Backdoor.Generoc.1138

ещё решил посмотреть diskedit'ом начало физического диска, вирусы могут себя прописывать туда. обычно на нулевой стороне первого кластера занят только первый сектор, там таблица разделов, а остальные 63 пустые. Со стороны 1 начинается как я понимаю загрузочная запись. Так вот в 63-м секторе нулевой стороны я обнаружил какие-то данные. Я зазиповал это в файл вместе с первым сектором нулевой стороны (таблица разделов) и первым сектором первой стороны (загр. запись), вдруг и там что есть не то. Но я-то не знаю как в HEX'е понять, что правильно а что нет. главное конечно что в 63-м что-то есть...
в общем прошу прощения что выкладываю пока не просили, но может действительно проблема в этом?

[ATTACH]6576[/ATTACH]

Email-Worm.Win32.Brontok.q - удаляется успешно KIS 6 и Cure-It.
Он был и в первых логах. Значит, рассуждаем, лезет из сетки от соседа, или из "восстановления системы". Он определяется, как почтовый червь, но возможна новая модификация.
Я бы, честно говоря, попробовал Cure-It или переустановку с обновлением баз Dr.WEb.

переустановку виндов вы имеете в виду? с нуля?
KIS6 это что такое?
у меня DrWeb, это даже вроде круче чем CurIt? созданные вирусом exe файлы он удаляет, а вот где сидит вирус непонятно. может и в восстановлении, потому что мне, бывало, после перезагрузки выскакивало раз по пять окно "система восстановлена после ошибки", хотя само восстановление системы у меня отключено. может, в этом ключ? Я разговаривал со своим провайдером они говорят что если ничего не расшаривать и не скачивать, вирус сам по себе пролезть не может - он должен сидеть внутри. тем более что, повторяю, второй мой компьютер жив и здоров.

Винды трогать не надо.
KIS6 - Касперский Интернет Секьюрити.

DrWeb, он, конечно, круче, но так как он стоял в момент заражения. Есть вероятность, что DrWeb пострадал. Cure-It - утилита, с постоянно обновляемыми базами DrWeb. Ее не надо инсталлировать. Скачать и просто прогнать, желательно в Safe Mode ( F8 при загрузке).

Без Вашего расшаривания в компьютере довольно много ресерсов, на которые можно получить доступ при отсутствии пароля на учетку "Администратор".

только что проверил CureIT - нашёл вирус Program.Srvany в файле srvany.exe. Как я понимаю эта прога имеет отношение к сети, и может в этом и есть суть?
DrWeb переустановить?

srvany используется для запуска reset5, для работы в Вашей нелицензионной системе.
Про него вроде бы писали, что его Вам нужно профиксить в HijackThis.
[CODE]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe[/CODE]

CureItom искали в Safe Mode?

искал, нашел ещё как обычно несколько backdoor'ов.
а если пофиксить так оно наверно начнет выскакивать про активацию, вроде на форумах пишут что это для этого. не знаю

Попробуйте действительно удалить ДрВеб и поставить КИС [url]http://www.kaspersky.com/productupdates?chapter=186437046[/url]

из лога highjack эти строки уже пропали после того как drweb переименовал srvany

а касперский денег стоит немаленьких :'-(

srvany ни при чём, вирусы опять полезли

Касперского можно поставить shareware. За 30 дней, думаю, он с вирусом справится. Потом, на чистый компьютер, поставить Dr.Web

Раньше была пробная версия, бета от Касперского. Ссылки давали в темах, связанных с Look2Me.

ставить именно КИС или Антивирус?

вообще интересно что за вирусную атаку спайдер обнаруживает и вылечивает ровно 59 файлов с завидным постоянством. и всегда только c:\documents and settings\all users
и это при том что упрощённый доступ к общим файлам я отключил.
попробую КИС

[QUOTE=elangelo;94463]ставить именно КИС или Антивирус?[/QUOTE]

Ставить именно КИС. Ставить всё что там есть кроме антиспама.

пока ничего нового, тоже только нашёл те же файлы, сгенеренные вирусом при последней атаке. потом посмотрим, если не будет глючить и не будет больше находить в реальном времени вирусы, можно будет предположить что вирус заразил спайдер и тот типа сам себя загонял. такое вообще возможно?

нет вот с касперским вирус тоже выскочил из ниоткуда. правда касперский сразу удалил, и заражённые файлы по десять раз не появлялись. пока ничего нового не обнаружено, я уже сомневаюсь будет ли прок

Ничего из ниоткуда не берется, особенно в компьютерах. Можно посмотреть в логе Касперского, чего он лечил.

А пароль на "Администратора" все-таки надо поставить :(

пароль на администратора я поставил ещё сегодня утром :)
а что я там увижу в логе?

[quote=elangelo;94539]...а что я там увижу в логе?[/quote]
-ну если сами ничего не увидите, то нам процитируйте, может общими усилиями и разберёмся :)

что я обнаружил своим невооружённым глазом :) :
в основном отчёте проверки просто указаны удалённые заражённые файлы, по-моему ничего нового но до конца не уверен
а вот интересно в файле report.rpt там куча каких-то веб-адресов в том числе какие-то казино - может он уловил какую-то активность в этом направлении? а это уже похоже на вирус
может быть кто посмотрит...

[ATTACH]6596[/ATTACH]

К сожалению, в присланном файле лог плохо читается. Надо попытать сохранить лог просто в тхт-файл. Не только антиспамера, но и антивируса.

Кстати, будет интересна сегодняшняя проверка Касперским.

да я просто не знаю как это делается. в доктор вебе были текстовые файлы а тут непонятки. неясно зачем касперский сохраняет лог в таком уродском формате

в 5-ом можно было сказать, чтобы логи были не *.rpt, а *.log

Шестого не стоит, но вряд ли там чего-то изменилось в корне.

ну а тут в соответствующем разделе настроек ничего нет про формат лога...

явного эффекта от касперского я не наблюдаю. при нём тоже пару раз выскакивал вирус, он эти файлы просто чуть проворнее удалял. зато поросячий визг на всю комнату, а в настройках отключения звука нет :P

Где конкретно на диске обнаруживался вирус

что примечательно, только в папке documents and settings\all users
жаль нельзя её никак сделать приватной...

Конкретнее полный путь и название файла

хорошо. вот пути из лога спайдера (они могут появляться вновь, как я писал)
C:\Documents and Settings\All Users\Документы\Data USER.exe
C:\Documents and Settings\All Users\Документы\SharedDocs.exe
C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe
C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Example Files\Example Files.exe
C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Settings\Settings.exe
C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Startup\Startup.exe
C:\Documents and Settings\All Users\Документы\Мои видеозаписи\Мои видеозаписи.exe
C:\Documents and Settings\All Users\Документы\Мои рисунки\Мои рисунки.exe
C:\Documents and Settings\All Users\Документы\Мои рисунки\Образцы рисунков\Образцы рисунков.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\Моя музыка.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\My Playlists\My Playlists.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\Sample Playlists\00070DB8\00070DB8.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\0102B696\0102B696.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\Sync Playlists\Sync Playlists.exe

пожалуй, это весь ассортимент, в подавляющем большинстве, как видно, создаётся файл по имени каталога
в сумме за одну атаку (рекорд) эти файлы появились 624 раза.

а, вот ещё
C:\Documents and Settings\All Users\Документы\Моя музыка\Образцы музыки\Образцы музыки.exe
C:\Documents and Settings\All Users\Документы\Моя музыка\Sample Playlists\Sample Playlists.exe

вот это, пожалуй, уже весь список

При чем тут спайдер. КИС где обнаруживает?

так то же и там же. я же говорю, они тут в поведении идентичны, просто КИС оперативнее удаляет и не завешивает комп

А была сделана [B]полная проверка всех дисков [/B]при поможи КИС? И при этом посла запуска проверки [B]компьютер стоял и на нём никто не работал[/B]?

всё в точности так

Стенка была установлена при установке КИС?

да (у меня SP2), но он при установке её отключил с моего разрешения

[QUOTE=elangelo;94992]да (у меня SP2), но он при установке её отключил с моего разрешения[/QUOTE]
Ну это правильно.:) Вы еще разок логи сделайте по правилам. Если вирусы появляются вновь значит еще что-то осталось.

[QUOTE=elangelo;94992]да (у меня SP2), но он при установке её отключил с моего разрешения[/QUOTE]
Кто он кого отключил? Когда стенка от КИС обнаружила сеть и спросил акак её добавить статус был выбран "интернет" режом невидимости включен?

Возникла мысль: может все-таки стоит проверить поосновательней второй РС. Прислать, например, логи с него.

+ Не появляются ли вирусы после копирования файлов с мобильника, флешплеера, просто флешки. Мысль возможно бредовая.

[QUOTE=Geser;95004]Кто он кого отключил? Когда стенка от КИС обнаружила сеть и спросил акак её добавить статус был выбран "интернет" режом невидимости включен?[/QUOTE]
КИС поставил себя вместо брандмауэра, а тонкостей извините уже не помню