-
Junior Member
- Вес репутации
- 63
ещё решил посмотреть diskedit'ом начало физического диска, вирусы могут себя прописывать туда. обычно на нулевой стороне первого кластера занят только первый сектор, там таблица разделов, а остальные 63 пустые. Со стороны 1 начинается как я понимаю загрузочная запись. Так вот в 63-м секторе нулевой стороны я обнаружил какие-то данные. Я зазиповал это в файл вместе с первым сектором нулевой стороны (таблица разделов) и первым сектором первой стороны (загр. запись), вдруг и там что есть не то. Но я-то не знаю как в HEX'е понять, что правильно а что нет. главное конечно что в 63-м что-то есть...
в общем прошу прощения что выкладываю пока не просили, но может действительно проблема в этом?
sectors.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Email-Worm.Win32.Brontok.q - удаляется успешно KIS 6 и Cure-It.
Он был и в первых логах. Значит, рассуждаем, лезет из сетки от соседа, или из "восстановления системы". Он определяется, как почтовый червь, но возможна новая модификация.
Я бы, честно говоря, попробовал Cure-It или переустановку с обновлением баз Dr.WEb.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
переустановку виндов вы имеете в виду? с нуля?
KIS6 это что такое?
у меня DrWeb, это даже вроде круче чем CurIt? созданные вирусом exe файлы он удаляет, а вот где сидит вирус непонятно. может и в восстановлении, потому что мне, бывало, после перезагрузки выскакивало раз по пять окно "система восстановлена после ошибки", хотя само восстановление системы у меня отключено. может, в этом ключ? Я разговаривал со своим провайдером они говорят что если ничего не расшаривать и не скачивать, вирус сам по себе пролезть не может - он должен сидеть внутри. тем более что, повторяю, второй мой компьютер жив и здоров.
-
Винды трогать не надо.
KIS6 - Касперский Интернет Секьюрити.
DrWeb, он, конечно, круче, но так как он стоял в момент заражения. Есть вероятность, что DrWeb пострадал. Cure-It - утилита, с постоянно обновляемыми базами DrWeb. Ее не надо инсталлировать. Скачать и просто прогнать, желательно в Safe Mode ( F8 при загрузке).
Без Вашего расшаривания в компьютере довольно много ресерсов, на которые можно получить доступ при отсутствии пароля на учетку "Администратор".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
только что проверил CureIT - нашёл вирус Program.Srvany в файле srvany.exe. Как я понимаю эта прога имеет отношение к сети, и может в этом и есть суть?
DrWeb переустановить?
-
srvany используется для запуска reset5, для работы в Вашей нелицензионной системе.
Про него вроде бы писали, что его Вам нужно профиксить в HijackThis.
Код:
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
CureItom искали в Safe Mode?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
искал, нашел ещё как обычно несколько backdoor'ов.
а если пофиксить так оно наверно начнет выскакивать про активацию, вроде на форумах пишут что это для этого. не знаю
-
Попробуйте действительно удалить ДрВеб и поставить КИС http://www.kaspersky.com/productupda...pter=186437046
-
-
Junior Member
- Вес репутации
- 63
из лога highjack эти строки уже пропали после того как drweb переименовал srvany
а касперский денег стоит немаленьких
-
Junior Member
- Вес репутации
- 63
srvany ни при чём, вирусы опять полезли
-
Касперского можно поставить shareware. За 30 дней, думаю, он с вирусом справится. Потом, на чистый компьютер, поставить Dr.Web
Раньше была пробная версия, бета от Касперского. Ссылки давали в темах, связанных с Look2Me.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
ставить именно КИС или Антивирус?
-
Junior Member
- Вес репутации
- 63
вообще интересно что за вирусную атаку спайдер обнаруживает и вылечивает ровно 59 файлов с завидным постоянством. и всегда только c:\documents and settings\all users
и это при том что упрощённый доступ к общим файлам я отключил.
попробую КИС
-
Сообщение от
elangelo
ставить именно КИС или Антивирус?
Ставить именно КИС. Ставить всё что там есть кроме антиспама.
-
-
Junior Member
- Вес репутации
- 63
пока ничего нового, тоже только нашёл те же файлы, сгенеренные вирусом при последней атаке. потом посмотрим, если не будет глючить и не будет больше находить в реальном времени вирусы, можно будет предположить что вирус заразил спайдер и тот типа сам себя загонял. такое вообще возможно?
-
Junior Member
- Вес репутации
- 63
нет вот с касперским вирус тоже выскочил из ниоткуда. правда касперский сразу удалил, и заражённые файлы по десять раз не появлялись. пока ничего нового не обнаружено, я уже сомневаюсь будет ли прок
-
Ничего из ниоткуда не берется, особенно в компьютерах. Можно посмотреть в логе Касперского, чего он лечил.
А пароль на "Администратора" все-таки надо поставить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
пароль на администратора я поставил ещё сегодня утром
а что я там увижу в логе?
-
Сообщение от
elangelo
...а что я там увижу в логе?
-ну если сами ничего не увидите, то нам процитируйте, может общими усилиями и разберёмся
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 63
что я обнаружил своим невооружённым глазом :
в основном отчёте проверки просто указаны удалённые заражённые файлы, по-моему ничего нового но до конца не уверен
а вот интересно в файле report.rpt там куча каких-то веб-адресов в том числе какие-то казино - может он уловил какую-то активность в этом направлении? а это уже похоже на вирус
может быть кто посмотрит...
report.zip