Backdoor.Generoc.1138

ещё решил посмотреть diskedit'ом начало физического диска, вирусы могут себя прописывать туда. обычно на нулевой стороне первого кластера занят только первый сектор, там таблица разделов, а остальные 63 пустые. Со стороны 1 начинается как я понимаю загрузочная запись. Так вот в 63-м секторе нулевой стороны я обнаружил какие-то данные. Я зазиповал это в файл вместе с первым сектором нулевой стороны (таблица разделов) и первым сектором первой стороны (загр. запись), вдруг и там что есть не то. Но я-то не знаю как в HEX'е понять, что правильно а что нет. главное конечно что в 63-м что-то есть...
в общем прошу прощения что выкладываю пока не просили, но может действительно проблема в этом?

[ATTACH]6576[/ATTACH]

Email-Worm.Win32.Brontok.q - удаляется успешно KIS 6 и Cure-It.
Он был и в первых логах. Значит, рассуждаем, лезет из сетки от соседа, или из "восстановления системы". Он определяется, как почтовый червь, но возможна новая модификация.
Я бы, честно говоря, попробовал Cure-It или переустановку с обновлением баз Dr.WEb.

переустановку виндов вы имеете в виду? с нуля?
KIS6 это что такое?
у меня DrWeb, это даже вроде круче чем CurIt? созданные вирусом exe файлы он удаляет, а вот где сидит вирус непонятно. может и в восстановлении, потому что мне, бывало, после перезагрузки выскакивало раз по пять окно "система восстановлена после ошибки", хотя само восстановление системы у меня отключено. может, в этом ключ? Я разговаривал со своим провайдером они говорят что если ничего не расшаривать и не скачивать, вирус сам по себе пролезть не может - он должен сидеть внутри. тем более что, повторяю, второй мой компьютер жив и здоров.

Винды трогать не надо.
KIS6 - Касперский Интернет Секьюрити.

DrWeb, он, конечно, круче, но так как он стоял в момент заражения. Есть вероятность, что DrWeb пострадал. Cure-It - утилита, с постоянно обновляемыми базами DrWeb. Ее не надо инсталлировать. Скачать и просто прогнать, желательно в Safe Mode ( F8 при загрузке).

Без Вашего расшаривания в компьютере довольно много ресерсов, на которые можно получить доступ при отсутствии пароля на учетку "Администратор".

только что проверил CureIT - нашёл вирус Program.Srvany в файле srvany.exe. Как я понимаю эта прога имеет отношение к сети, и может в этом и есть суть?
DrWeb переустановить?

srvany используется для запуска reset5, для работы в Вашей нелицензионной системе.
Про него вроде бы писали, что его Вам нужно профиксить в HijackThis.
[CODE]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe[/CODE]

CureItom искали в Safe Mode?

искал, нашел ещё как обычно несколько backdoor'ов.
а если пофиксить так оно наверно начнет выскакивать про активацию, вроде на форумах пишут что это для этого. не знаю

Попробуйте действительно удалить ДрВеб и поставить КИС [url]http://www.kaspersky.com/productupdates?chapter=186437046[/url]

из лога highjack эти строки уже пропали после того как drweb переименовал srvany

а касперский денег стоит немаленьких :'-(

srvany ни при чём, вирусы опять полезли

Касперского можно поставить shareware. За 30 дней, думаю, он с вирусом справится. Потом, на чистый компьютер, поставить Dr.Web

Раньше была пробная версия, бета от Касперского. Ссылки давали в темах, связанных с Look2Me.

ставить именно КИС или Антивирус?

вообще интересно что за вирусную атаку спайдер обнаруживает и вылечивает ровно 59 файлов с завидным постоянством. и всегда только c:\documents and settings\all users
и это при том что упрощённый доступ к общим файлам я отключил.
попробую КИС

[QUOTE=elangelo;94463]ставить именно КИС или Антивирус?[/QUOTE]

Ставить именно КИС. Ставить всё что там есть кроме антиспама.

пока ничего нового, тоже только нашёл те же файлы, сгенеренные вирусом при последней атаке. потом посмотрим, если не будет глючить и не будет больше находить в реальном времени вирусы, можно будет предположить что вирус заразил спайдер и тот типа сам себя загонял. такое вообще возможно?

нет вот с касперским вирус тоже выскочил из ниоткуда. правда касперский сразу удалил, и заражённые файлы по десять раз не появлялись. пока ничего нового не обнаружено, я уже сомневаюсь будет ли прок

Ничего из ниоткуда не берется, особенно в компьютерах. Можно посмотреть в логе Касперского, чего он лечил.

А пароль на "Администратора" все-таки надо поставить :(

пароль на администратора я поставил ещё сегодня утром :)
а что я там увижу в логе?

[quote=elangelo;94539]...а что я там увижу в логе?[/quote]
-ну если сами ничего не увидите, то нам процитируйте, может общими усилиями и разберёмся :)

что я обнаружил своим невооружённым глазом :) :
в основном отчёте проверки просто указаны удалённые заражённые файлы, по-моему ничего нового но до конца не уверен
а вот интересно в файле report.rpt там куча каких-то веб-адресов в том числе какие-то казино - может он уловил какую-то активность в этом направлении? а это уже похоже на вирус
может быть кто посмотрит...

[ATTACH]6596[/ATTACH]