http://spectra-forum.ru/forums/1650.aspxАнекдоты, байки, приколы, интересное и смешное видео, забавные и серьёзные тесты.CommunityServer 2008.5 SP1 (Build: 31106.3070)http://spectra-forum.ru/forums/thread/196407.aspxFri, 03 Sep 2010 06:46:04 GMT95d1f426-6bfb-410c-a98a-c5644457bc6d:196407GeneREA0http://spectra-forum.ru/forums/thread/196407.aspxhttp://spectra-forum.ru/forums/commentrss.aspx?SectionID=1650&PostID=196407<p>Еще в процессе установки автоматического переключателя раскладки клавиатуры Punto Switcher 3.1.1 от компании Яндекс на один из компов Аутпост Файерволл сообщил, что Свичер пытается получить доступ к Фоновой Интеллектуальной Службе Передачи Файлов (Background Intelligent Transfer Service, BITS). По умолчанию эта служба стартует в автомате и используется для отправки инфы о системе и получения файлов при автообновлении.</p> <p>Я ответил &quot;запретить&quot;.<br /> Более того, зная что у свитчера при установке включен режим поиска обновлений, после установки галку &quot;искать обновления&quot; убрал.<br /> И думал что на этом все.<br /> Я ОШИБСЯ.</p> <p>Через несколько минут svchost.exe &quot;ломанулся&quot; по 80 порту аж на два сервера яндекса и продолжал пытаться это делать с регулярным постоянством.<br /> Само собой что я пресек попытки файерволлом, но не насовсем ( запретить доступ к сайту ххх ), а командой &quot;блокировать однократно&quot;.<br /> Стал искать причину, перерыл весь реестр, удалил из него в ключах Свичера линки на сервера обновления и помощи яндекса.<br /> Подумал, что теперь то уж точно все и перезагрузился.<br /> <b>ЕЩЕ РАЗ ОШИБСЯ.</b><br /> попытки коннекта продолжились.</p> <p>Полностью деинсталлировал Свитчер, стер все его хвосты с диска, прогнал очистку реестра несколькими программами, стер все из темпа.<br /> еще раз перезагрузился, считая что УЖ ТЕПЕРЬ-ТО ТОЧНО СОВСЕМ ОКОНЧАТЕЛЬНО ВСЕ!</p> <p><b>И ЕЩЕ РАЗ ОШИБСЯ!!!</b></p> <p><b>Попытки соединения с яндексом через svchost.exe не прекратились ДАЖЕ ПОСЛЕ УДАЛЕНИЯ пунто-свичера!!!</b></p> <p><i>( г-да пунто-программеры,<br /> в приличном обществе за такие несанкционированные пользователем обращения в интернет &mdash; плюют в рожу,<br /> а уж за оставленные после ан-инсталла хвосты &mdash; вообще, канделябрами бьют !!!)<br /> </i><br /> <b>полез еще раз в реестр. и таки нашел причинное место и победил.</b></p> <p><b>1. Открываем</b><br /> Мой компьютер\Управление\Службы</p> <p>останавливаем службу BITS<br /> (временно или совсем запрещаем старт, учтите, что без нее не работает автообновление винды)</p> <p><b>2. Идем в папку</b><br /> c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\<br /> удаляем два файла<br /> qmgr0.dat<br /> qmgr1.dat<br /> (можно посмотреть любым редактором &mdash; ссылка на сайты яндекса находится там)</p> <p>доступ к файлам блокируется процессом svchost.exe, так что используйте Unlocker Assistant или нечто подобное.<br /> (убивать свцхост процесс-киллером нельзя &mdash; начнется перезагрузка. надо именно лишь разблокировать доступ к файлам!)</p> <p><b>3. Рестартуем BITS</b><br /> проверяем: файлы появятся вновь, но уже пустые, без ссылок на яндекс.</p> <p>проверяем результат (имеющий аутпост файерволл или нечто подобное, да увидит) &mdash; svchost.ехе больше не лезет в инет на эти сайты.</p> <p><b>4. СУГУБО ИМХО.</b><br /> эта папка и два этих файла в обычном случае вообще не нужны..<br /> во всяком случае на машине без Пунто-Свичера ничего такого нет,<br /> при том что БИТС выполняется автоматом .</p> <p>поэтому &quot;для добивания шпиёна&quot; открываем regedit</p> <p>ищем ключевое слово BITS_metadata</p> <p>и в трех местах удаляем из реестра &quot;на фиг с пляжа&quot;<br /> запись о таком параметре со ссылкой как раз на эту папку:<br /> c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\</p> <p>в моем реестре такого параметра ключа никогда не было и нет,<br /> на вылеченном компе теперь тоже</p> <p>какие еще подарочки, не удаляемые при ан-инсталле, успел подкинуть Свичер в систему ( какие-нибудь длл-ки, либ-ы, драйверы и т.д.) &mdash; пока не знаю.<br /> очень хочется надеяться, что никаких.<br /> но &quot;Будем искать!&quot;(с)</p> <p>Ну и <b>вопросы к пунто-программерам и руководству яндекса:</b></p> <p><i><b>- зачем вам понадобилось закладывать такую гадость в Свичер?</b></i></p> <p><i><b>- что еще кроме собственно Свичера устанавливается в систему?</b></i></p> <p><i><b>- какие данные вы запрашиваете или передаете через БИТС?<br /> </b></i></p> <p><b>П.С. </b>знаю что <b>сейчас появилось много готовых сборок</b> винды в которых <b>заранее включен Свичер</b> и люди ими пользуются.<br /> использующие такие сборки &mdash; вы тоже &quot;в списке стукачей&quot; яндекса.<br /> уже проверено на практике. <b>в машине знакомого так и было</b>. удалили по моей методе.</p> <p><b>П.П.С. </b><b>Эту мою инструкцию о том как вылечить машину,<br /> я поместил на страничку Пунто-Клуба сайта ЯНДЕКС</b> в ответ на вопрос одного из пользователей, зачем Свичер лезет в интернет.<br /> <b>ОНА НЕ ПРОВИСЕЛА НА САЙТЕ ЯНДЕКСА И ПЯТИ МИНУТ!!!</b><br /> даже без ответа типа, &quot;спасибо за найденную ошибку в нашей программе, в ближайшее время она будет исправлена&quot;.</p> <p><b>мой вывод:</b><br /> <b>вполне возможно, что ЭТО все-таки НЕ ОШИБКА, а СКРЫТАЯ ФУНКЦИЯ программы Punto-Switcher от компании Яндекс!<br /> и ЯНДЕКСУ или его заказчику НЕ НУЖНО, ЧТОБЫ ЛЮДИ ЗНАЛИ КАК ОТКЛЮЧИТЬ ЭТУ ФУНКЦИЮ!!!</b></p> <p><b>http://nnm.ru/blogs/zetgreen/yandeks_shpionit_za_vashim_kompyuterom_cherez_punto_switcher_3_1_1_dazhe_posle_polnogo_ego_udaleniya_2/#cut<br /></b></p><div style="clear:both;"></div>