ЯНДЕКС шпионит за вашим компьютером через Punto Switcher 3.1.1 ?! даже после полного его удаления!!

Еще в процессе установки автоматического переключателя раскладки клавиатуры Punto Switcher 3.1.1 от компании Яндекс на один из компов Аутпост Файерволл сообщил, что Свичер пытается получить доступ к Фоновой Интеллектуальной Службе Передачи Файлов (Background Intelligent Transfer Service, BITS). По умолчанию эта служба стартует в автомате и используется для отправки инфы о системе и получения файлов при автообновлении.

Я ответил "запретить".
Более того, зная что у свитчера при установке включен режим поиска обновлений, после установки галку "искать обновления" убрал.
И думал что на этом все.
Я ОШИБСЯ.

----------------------<cut>----------------------

Через несколько минут svchost.exe "ломанулся" по 80 порту аж на два сервера яндекса и продолжал пытаться это делать с регулярным постоянством.
Само собой что я пресек попытки файерволлом, но не насовсем ( запретить доступ к сайту ххх ), а командой "блокировать однократно".
Стал искать причину, перерыл весь реестр, удалил из него в ключах Свичера линки на сервера обновления и помощи яндекса.
Подумал, что теперь то уж точно все и перезагрузился.
ЕЩЕ РАЗ ОШИБСЯ.
попытки коннекта продолжились.

Полностью деинсталлировал Свитчер, стер все его хвосты с диска, прогнал очистку реестра несколькими программами, стер все из темпа.
еще раз перезагрузился, считая что УЖ ТЕПЕРЬ-ТО ТОЧНО СОВСЕМ ОКОНЧАТЕЛЬНО ВСЕ!

И ЕЩЕ РАЗ ОШИБСЯ!!!

Попытки соединения с яндексом через svchost.exe не прекратились ДАЖЕ ПОСЛЕ УДАЛЕНИЯ пунто-свичера!!!

( г-да пунто-программеры,
в приличном обществе за такие несанкционированные пользователем обращения в интернет — плюют в рожу,
а уж за оставленные после ан-инсталла хвосты — вообще, канделябрами бьют !!!)

полез еще раз в реестр. и таки нашел причинное место и победил.

1. Открываем
Мой компьютер\Управление\Службы

останавливаем службу BITS
(временно или совсем запрещаем старт, учтите, что без нее не работает автообновление винды)

2. Идем в папку
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\
удаляем два файла
qmgr0.dat
qmgr1.dat
(можно посмотреть любым редактором — ссылка на сайты яндекса находится там)

доступ к файлам блокируется процессом svchost.exe, так что используйте Unlocker Assistant или нечто подобное.
(убивать свцхост процесс-киллером нельзя — начнется перезагрузка. надо именно лишь разблокировать доступ к файлам!)

3. Рестартуем BITS
проверяем: файлы появятся вновь, но уже пустые, без ссылок на яндекс.

проверяем результат (имеющий аутпост файерволл или нечто подобное, да увидит) — svchost.ехе больше не лезет в инет на эти сайты.

4. СУГУБО ИМХО.
эта папка и два этих файла в обычном случае вообще не нужны..
во всяком случае на машине без Пунто-Свичера ничего такого нет,
при том что БИТС выполняется автоматом .

поэтому "для добивания шпиёна" открываем regedit

ищем ключевое слово BITS_metadata

и в трех местах удаляем из реестра "на фиг с пляжа"
запись о таком параметре со ссылкой как раз на эту папку:
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\

в моем реестре такого параметра ключа никогда не было и нет,
на вылеченном компе теперь тоже

какие еще подарочки, не удаляемые при ан-инсталле, успел подкинуть Свичер в систему ( какие-нибудь длл-ки, либ-ы, драйверы и т.д.) — пока не знаю.
очень хочется надеяться, что никаких.
но "Будем искать!"(с)

Ну и вопросы к пунто-программерам и руководству яндекса:

- зачем вам понадобилось закладывать такую гадость в Свичер?

- что еще кроме собственно Свичера устанавливается в систему?

- какие данные вы запрашиваете или передаете через БИТС?

П.С. знаю что сейчас появилось много готовых сборок винды в которых заранее включен Свичер и люди ими пользуются.
использующие такие сборки — вы тоже "в списке стукачей" яндекса.
уже проверено на практике. в машине знакомого так и было. удалили по моей методе.

П.П.С. Эту мою инструкцию о том как вылечить машину,
я поместил на страничку Пунто-Клуба сайта ЯНДЕКС в ответ на вопрос одного из пользователей, зачем Свичер лезет в интернет.
ОНА НЕ ПРОВИСЕЛА НА САЙТЕ ЯНДЕКСА И ПЯТИ МИНУТ!!!
даже без ответа типа, "спасибо за найденную ошибку в нашей программе, в ближайшее время она будет исправлена".

мой вывод:
вполне возможно, что ЭТО все-таки НЕ ОШИБКА, а СКРЫТАЯ ФУНКЦИЯ программы Punto-Switcher от компании Яндекс!
и ЯНДЕКСУ или его заказчику НЕ НУЖНО, ЧТОБЫ ЛЮДИ ЗНАЛИ КАК ОТКЛЮЧИТЬ ЭТУ ФУНКЦИЮ!!!

----------------

Если Вы найдете эту новость полезной, то, пожалуйста , не сочтите за труд плюсануть

Яндекс, Пунто Свичер, шпионский софт, Yandex, Punto Switcher, spyware

−5132+

945

zetgreen / serfar doc / Обзоры интернет / на индексе / 1 сентября 2010, 20:39 / источник

Рейтинг: ↓0+

MaxiS06 27 августа 2011, 17:35 #

И фиг, удалить не дает. Господи, дай мне встретиться с сотрудниками Яндекса!
Рейтинг: ↓0+

MaxiS06 27 августа 2011, 17:33 #

ааааааааааааааа! По ходу реально факт! Капец от яндекса хвостов... Он без вашего ведома сохраняет куки, с помощью которых можно в последствии восстанавливать пароли от аккаунтов, получать ваши личные данные. Я не устанавливал Яндекс, по ходу он сам лезет через какие-то порты. Я только что вбил в поиск, — подчеркиваю, — у меня не стоит Яндекс, — мать честная! Там все куки... Хвостов на 20 метров с копейками... Все куки со всех сайтов которые я посещал. Блиин, я так хочу в глазки ясные разробам посмотреть! Я задолбался сидеть на подставных майлах, аккаунтах. Задолбался проксю юзать из-за этого инет тормозит. Там через прокси террабайты данных проходят...
Рейтинг: ↓0+

Keisy77 18 ноября 2010, 05:29 #

Я был очень-очень удивлен, когда "Agnitum" начал орать о нападениях, оказалось, что все дело в Яндекс баре встроенном в антивирус "ESET NOD32", правда в моем случае ссылка из реестра на эту папку была только одна. Интересно, какой еще полезный софт содержит в себе "лошадей"???
Рейтинг: ↓0+

russssss 12 сентября 2010, 10:34 #

а кто знает достойную альтернативу? или может установить старую версию, до покупки его Яндексом
Рейтинг: ↓0+

russjura 11 сентября 2010, 23:08 #

Спасибо за статейку! Очень вовремя!
Рейтинг: ↓0+

alexdc 11 сентября 2010, 08:33 #

Хмм ну вот сяду я на 2к винду а там битса вообще нет(точнее он там уже ни к чему ибо все обновы вышли и больше не будет), ну и как бедненький яндекс будет инфу-то получать?
Рейтинг: ↓0+

sarangas 10 сентября 2010, 08:42 #

zetgreen а вот тебе еще тема для заказухи и черного пиара.

ПРИНТЕР ИЗВЕСТНОЙ ТРАНСНАЦИОНАЛЬНОЙ КОМПАНИИ!??!!!! ПРОДОЛЖАЕТ ПЕЧАТАТЬ!!!!!!!! ПОСЛЕ ОТМЕНЫ ЗАДАНИЯ!!!!!!!!! И ПОСЛЕ ВЫДЕРГИВАНИЯ ПРОВОДОВ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

оДНАЖДЫ я РЕШИЛ напечатать страничку текста на принтере известной компании, вставил последнюю бумажку???! НАЖАЛ кнопку ПЕЧАТЬ, бумага пошла внутрь.

ВНИМАНИЕ!!! И тут Я резко передумал и выдернул ПРОВоД!!!! из принтера НО!?!?!? Принтер продолжил НЕСАНКЦИОНИРОВАННУЮ!! печать

СВОЛОЧИ!!!!

ВОПРОС РУКОВОДСТВУ КОМПАНИИ!!! ОТВЕТ ХОЧУ ПОЛУЧИТЬ НЕМЕДЛЕННО??!!

1. КТО ВОЗМЕСТИТ МНЕ СТОИМОСТЬ БУМАГИ?????????????
2. что БУДЕТ СЛЕДУЮЩИМ, ЧТО ЕЩЕ НЕСАНКЦИОНИРОВАННОГО ПО НОЧАМ ДЕЛАЕТ ПРИНТЕР КОГДА НЕ ПЕЧАТАЕТ???
3. КАКАЯ ОРГАНИЗАЦИЯ ИЗ ГОРОДА ЛЕНГЛИ!!! ЗАКАЗАЛА ВАМ ПРОИЗВОДСТВО ТАКОГО ПРИНТЕРА

ЕСЛИ ВЫ НЕМЕДЛЕННО НЕ ПРИМИТЕ МЕРЫ Я ВЫНЕСУ ПРИНТЕР ИЗ КОМНАТЫ НА КУХНЮ!!!!!! А ТАМ ВРЕДНЫЕ ПАРЫ ОТ БОРЩА!!! И ПРИНТЕР МОЖЕТ ИСПОРТИТСЯ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Удачи тебе zetgreen действуй дальше :)
Рейтинг: ↓0+

akosh666 9 сентября 2010, 23:53 #

Именно поэтому я его всегда не любил!!!
Ставим на ПК Kerio для надежности, а все остальное подозрительное ПО удаляем для страховки!
Да и не забудьте добавить к данному блюду какой-нибудь антивирус (у меня Eset Smart Security) и все, кушать подано — садитесь жрать))))
А Яндекс в топку!!! (Поисковик г...но, почта г...но, пунто г...но — вобщем еще чуть-чуть и сойдет за госучреждение)
Рейтинг: ↓0+

snap 8 сентября 2010, 18:05 #

а что Вы хотели. не только пунто следит.

и другие проги тоже, даже офис.

и убунта тоже.

мы уже давно под колпаком ))) чему тут удивляться
Рейтинг: ↓0+

bigjo 8 сентября 2010, 15:22 #

Винда — зло!
Уж года 3 как пересел на убунту и дома, и на работе, и не жалею.
Понавесите на дырявые форточки дырявого софта и плачетесь, что все тормозит и лезет куда-то не туда.
З.Ы.: Надо будет в ГП в АД добавить пс в запрещенные...
Рейтинг: ↓0+

da99er 8 сентября 2010, 13:55 #

Вдруг кто не знает еще
http://habrahabr.ru/blogs/infosecurity/103433/#comment_3218596
- Рейтинг: ↓0+
  
  ArtD 8 сентября 2010, 21:01 #
  
  Если Вы думаете, что кого-либо здесь интересует суть проблемы, то, похоже, ВЫ заблуждаетесь. У части аудитории — паранойя (усугубляющаяся боязнью попасться за использование контрафакта), а у остальных — повод похоливарить. И рассказать всем (в очередной раз) про преимущества Линукс. Что тоже, с медицинской точки зрения, заслуживает внимание психиатра. Ибо латентный эксгибиционизм в запущенной фазе.
Рейтинг: ↓0+

nick108 8 сентября 2010, 12:11 #

У тебя в компе библиотека кой все это дело подкачивает, причем тут пунто свитчер? Писатель?
Рейтинг: ↓0+

jiemyp 8 сентября 2010, 06:44 #

а кто сказал что тоже самое не делает windows ? так что бояться за один только яндекс смысла нет. Черный пиар не более.
Рейтинг: ↓0+

mart2383 8 сентября 2010, 06:36 #

http://italo.bananawars.ru искать етот линк лутше всего поисковиком маил.ру должна появится моя страничка с вопросом хочеш ли ты стать грозным диктатором как итало? жмешь на Перейти на: italo.bananawars.ru которое появится в верхнем левом углу выделено синим цветом ,зарегистрироватса)и становишся моим рефералом
Рейтинг: ↓0+

hyrel 7 сентября 2010, 16:29 #

Я ставлю 3.0 версию и не даю пунто свичеру обновляться именно за всю эту ботву с Яндексом. А что вы хотите в этом самом лукавом из миров? Всё поражено этой заразой.
Рейтинг: ↓1+

discent 7 сентября 2010, 10:36 #

это КОНВЕРТЕР вашихМАНИ в ЯндексМани ;)
Рейтинг: ↓0+

mavashi 7 сентября 2010, 10:14 #

Всё верно- даже после деинсталляции ломится в инет, сохраняет файлы, использует svchost и службу BITS. Всё что написано- верно, подтверждаю. Ложечки то я нашёл но осадок неприятный остался... Учитывая что пунто в состоянии вести дневник, даже если не поставить "галочку",- вариант что он преспокойно может работать как кейлоггер не исключаю. Что до https и sql- совсем не обязательно, вполне достаточно помещать текстовый файл в запароленный архив и отправлять его без расширения или с левым расширением.

Скажем так, в плане шпионства дневник пунто хорошо себя зарекомендовал.

Не буду спешить с выводами.
- Рейтинг: ↓0+
  
  sarangas 7 сентября 2010, 11:01 #
  
  Попробовал, у меня при сброшенной галке дневник не ведется :(
Рейтинг: ↓0+

zetgreen 6 сентября 2010, 18:53 #

по-моему тему уже давно можно закрыть.

на иксбите проведен достаточно полный технический разбор.
как что работает и отсылается — выяснено.
яндекс факт отсылки признал, представив его невинной статистикой.

квалифицировать факт с юридической точки зрения: считается ли это шпионажем или нет — я не собирался.
по-моему мнению, это весьма бизко.

опасно ли это для пользователя или нет — пусть каждый решает сам.

тому кто просто пользуется компом для развлечения — может и нет.
а у того, кто ставит свичер, например, для удобства написания статей на иностранных языках или более серьезных вещей — вполне может возникнуть и другое мнение.
- Рейтинг: ↓0+
  
  TechnoByte 8 сентября 2010, 13:45 #
  
  а где ссылка на ibxt ? а то хотелосm бы посомтреть чего там шлеться и чего там яндекс признал..
Рейтинг: ↓0+

baalexxx 6 сентября 2010, 15:27 #

Инструкция провисела в Яндекс-клубе 5 минут, потому что была запощена в раздел Punto Switcher для MacOs. Это ж надо быть таким "умным".
- Рейтинг: ↓0+
  
  lazy_anty 6 сентября 2010, 16:31 #
  
  Яблочники, посмотрите, общается ли punto с Интернет, если явно выключена фукнция обновления, и закроем тему? ;)
Рейтинг: ↓0+

lazy_anty 6 сентября 2010, 13:12 #

Отчасти, запах подставы — это обмен _бесплатной_ программы с неким центральным узлом по https. И без ssl перехват трафика очень маловероятен и никому нафиг не сдался — если это не личные данные пользователя, которые имело бы смысл шифровать, кому нужен "идентификатор программы" (бесплатной, опять же нужно напомнить!)
- Рейтинг: ↓0+
  
  sarangas 6 сентября 2010, 13:52 #
  
  Похоже на заказуху, сейчас посмотрел. Zetgreen, кое-где под другими никами, зарегился 1 сентября на всех крупных форумах где обсуждают софт, включая украинские. И с этого момента постит во все дыры тему: "Яндекс шпионит", что там с Punto Switcher ему пох. Как у Гебельса: "Ложь должна быть чудовищной, чтобы в нее поверили" :)
  - Рейтинг: ↓0+
    
    zetgreen 6 сентября 2010, 18:37 #
    
    не регился я под ругими никами. просто кто-то счел нужным перепечатать мой пост.
    это ваша ложь — чем чудовищнее — тем лучше.
    
    кстати, может вы еще запостите номер счета на который злобные враги яндекса , якобы заказавшие мне статью, якобы уже перечислили мне за нее многомиллионный гонорар?
    
    а прием ваш стар как вся контрпропаганда:
    если не можешь опровергнуть факты — пытайся дискредитировать человека из изложившего :)
    
    Рейтинг: ↓0+
    
    zetgreen 6 сентября 2010, 18:56 #
    
    или вы намерены сказать,
    что уже лично передали мне на красной площади чемодан с моей долей за продажу секретов и родины? :)
    
    Рейтинг: ↓0+
    
    zetgreen 6 сентября 2010, 18:59 #
    
    я даже не удивлюсь если вы и фотку соответствующую сюда запостите :)
    
    Рейтинг: ↓0+
    
    sarangas 6 сентября 2010, 19:23 #
    
    И здесь не регился? http://forum.ixbt.com/users.cgi?id=info:zet_green Раньше софт не интересовал, а с 1 сентября вдруг стало очень интересно. А ту вот http://forum.ru-board.com/profile.cgi?action=show&member=norb99 никто из обычных участников форума не перепостил, пришлось самому? :)