ЯНДЕКС шпионит за вашим компьютером через Punto

alex779, 3.09.2010 - 11:08

Еще в процессе установки автоматического переключателя раскладки клавиатуры Punto Switcher 3.1.1 от компании Яндекс на один из компов Аутпост Файерволл сообщил, что Свичер пытается получить доступ к Фоновой Интеллектуальной Службе Передачи Файлов (Background Intelligent Transfer Service, BITS). По умолчанию эта служба стартует в автомате и используется для отправки инфы о системе и получения файлов при автообновлении.

Я ответил "запретить".
Более того, зная что у свитчера при установке включен режим поиска обновлений, после установки галку "искать обновления" убрал.
И думал что на этом все.
Я ОШИБСЯ.

--------------
Через несколько минут svchost.exe "ломанулся" по 80 порту аж на два сервера яндекса и продолжал пытаться это делать с регулярным постоянством.
Само собой что я пресек попытки файерволлом, но не насовсем ( запретить доступ к сайту ххх ), а командой "блокировать однократно".
Стал искать причину, перерыл весь реестр, удалил из него в ключах Свичера линки на сервера обновления и помощи яндекса.
Подумал, что теперь то уж точно все и перезагрузился.
ЕЩЕ РАЗ ОШИБСЯ.
попытки коннекта продолжились.

Полностью деинсталлировал Свитчер, стер все его хвосты с диска, прогнал очистку реестра несколькими программами, стер все из темпа.
еще раз перезагрузился, считая что УЖ ТЕПЕРЬ-ТО ТОЧНО СОВСЕМ ОКОНЧАТЕЛЬНО ВСЕ!

И ЕЩЕ РАЗ ОШИБСЯ!!!

Попытки соединения с яндексом через svchost.exe не прекратились ДАЖЕ ПОСЛЕ УДАЛЕНИЯ пунто-свичера!!!

( г-да пунто-программеры,
в приличном обществе за такие несанкционированные пользователем обращения в интернет — плюют в рожу,
а уж за оставленные после ан-инсталла хвосты — вообще, канделябрами бьют !!!)

полез еще раз в реестр. и таки нашел причинное место и победил.

1. Открываем
Мой компьютер\Управление\Службы

останавливаем службу BITS
(временно или совсем запрещаем старт, учтите, что без нее не работает автообновление винды)

2. Идем в папку
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\
удаляем два файла
qmgr0.dat
qmgr1.dat
(можно посмотреть любым редактором — ссылка на сайты яндекса находится там)

доступ к файлам блокируется процессом svchost.exe, так что используйте Unlocker Assistant или нечто подобное.
(убивать свцхост процесс-киллером нельзя — начнется перезагрузка. надо именно лишь разблокировать доступ к файлам!)

3. Рестартуем BITS
проверяем: файлы появятся вновь, но уже пустые, без ссылок на яндекс.

проверяем результат (имеющий аутпост файерволл или нечто подобное, да увидит) — svchost.ехе больше не лезет в инет на эти сайты.

4. СУГУБО ИМХО.
эта папка и два этих файла в обычном случае вообще не нужны..
во всяком случае на машине без Пунто-Свичера ничего такого нет,
при том что БИТС выполняется автоматом .

поэтому "для добивания шпиёна" открываем regedit

ищем ключевое слово BITS_metadata

и в трех местах удаляем из реестра "на фиг с пляжа"
запись о таком параметре со ссылкой как раз на эту папку:
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\

в моем реестре такого параметра ключа никогда не было и нет,
на вылеченном компе теперь тоже

какие еще подарочки, не удаляемые при ан-инсталле, успел подкинуть Свичер в систему ( какие-нибудь длл-ки, либ-ы, драйверы и т.д.) — пока не знаю.
очень хочется надеяться, что никаких.
но "Будем искать!"(с)

Ну и вопросы к пунто-программерам и руководству яндекса:

- зачем вам понадобилось закладывать такую гадость в Свичер?

- что еще кроме собственно Свичера устанавливается в систему?

- какие данные вы запрашиваете или передаете через БИТС?


П.С. знаю что сейчас появилось много готовых сборок винды в которых заранее включен Свичер и люди ими пользуются.
использующие такие сборки — вы тоже "в списке стукачей" яндекса.
уже проверено на практике. в машине знакомого так и было. удалили по моей методе.

П.П.С. Эту мою инструкцию о том как вылечить машину,
я поместил на страничку Пунто-Клуба сайта ЯНДЕКС в ответ на вопрос одного из пользователей, зачем Свичер лезет в интернет.
ОНА НЕ ПРОВИСЕЛА НА САЙТЕ ЯНДЕКСА И ПЯТИ МИНУТ!!!
даже без ответа типа, "спасибо за найденную ошибку в нашей программе, в ближайшее время она будет исправлена".

мой вывод:
вполне возможно, что ЭТО все-таки НЕ ОШИБКА, а СКРЫТАЯ ФУНКЦИЯ программы Punto-Switcher от компании Яндекс!
и ЯНДЕКСУ или его заказчику НЕ НУЖНО, ЧТОБЫ ЛЮДИ ЗНАЛИ КАК ОТКЛЮЧИТЬ ЭТУ ФУНКЦИЮ!!!

Nebel, 3.09.2010 - 13:07

Punto Switcher, версия 2.9.0.0
никогда никуда не лез, функции свои выполняет исправно. что еще нужно?

stepanyk, 3.09.2010 - 14:46

А если сниффером послушать? У меня в логах маршрутизатора никаких левых заходов на яндекс не наблюдается, хотя пунто стоит не на одном системнике.

sicdezmond, 3.09.2010 - 15:07

пользуйтесь кей свитчером )

tattaki, 3.09.2010 - 16:27

alex779 Сдается мне уважаемый , что это плагиат
Разубедите меня , буду только рад
Если Вы окажитесь zet_green я естественно извинюсь

alextax, 3.09.2010 - 17:02

я вот здесь прочитал, там сейчас ответ яндексят есть, написано как с БИТС разобраться. Вроде не реклама другого ресурса, там копировать много всего, В адресе дефис на точку надо заменить, а то не вставляется в тег)

alex779, 3.09.2010 - 18:15

Дорогой tattaki
я это сообщение действительно скопировал,извиняюсь что не указал источника.Просто этой темой хотел предупредить общество

HugoBo-SS, 3.09.2010 - 19:40

Вотпервоисточник и оффответ:

banzay, 3.09.2010 - 21:09

В файлах qmgr0.dat и qmgr1.dat никаких ссылок не было.
Они удалились без всяких унлокеров.
В реестре была только одна запись на указанную папку.

Punto 3.1.1 сборка 72
Ставлю ее всегда очень внимательно и всякие яндекс-бары отключаю на корню.
Я и раньше недолюбливал эту контору, теперь вообще никогда не зайду туда.

Diplodok, 3.09.2010 - 21:25

1) К счастью, автообновами винды не пользуюсь - считаю, что фигня всё это
2) К сожалению, пунто, который свитчер для меня бесполезен
P.S. Мои мнения не обязаны совпадать с вашими

banzay, 3.09.2010 - 21:33

Пунтой пользуюсь постоянно, потому как печатаю как стреляю - с двух рук в обеих раскладках.

Diplodok, 3.09.2010 - 21:59

banzay, счастливчик А у меня 4 раскладки

Bulbulator, 3.09.2010 - 23:48

Описанное выше - бред, имхо. На кой хрен яндексу нужны данные с компа юзера? А всяким там аутглюк файоволлам, которые лишь создают видимость защиты, но не защищают, верить не стоит. Да ещё и не стоит доверять потому что на максимальной защите у аутглюка файрволла постоянные атаки типа сканирование портов происходит - параноидальная мания преследования. Причём сканирование портов он определяет тогда, когда например антивирус обновитсья пытается, а число запросов на юзерский комп для получения необходимых для обновления баз данных превышает то, какое маниакальный аутглюк файрволл считает нормальным.

Metik, 4.09.2010 - 13:06

Никакой это не бред! Спасибо автору за поиски решения, punto удалять не собираюсь, но лечение произвел... в свое время даже отлавливал по каким адресам идет долбежка на яндекс, и подсоединяюсь к вопросу - "зачем им это нужно" ???
Вопрос конечна еще и к микрософту, нахрена оставлять в системе такие дыры ?
Вот кстати как это выглядело у меня...

Dvaedfug, 26.01.2011 - 17:49

Bulbulator,
его просто надо уметь настраивать и не более

DarckImperator, 26.01.2011 - 18:09

не кто не замечал такого когда удаляешь майл спутник у меня каспер говорит что это шпион по мне дак это явный шпион если палит где ты находишся

nokeMoH, 16.08.2011 - 23:18

Скажите пожалуйста.. я если честно был немного удивлён.. вконтакт пришло сообщение.. и на почту пришло об этом уведомление, о том, что +1 сообщение таам.. И помимо уведомления, было для видимо "экономии времени", что бы не заходить вконтакт и не тратиться на кликание по ссылкам, процитированно в почте ПОлный текст сообщения.. это вообще как.. нормально.?.. а если бы там были личные данные, секретная информация.?., так разве должно быть.?.. Это получается что любой теперь может увидеть мои сообщения, и вопрос вообще как это.?.. пароль знаем только я и Дуров..

Котенка, 16.08.2011 - 23:21

nokeMoH, а вашу почту знают человек 50? Почта - это тоже личные данные, секретная информация. Не хотите такого - отключите в настройках оповещения. Вы не поверите, но сообщения из Контакта могут приходить даже в аську )))) Посмотрите свои настройки

nokeMoH, 16.08.2011 - 23:28

Котенка, хм.. спасибо большое.. как-то не подумали сразу про настройки из соц.сети.. почему-то обвинить в этом захотелось сразу Почту, что она как-то лезет туда, куда нинад.. раньше такого не замечали почему-то, скорее всего из-за короткости сообщений.. а тут целую поэму прям прислали, и сразу бросилось в глаза.. спасибо ещё раз за помощь..