Backdoor.Generoc.1138

[elangelo]

ещё решил посмотреть diskedit'ом начало физического диска, вирусы могут себя прописывать туда. обычно на нулевой стороне первого кластера занят только первый сектор, там таблица разделов, а остальные 63 пустые. Со стороны 1 начинается как я понимаю загрузочная запись. Так вот в 63-м секторе нулевой стороны я обнаружил какие-то данные. Я зазиповал это в файл вместе с первым сектором нулевой стороны (таблица разделов) и первым сектором первой стороны (загр. запись), вдруг и там что есть не то. Но я-то не знаю как в HEX'е понять, что правильно а что нет. главное конечно что в 63-м что-то есть...
в общем прошу прощения что выкладываю пока не просили, но может действительно проблема в этом?

sectors.zip

[PavelA]

Email-Worm.Win32.Brontok.q - удаляется успешно KIS 6 и Cure-It.
Он был и в первых логах. Значит, рассуждаем, лезет из сетки от соседа, или из "восстановления системы". Он определяется, как почтовый червь, но возможна новая модификация.
Я бы, честно говоря, попробовал Cure-It или переустановку с обновлением баз Dr.WEb.

[elangelo]

переустановку виндов вы имеете в виду? с нуля?
KIS6 это что такое?
у меня DrWeb, это даже вроде круче чем CurIt? созданные вирусом exe файлы он удаляет, а вот где сидит вирус непонятно. может и в восстановлении, потому что мне, бывало, после перезагрузки выскакивало раз по пять окно "система восстановлена после ошибки", хотя само восстановление системы у меня отключено. может, в этом ключ? Я разговаривал со своим провайдером они говорят что если ничего не расшаривать и не скачивать, вирус сам по себе пролезть не может - он должен сидеть внутри. тем более что, повторяю, второй мой компьютер жив и здоров.

[PavelA]

Винды трогать не надо.
KIS6 - Касперский Интернет Секьюрити.

DrWeb, он, конечно, круче, но так как он стоял в момент заражения. Есть вероятность, что DrWeb пострадал. Cure-It - утилита, с постоянно обновляемыми базами DrWeb. Ее не надо инсталлировать. Скачать и просто прогнать, желательно в Safe Mode ( F8 при загрузке).

Без Вашего расшаривания в компьютере довольно много ресерсов, на которые можно получить доступ при отсутствии пароля на учетку "Администратор".

[elangelo]

только что проверил CureIT - нашёл вирус Program.Srvany в файле srvany.exe. Как я понимаю эта прога имеет отношение к сети, и может в этом и есть суть?
DrWeb переустановить?

[PavelA]

srvany используется для запуска reset5, для работы в Вашей нелицензионной системе.
Про него вроде бы писали, что его Вам нужно профиксить в HijackThis.

Код:

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

CureItom искали в Safe Mode?

[elangelo]

искал, нашел ещё как обычно несколько backdoor'ов.
а если пофиксить так оно наверно начнет выскакивать про активацию, вроде на форумах пишут что это для этого. не знаю

[Geser]

Попробуйте действительно удалить ДрВеб и поставить КИС http://www.kaspersky.com/productupda...pter=186437046

[elangelo]

из лога highjack эти строки уже пропали после того как drweb переименовал srvany

а касперский денег стоит немаленьких

[elangelo]

srvany ни при чём, вирусы опять полезли

[PavelA]

Касперского можно поставить shareware. За 30 дней, думаю, он с вирусом справится. Потом, на чистый компьютер, поставить Dr.Web

Раньше была пробная версия, бета от Касперского. Ссылки давали в темах, связанных с Look2Me.

[elangelo]

ставить именно КИС или Антивирус?

[elangelo]

вообще интересно что за вирусную атаку спайдер обнаруживает и вылечивает ровно 59 файлов с завидным постоянством. и всегда только c:\documents and settings\all users
и это при том что упрощённый доступ к общим файлам я отключил.
попробую КИС

[Geser]

ставить именно КИС или Антивирус?

Ставить именно КИС. Ставить всё что там есть кроме антиспама.

[elangelo]

пока ничего нового, тоже только нашёл те же файлы, сгенеренные вирусом при последней атаке. потом посмотрим, если не будет глючить и не будет больше находить в реальном времени вирусы, можно будет предположить что вирус заразил спайдер и тот типа сам себя загонял. такое вообще возможно?

[elangelo]

нет вот с касперским вирус тоже выскочил из ниоткуда. правда касперский сразу удалил, и заражённые файлы по десять раз не появлялись. пока ничего нового не обнаружено, я уже сомневаюсь будет ли прок

[PavelA]

Ничего из ниоткуда не берется, особенно в компьютерах. Можно посмотреть в логе Касперского, чего он лечил.

А пароль на "Администратора" все-таки надо поставить

[elangelo]

пароль на администратора я поставил ещё сегодня утром
а что я там увижу в логе?

[Alex Plutoff]

...а что я там увижу в логе?

-ну если сами ничего не увидите, то нам процитируйте, может общими усилиями и разберёмся

[elangelo]

что я обнаружил своим невооружённым глазом :
в основном отчёте проверки просто указаны удалённые заражённые файлы, по-моему ничего нового но до конца не уверен
а вот интересно в файле report.rpt там куча каких-то веб-адресов в том числе какие-то казино - может он уловил какую-то активность в этом направлении? а это уже похоже на вирус
может быть кто посмотрит...

report.zip