL tak etot COM object, esli eto trebuetsia,
> zagruzhaet DDHELP.EXE.
>
при загрузке есть алерт об отсутствии ддхелпа
это раз
два - какого хрена ему соваться в инет, файрволсвистит об этом
три - никогдараньше этого процесса у меня не запускалось - я параноик,и смотрю на процессы оченьчасто
|
| | |
Упс.......... 13.09.02 00:19
Автор: JINN <Sergey> Статус: Elderman
|
> > > короче, затороянили меня
> > > отлечился вроде бы
> > > а сегодня ФВ говорит что файл ddhlelp.exe
> выполняет
> > процесс
> > > и хочет в сеть
> > > процесс убил
> > > файл стер
> > > потом та же хрень
> > > а антивирь молчит падла
> > > ddhelp.exe располагается в папке winnt
> > > мысли есть?
> > Not a virus.
> >
> > ddhelp.exe - direct draw helper (idet vmeste s
> WindowsXX)
> > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM
> > module),
> > Tak chto ni v kakih autorun ili eche gdeto ty ne
> naidesh
> > references na ddhelp.exe. Kak tolko COM object
> sozdaetsia
> > is DDRAW.DLL tak etot COM object, esli eto trebuetsia,
> > zagruzhaet DDHELP.EXE.
> >
> при загрузке есть алерт об отсутствии ддхелпа
> это раз
> два - какого хрена ему соваться в инет, файрволсвистит об
> этом
> три - никогдараньше этого процесса у меня не запускалось -
> я параноик,и смотрю на процессы оченьчасто
DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт рендеринг.
Может запускаться, может и нет, как уже сказал "+".
Такое впечатление, что какая-то из прог(геймзов), пользующих DDRAW ломится в сеть, чтобы чего-то скачать - обновления, поддержку и т.п.
Но учитывая то, что ты сказал - может быть вирь подменил исходный файл?
Какие вообше процессы и сервисы грузятся по старту машины?
зы - как вариант - интереса ради - сделать копию винта, удалить всё ценное и пустить ddhelp в сеть - поглядеть куда он так настойчиво рвётся.
|
| | | |
я не играю в игрушки 13.09.02 01:09
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > > > короче, затороянили меня
> > > > отлечился вроде бы
> > > > а сегодня ФВ говорит что файл ddhlelp.exe
> > выполняет
> > > процесс
> > > > и хочет в сеть
> > > > процесс убил
> > > > файл стер
> > > > потом та же хрень
> > > > а антивирь молчит падла
> > > > ddhelp.exe располагается в папке winnt
> > > > мысли есть?
> > > Not a virus.
> > >
> > > ddhelp.exe - direct draw helper (idet vmeste s
> > WindowsXX)
> > > zapuskaetsia is ddraw.dll (kotoray v svou
> ochered` COM
> > > module),
> > > Tak chto ni v kakih autorun ili eche gdeto ty ne
> > naidesh
> > > references na ddhelp.exe. Kak tolko COM
> object
> > sozdaetsia
> > > is DDRAW.DLL tak etot COM object, esli eto
> trebuetsia,
> > > zagruzhaet DDHELP.EXE.
> > >
> > при загрузке есть алерт об отсутствии ддхелпа
> > это раз
> > два - какого хрена ему соваться в инет, файрволсвистит
> об
> > этом
> > три - никогдараньше этого процесса у меня не
> запускалось -
> > я параноик,и смотрю на процессы оченьчасто
> DDHELP.exe отвечает за OpenGL, Direc3D, DDraw и всякий софт
> рендеринг.
> Может запускаться, может и нет, как уже сказал "+".
> Такое впечатление, что какая-то из прог(геймзов),
> пользующих DDRAW ломится в сеть, чтобы чего-то скачать -
> обновления, поддержку и т.п.
>
> Но учитывая то, что ты сказал - может быть вирь подменил
> исходный файл?
> Какие вообше процессы и сервисы грузятся по старту машины?
>
> зы - как вариант - интереса ради - сделать копию винта,
> удалить всё ценное и пустить ddhelp в сеть - поглядеть куда
> он так настойчиво рвётся.
и у меня нет лишнего винта :)
|
| | |
авот и ни фига 13.09.02 00:16
Автор: + <Mikhail> Статус: Elderman
|
> > > короче, затороянили меня
> > > отлечился вроде бы
> > > а сегодня ФВ говорит что файл ddhlelp.exe
> выполняет
> > процесс
> > > и хочет в сеть
> > > процесс убил
> > > файл стер
> > > потом та же хрень
> > > а антивирь молчит падла
> > > ddhelp.exe располагается в папке winnt
> > > мысли есть?
> > Not a virus.
> >
> > ddhelp.exe - direct draw helper (idet vmeste s
> WindowsXX)
> > zapuskaetsia is ddraw.dll (kotoray v svou ochered` COM
> > module),
> > Tak chto ni v kakih autorun ili eche gdeto ty ne
> naidesh
> > references na ddhelp.exe. Kak tolko COM object
> sozdaetsia
> > is DDRAW.DLL tak etot COM object, esli eto trebuetsia,
> > zagruzhaet DDHELP.EXE.
> >
> при загрузке есть алерт об отсутствии ддхелпа
> это раз
ne ponial . kakoi alert? kakogo otsutstviia?
> два - какого хрена ему соваться в инет, файрволсвистит об
> этом
sprosi MS chto on tam zabyl.
> три - никогдараньше этого процесса у меня не запускалось -
> я параноик,и смотрю на процессы оченьчасто
eto ni ochem ne govorit.
|
| | | |
Вопрос вдогонку.. 13.09.02 00:26
Автор: JINN <Sergey> Статус: Elderman
|
> > два - какого хрена ему соваться в инет, файрволсвистит
> об
> > этом
А куда рвётся-то? Фаер светит айпишник куда ОНО пытается законнектиться?
|
|
Может.... 12.09.02 22:25
Автор: JINN <Sergey> Статус: Elderman
Отредактировано 12.09.02 22:31 Количество правок: 1
|
> короче, затороянили меня
> отлечился вроде бы
> а сегодня ФВ говорит что файл ddhlelp.exe выполняет процесс
> и хочет в сеть
> процесс убил
> файл стер
Т.е. файло потёр, а ОНО всё равно в сеть рвётся??
Поглядел у себя на винте - на первом партишине в98SE-рус, на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в папке - c:\windows\system (на С:\ стоИт вин98).
При попытке запуска ddhelp.exe из-под 98 - ничего не происходит, при попытке запуска из под в2к - следующее сообщение об ошибке -
"DDHELP.EXE - Entry Point Not Found
The procedure entry point RegisterServiceProcess could not be located in the dynamic link library KERNEL32.DLL"
> потом та же хрень
> а антивирь молчит падла
> ddhelp.exe располагается в папке winnt
> мысли есть?
Винда какая?
Проверить ЭТОТ винт на вири на другой тачке не пробовал?
Видяха случайно не из серии nVidia??
Драйвера на видео в последнее время не менял?
зы - А что за троян был, что ни антивирь, ни фв на него не отреагировали?
Название не помнишь?
|
| |
Может.... 12.09.02 23:45
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
> > короче, затороянили меня
> > отлечился вроде бы
> > а сегодня ФВ говорит что файл ddhlelp.exe выполняет
> процесс
> > и хочет в сеть
> > процесс убил
> > файл стер
> Т.е. файло потёр, а ОНО всё равно в сеть рвётся??
>
> Поглядел у себя на винте - на первом партишине в98SE-рус,
> на втором - в2к-про-англ. Файл "ddhelp.exe" нашёл только в
> папке - c:\windows\system (на С:\ стоИт вин98).
> При попытке запуска ddhelp.exe из-под 98 - ничего не
> происходит, при попытке запуска из под в2к - следующее
> сообщение об ошибке -
> "DDHELP.EXE - Entry Point Not Found
> The procedure entry point RegisterServiceProcess could not
> be located in the dynamic link library KERNEL32.DLL"
>
> > потом та же хрень
> > а антивирь молчит падла
> > ddhelp.exe располагается в папке winnt
> > мысли есть?
> Винда какая?
win2000 prof
> Проверить ЭТОТ винт на вири на другой тачке не пробовал?
> Видяха случайно не из серии nVidia??
> Драйвера на видео в последнее время не менял?
>
нет
> зы - А что за троян был, что ни антивирь, ни фв на него не
> отреагировали?
> Название не помнишь?
нет
|
| | |
Может.... 12.09.02 23:48
Автор: JINN <Sergey> Статус: Elderman
|
А сам файл ddhelp.exe на винте имеется?
Если ты его снёс - откуда он опять появился?
|
| | | |
именно это мне и хочется узнать - откуданах? 13.09.02 00:01
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
|
| | | | |
именно это мне и хочется узнать - откуданах? 13.09.02 14:56
Автор: Skeeve [Moscow SubTeam] <Vladimir Medvedev> Статус: Elderman
|
|
Было нечто похожее, когда я пытался удалять drwatson. Аналогично - файл появляется и появляется :-)
|
| | | | | |
Есть подозрение на Службу защиты системных файлов :)) 13.09.02 14:57
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 13.09.02 14:59 Количество правок: 1
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
