Внимание, вирус!
SAK ◊ "производители иногда обновляют версию BIOS... служебные области..." - Это точно.
"Что это за код такой в CMOS? И на кой он там нужен?" - Зачем нужен - непонятно, но Винды при инициализации винтов используют его, а не состояние регистров. В последних Виндах (финальная ХР, Виста, Вин7) и в ДОС состояние диска читается из его контроллера.
"Просто обнулить нельзя?" - можно, но есть вероятность обнулить что-то нужное. Я не разбираясь переписал целиком весь КМОС из рабочего компа.
dmitriy2:
есть вероятность обнулить что-то нужное
Я уже несколько раз говорил, проверить режим IDE.
Теперь этого уже не узнаешь, ибо переписав БИОС, Вы все настройки скинули в дефолт. А по дефолту, как-раз обычно "Нормал" и стоИт.
Так что очень на то похоже.
CMOS (КМОС) не равно BIOS (БИОС). CMOS (КМОС) - это энергоЗависимая часть БИОС, хранящая пользовательские предпочтения, например последовательность устройств для загрузки операционной системы, включение/отключение встроенного звукового кодека и т.д. Можно выключить компьютер, вытащить батарейку и снова включить - как правило, БИОС предложит загрузку заводских настроек КМОС. Предыдущее же содержимое КМОС будет потеряно после извлечения её батареи питания.
Если сам код БИОС изменен с вредоносной целью, то настройки СМОС менять смысла нет, т.к. после выхода из пользовательского интерфейса БИОС, СМОС скорее всего будет изменено => надо каким-нибудь способом сначала восстанавливать код БИОС и загрузочные сектора HDD (не лишне).
Сегодня на работе с компьютером обнаружилась интересная вешь.
Диск С в 15 гигов был заполнен до упора.
Папка заполнения была C:\Windows\Temp. После её очистки обнаружилось,
что она с большой скоростью заполняется экзешными файлами в большом количестве.
Так через примерно пол часа их было тысяч 20 а общий обьём составлял примерно 4 гига.
Была скачана утилита от каспера Virus Removal Tool , но она не определяла их как вирусы.
Да и не помогла , после полного прогона от их размножения. Тогда я посмотрел
на процессы в памяти и их нагрузку на проц. Было два процесса вроде
GuardMail . Один из них подгружал проц процента на 4 , хотя я завершил программу
Маил ру агента. После выгрузки этого процесса из памяти размножение прекратилось.
Тогда маил ру агент был деинсталирован а комп перегружен. Но размножение
продолжилось , и сразу после перегрузки тараканов было не менее 300.
С удивлением обнаружил , что указанный выше процесс остался в памяти.
Тогда спомощью редактора реестра были удалены записи боле менее похожие
на GuardMail. И тогда , после перезагрузки прекратилось и размножение и
процесс из памяти пропал.
Мож кто подскажет что это была за хрень такая ?
Пару дней назад переустанавливал систему на одном компьютере, там тоже была установлена программа с таким же или похожим названием, точно уже не скажу, но мусора не создавалось. Кстати, когда настраивал новую систему, при установке какого-то пакета или программы предлагалось в качестве бонуса установить и эту GuardMail, это то ли WinAmp, то ли KLiteCodecPack, а может ещё какая тоже уже точно не помню.
Отправьте это г.. на вирус-тотал: http://www.virustotal.com/ru/
Спасибо за ответы.
У меня дома агент установлен , и так же в памяти сидят эти два процесса - GuardMailRu.exe
Но подобной проблемы я не наблюдаю. Попробую , когда буду на работе скачать свежий
Virus Removal Tool и проверить им эти файлики , если они сохранились в корзине .
В случае игнорирования их этой утилитой попробую написать в лабораторию
Касперского. Но если их не осталось то и писать не о чем будет.
AN1440: Отправьте это г.. на вирус-тотал: http://www.virustotal.com/ru/
Если остались и сюда порробую.
Искал конвертеры к Office-2003 для чтения файлов, созданных в Office-2007. Ткнул закачку по одной из нагугленных ссылок и мне во весь экран открылся текст с сообщением, что я хотел открыть сайт с детской порнографией. По этой причине я должен в течение 12 часов заплатить 400 руб. Если же выключу или перезагружу комп, то потеряю всю информацию на винчестере.
У меня установлены еще две ОС на логических дисках. Перезарузился на
одну из них. Сохранил свой архив на выносной диск и прочистил зараженную ОС свежими антивирусными сканерами ("Malware bytes' Anti-Malware" и "NOD32 On-Demand Scanner"). Нашлось:
в папке
N:\documents and settings\all users\application data\
два файла: "2hxn2iyn3iy.exe" и "s8odt9oet9p.exe"
и один - в папке
N:\documents and settings\Sprite\local settings\temporary internet files\Content.IE5\WXBXYW2Z\readme[1].exe
были заражены "Spyware.Passwords.XGen"
Вычистил все из папок Cookies, Temporary Internet Files, Temp, History в директории Documents and Settings.
После перезагрузки на бывшую зараженной ОС прозвучало вступление и открылся пустой Рабочий Стол - нет даже нижней полосы (с нопкой "Пуск" и часами). Цвет фона - мой (у меня чистое поле без рисунка), курсор бегает (его размер и цвет - установленные мною). Есть реакция только на клавиши Ctrl+Alt+Del - открывается Диспетчер Задач. В папке "N:\Documents and Settings\Sprite\Рабочий стол" все на месте.
Провел поиск файлов, измененных и созданных в день нападения. Ничего подозрительного не увидел. Возможно, "гоп-стопники" изменили нужный файл, сохраненив его временные параметры ?!
Подскажите, пожалуйста, где искать загрузку программ и значков на Рабочий стол.
Уже говорили, что самый лучший антивирус - мозг юзера. 
Обновляем!