Какая-то хрень постоянно подменяет мне телефон провайдера на какой-то другой , причём интерфейс соединения отображается в сильно урезанном виде и невозможно что-либо поменять , приходится удалять соединение и создавать новое , и опять всё повторяется . Как ЭТО вычистить ?

Сильно похоже на троян, если виден выход на международную линию - точно он. Свежие трояны ловятся, но не всегда, мне помогла смена юзера.

Originally posted by Виктор ( =SF=BELLA-RUS )
Какая-то хрень постоянно подменяет мне телефон провайдера на какой-то другой , причём интерфейс соединения отображается в сильно урезанном виде и невозможно что-либо поменять , приходится удалять соединение и создавать новое , и опять всё повторяется . Как ЭТО вычистить ?
Попробуй Trojan Remover.
Программка на месяц, но чистит всё очень хорошо.
Весит мегабайта два.
По названию в ПОИСКЕ сразу найдёшь.

Trojan Remover бессилен , смена юзера проблематична ((

Или Adaware. Тоже всякую гадость неплохо чистит.

Короче когда антивирусы + Adaware + чистка регистра не помогают - только удалять юзера и заводить нового. На чистого оно не цепляется, мне так пришлось делать на 2 компах, на одном из них в придачу в ссылки браузера постоянно вылезала подборка ссылок на порносайты - антивирусы поймать не смогли. Если машина личная, то в чем проблемы?

Ага, на IXBT была тема, человек смотрел порнуху, и насидел на огромные бабки, потому что оказалось что скрипт порносайта поменял настройки на дозвон забугорный прокси.. Также можно влететь и при поисках кряков. Такие вещи только Оперой! :D Кстати, у меня наработе один рз заметил, что сайты тормозят зверски -оказалось, прокси левый прописан. А ведь он там прописывается через политику безопасности. Правда, у меня стоит разрешение менять настройки прокси, у остальных юзеров такого нет. Кстати, можно и дома так настроить политику, только осторожно, там она для всех настраивается, что шаг назад по сравнению с NT 4, по-моему.

Пока нашёл частичное решение - запретил запоминание имени пользователя и пароля в настройках соединения , вроде нормально .

потенциальный риск трояна остался:(

Автозагрузку не смотрел (и список установленных программ заодно)?

У меня подобная хрень как-то подобными народными методами была поборота ;)

Угу, ясно, но инфы мало, потому - в общем это так делается:
1. Раз постоянно подменяется что-то, что ты исправляешь, то значит, ОНО сидит в памяти и исправляет.
2. Раз так - смотрим, что там. Находим гадость. Записываем, как её зовут (пример - SexyQue.exe -> USER).
3. Одновременно лезем в
HKLM->Software->Microsoft->Windows->CurrentVersion->Run
HKLM->Software->Microsoft->Windows->CurrentVersion->RunOnce
HKLM->Software->Microsoft->Windows->CurrentVersion->RunServices
HKLM->Software->Microsoft->Windows->CurrentVersion->RunServicesOnce
...и смотрим, что за хрень там у нас грузится.
4. Убираем эту гадость из всех четырёх веток. И все другие гадости - тоже. Оставляем только то, что надо.
5. Заодно запускаем поиск по реестру, хай найдёт все упоминания об этой хрени. Всё найденное множим на нуль.
6. Ребутаемся, хай выгрузит свою тушку из памяти.
7. Загрузились. Надо сделать последний штрих: найти эту сволочь на диске (мы ж её записали!) и прибить.
Последнее необязательно.

1. Кроме HKLM (HKEY_LOCAL_MACHINE) те же самые ветки есть в HKCU (HKEY_CURRENT_USER) - там пакость тоже может прописаться.

2. Некоторые подобные "тушки в памяти" контролируют вышеуказанные ветки реестра и восстанавливают ссылки на себя после их удаления, поэтому для правки реестра лучше загрузиться в Safe Mode, где никаких лишних тушек в памяти не будет и помешать они не смогут. Обнаруженную тушку рекомендуется сохранить в неактивном виде, проверить онлайн-проверкой на сайтах антивирусных контор и если онлайн-проверка ничего там не найдет, то отправить файл в эти антивирусные фирмы с описанием ситуации, чтобы они добавили эту пакость в свои вирусные базы.

3. Присоединяюсь к рекомендации поставить AdAware.

А главное, чтобы избежать подобных случаев в дальнейшем, нужно либо поставить все заплатки на Internet-Explorer (последняя вышла буквально на днях) и ужесточить в нем настройки безопасности, либо отказаться от него вообще и перейти на альтернативные браузеры: Mozilla или Opera. Если используется Outlook Express, то с ним нужно поступить так им же образом - либо поставить все заплатки и настроить безопасность, либо перейти на альтернативу.
Я со своей колокольни рекомендую мозиллу, так как она бесплатная, а в ее почтаре есть замечательный спам-фильтр. Но никто не мешает поставить оба, сравнить и оставить тот, который больше нравится.

Пока никаких левых процессов не нашёл (((

Выловил эту байду с помощью Process Explorer , маскировалась под svchost.exe

Статья в тему:

http://www.overclockers.ru/news/newsitem.shtml?category=4&id=1082209931

Originally posted by Maximus_G
Статья в тему:

http://www.overclockers.ru/news/newsitem.shtml?category=4&id=1082209931
Juhjvyjt cgfcb,j Vfrcbvec!
Тьфу, блин! Ох уж эта раскладка... %)

Огромное спасибо Максимус!
Девять мёртвых шпионов и ещё разная мелочь - вот результат!
Класс!
Я давно это искал... %)

Спасибище! :)

:)