Yandex i Ip 87.250.250.33

[alco]

Witam. Zaczne od tego że w skrajnych przypadkach jako alternatywy używałem przegladarki Yandex, 2-3 dni temu przeglądarka leży i kwitnie a tu komunikat z d.. Yandex updater (zablokowałem) czyli nie to. Wczoraj patrze w logi zapory a tu dzień, wieczór, noc, łączenie z adresem 87.250.250.33, a więc przeglądarke kompletnie wywaliłem, nic nie dało. System wyczyściłem, rejestr, prefetch, flash dns, reset internetu, reset pliku host itp. Zero efektów, problem pozostał co chwile łączy się z tym adresem. Czyli:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Może ktoś mi rozwikła tą zagadkę jak się tego pozbyć.

 

[OXYGEN THIEF]

najprościej będzie zablokować ten IP w zaporze ale dlaczego proces systemowy łączy się adresem przeglądarki której nie masz to nie mam zielonego pojęcia i normalne to nie jest.

Możesz posłużyć się tym

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

i będziesz wiedział co za usługa działa jako ten svchost.exe bo może to jakiś przebieraniec albo odinstalowane nie poszło ok.

 

[alco]

Ciężko mi to troche rozkminić, nie widze tu nic podejrzanego, który ten svchost się łączy tez nie wiem,siedze nad tym już ponad godzine, adres mam zablokowany. Nie zaglądałem ostatnio w logi zapory także też nie wiem ile to trwa czasu ale napewno od wczoraj, czyli sprzed usunięcia przeglądarki. Ogólnie dziwna sprawa, ingerencja w.. czy podmiana plików systemowych, całkiem możliwe. Dostęp do kamery ma do dysku też, sama się aktualizuje, a co ona tam jeszcze robi to nie wiem, może i na randki chodzi.

 

[Quń]

Po pierwsze - łączy się z serwerem yandex - podobnie jak bink ze swoim i google z własnym.
Po drugie - nie ustawił się jako wyszukiwarka domyślna w systemie? Bo co z tego, że usuniesz przeglądarkę, skoro yandex tkwi jako domyślny NADAL?
Ustawienia internetowe - Programy - Zarządzanie dodatkami - pewnie sobie siedzi jako "dostawca wyszukiwania".

Bez paniki, google_updater też się wciska do systemu.

 

[Kamelka]

Może sprawdź protokół internetowy i tam ustawienia DNS.

 

[Elvis]

Z ciekawości zainstalowałem tego Yandexa na maszynie wirtualnej i przy zamkniętej przeglądarce nie widzę żeby coś chciało łączyć się z siecią. Może po jakimś czasie to wychodzi

 

[alco]

Ostatnio troche próbowałem ogarnąć troche ten temat ale nie mam zbytnio czasu, chęci ani głowy do tego.
Zadań svchost jest 12 z czego 4 łączą się z internetem, z tych 4 są 3 które mają do niego dostęp, a który to jest, zero pojęcia. Patrzałem nawet na usługi svchost w pamięci, ale na każdą usługe przypada około 100 plików dll . Używałem kilku programów Farbar, Roguekiller, crowd inspect, UVK, i tych wyżej wymienionych w 2 poscie. Zrobiłem nawet reinstal Yandexa. Siedzi coś w rejestrze czy w tych dll, może dało by się to ogarnąć, stworzyć Log Trendmicro hijack ale to wymaga zachodu. Jak na mój łeb to mają problem z prywatnością użytkownika. Dobre jest to że co 5-10 min. próbuje łaczyć się z tym adresem od startu systemu.

Co do odpowiedzi to Wiem że się łączą ale to jest jakaś paranoja. Przeglądarka nie była domyślna. Zarządzanie dodatkami - nic tam nie ma prócz prog. clover. Zero paniki.
Dns - wszystko ok.
Przeglądarke miałem z 1 czy 2 msc. a wylazło to ostatnio, napewno ma zaplanowane jakieś zadania
C:/Windows/Tasks

Wielkie dzięki za próbe pomocy . Rozwiąże temat przywracaniem z kopii i po sprawie.

 

[Quń]

A gdybyś tak jednak nie strzelał z haubicy do komara - to wystarczyłoby wyłączyć z autostartu program sender.exe i spokojnie go skasować, po upewnieniu się, że ma podpis yandex'a.
Poza tym:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

DWA rozszerzenia do skasowania.

 

[alco]

Nawet przy pomocy haubicy nie dałem rady. Rozszerzenia i program nie istniały, w pierwszym poście napisałem że kilka rzeczy robiłem, autostart,harmonogram zadań, przegląd ciastek, folderu temp, więcej nie pamiętam Nawet bym tu nie pisał. Ciekawostką jest to że przy zainstalowanej, nawet nie uruchomionej przeglądarce doszły 2 adresy: 93.158.134.82 213.180.193.82, oba łączyły się przez proces svchost, po deinstalacji został tylko stary. Następnie sprawdziłem Cent Browser w wersji portable i doszły kolejne 2 przez svchost 216.58.201.1 - 216.58.210.33. I bądz tu mądry.

 

[Quń]

Te dwa kolejne to google

A co się dzieje, kiedy w ustawieniach wyszukiwania (przypuszczam, że masz win10) wyłączysz wyszukiwanie w internecie?

Oczywiście - zgodnie z całym magicznym rytuałem:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Zeno]

O jak miło, że lokalizator choć raz mi się nie pomylił....

Ale z chińskimi serwerami jest lepsza zabawa... Co lokalizator to inny rejon Chin. .

 

[alco]

Mam windows 7. Chwilowo svchost mi odpuścił, chociaż nie do końca bo nie wiem po co mu połączenie ze stroną dostawcy internetu. W każdym razie ciekawi mnie kilka innych rzeczy,np. po co Enpass-menadżer haseł łączy się z adresem googla 216.58.204.46 lub 216.58.213.110 bez synchronizacji z przeglądarką. Jest kilka innych takich wynalazków, jak: PFGUI.exe podczas instalacji co niektórych programów np. (Shadow Defender czy Cent Browser) próbuje łączyć się z jakimiś adresami, to samo robi Explorator windows, po co na co i jakim sposobem, i nie wiem albo to jest normalne albo czeka mnie cała procedura reinstalacji systemu bo przywróciłem już do pierwszej kopii.

 

[OXYGEN THIEF]

: W każdym razie ciekawi mnie kilka innych rzeczy,np. po co Enpass-menadżer haseł łączy się z adresem googla 216.58.204.46 lub 216.58.213.110 bez synchronizacji z przeglądarką. Jest kilka innych takich wynalazków, jak: PFGUI.exe podczas instalacji co niektórych programów np. (Shadow Defender czy Cent Browser) próbuje łączyć się z jakimiś adresami, to samo robi Explorator windows, po co na co i jakim sposobem, i nie wiem albo to jest normalne albo czeka mnie cała procedura reinstalacji systemu bo przywróciłem już do pierwszej kopii.

Może to statystyki, i wtedy producent wie jak są rozmieszczeni użytkownicy programu, może też sprawdzane są aktualizacje podczas instalacji

 

[Zeno]

Nie pamiętam już kiedy miałem czystą instalkę na dysku. Ale skoro wróciłeś do pierwszej kopii, to możesz sobie zrobić przynajmniej screena wszystkich uruchamianych usług (coś tam możesz wyłączyć typu rejestr zdalny, dostęp zdalny, routing, telnet, proste udostępnianie plików i drukarek, Universal Plug, nie wiem co jeszcze by można) i jakimś dobrym programem pilnować autostartu. Potem możnał porównywać, co doszło itp. Mógłbyś też sam siebie poszpiegować BTF Snifferem - co uruchamiałeś, a co się uruchamiało bez twojej wiedzy.
Sam kiedyś, kiedy zainstalowałem GlassWire, to trochę zgłupiałem, ile rzeczy mi się łączy z jakimiś serwerami. Nawet miałem ambitny plan sprawdzać poszczególne IP i blokować, próbowałem, ale po jakimś czasie odpuściłem. Za dużo tego było - jedne blokowałem, inne dochodziły. Chrzanić, może keylogger wystarczy. Ostatecznie w zaporze można ustawić sobie blokadę ruchu wychodzącego. Tyle, że to nieco paranoiczne.

 

[sowa]

Może programik z tej strony pomoże Ci zidentyfikować IP

Zaloguj lub Zarejestruj się aby zobaczyć!