За вами шпионит интернет

Еще в процессе установки автоматического переключателя
раскладки клавиатуры Punto Switcher 3.1.1 от компании Яндекс на один из компов
Аутпост Файерволл сообщил, что Свичер пытается получить доступ к Фоновой
Интеллектуальной Службе Передачи Файлов (Background Intelligent Transfer
Service, BITS). По умолчанию эта служба стартует в автомате и используется для
отправки инфы о системе и получения файлов при автообновлении.

Я ответил “запретить”.

Более того, зная что у свитчера при установке включен режим
поиска обновлений, после установки галку “искать обновления” убрал.

И думал что на этом все.

Я ОШИБСя

Через несколько минут svchost.exe “ломанулся” по
80 порту аж на два сервера яндекса и продолжал пытаться это делать с регулярным
постоянством.

Само собой что я пресек попытки файерволлом, но не насовсем
( запретить доступ к сайту ххх ), а командой “блокировать
однократно”.

Стал искать причину, перерыл весь реестр, удалил из него в
ключах Свичера линки на сервера обновления и помощи яндекса.

Подумал, что теперь то уж точно все и перезагрузился.

ЕЩЕ РАЗ ОШИБСЯ.

попытки коннекта продолжились.

Полностью деинсталлировал Свитчер, стер все его хвосты с
диска, прогнал очистку реестра несколькими программами, стер все из темпа.

еще раз перезагрузился, считая что УЖ ТЕПЕРЬ-ТО ТОЧНО СОВСЕМ
ОКОНЧАТЕЛЬНО ВСЕ!

И ЕЩЕ РАЗ ОШИБСЯ!!!

Попытки соединения с яндексом через svchost.exe не
прекратились ДАЖЕ ПОСЛЕ УДАЛЕНИЯ пунто-свичера!!!

( г-да пунто-программеры,

в приличном обществе за такие несанкционированные
пользователем обращения в интернет — плюют в рожу,

а уж за оставленные после ан-инсталла хвосты — вообще,
канделябрами бьют !!!)

полез еще раз в реестр. и таки нашел причинное место и
победил.

1. Открываем

Мой компьютерУправлениеСлужбы

останавливаем службу BITS

(временно или совсем запрещаем старт, учтите, что без нее не
работает автообновление винды)

2. Идем в
папку

c:Documents
and SettingsAll UsersApplication DataMicrosoftNetworkDownloader

удаляем два файла

qmgr0.dat

qmgr1.dat

(можно посмотреть любым редактором — ссылка на сайты яндекса
находится там)

доступ к файлам блокируется процессом svchost.exe, так что
используйте Unlocker Assistant или нечто подобное.

(убивать свцхост процесс-киллером нельзя — начнется
перезагрузка. надо именно лишь разблокировать доступ к файлам!)

3. Рестартуем BITS

проверяем: файлы появятся вновь, но уже пустые, без ссылок
на яндекс.

проверяем результат (имеющий аутпост файерволл или нечто
подобное, да увидит) — svchost.ехе больше не лезет в инет на эти сайты.

4. СУГУБО ИМХО.

эта папка и два этих файла в обычном случае вообще не
нужны..

во всяком случае на машине без Пунто-Свичера ничего такого
нет,

при том что БИТС выполняется автоматом .

поэтому “для добивания шпиёна” открываем regedit

ищем ключевое слово BITS_metadata

и в трех местах удаляем из реестра “на фиг с
пляжа”

запись о таком параметре со ссылкой как раз на эту папку:

c:Documents
and SettingsAll UsersApplication Dat
aMicrosoftNetworkDownloader

в моем реестре такого параметра ключа никогда не было и нет,

на вылеченном компе теперь тоже

какие еще подарочки, не удаляемые при ан-инсталле, успел
подкинуть Свичер в систему ( какие-нибудь длл-ки, либ-ы, драйверы и т.д.) —
пока не знаю.

очень хочется надеяться, что никаких.

но “Будем искать!”(с)

Ну и вопросы к пунто-программерам и руководству яндекса:

– зачем вам понадобилось закладывать такую гадость в Свичер?

– что еще кроме собственно Свичера устанавливается в
систему?

– какие данные вы запрашиваете или передаете через БИТС?

П.С. знаю что сейчас появилось много готовых сборок винды в
которых заранее включен Свичер и люди ими пользуются.

использующие такие сборки — вы тоже “в списке
стукачей” яндекса.

уже проверено на практике. в машине знакомого так и было.
удалили по моей методе.

П.П.С. Эту мою инструкцию о том как вылечить машину,

я поместил на страничку Пунто-Клуба сайта ЯНДЕКС в ответ на
вопрос одного из пользователей, зачем Свичер лезет в интернет.

ОНА НЕ ПРОВИСЕЛА НА САЙТЕ ЯНДЕКСА И ПЯТИ МИНУТ!!!

даже без ответа типа, “спасибо за найденную ошибку в
нашей программе, в ближайшее время она будет исправлена”.

мой вывод:

вполне возможно, что ЭТО все-таки НЕ ОШИБКА, а СКРЫТАЯ
ФУНКЦИЯ программы Punto-Switcher от компании Яндекс!

и ЯНДЕКСУ или его заказчику НЕ НУЖНО, ЧТОБЫ ЛЮДИ ЗНАЛИ КАК
ОТКЛЮЧИТЬ ЭТУ ФУНКЦИЮ!!!

admin