Помогите, вирус!
alx25v: У Вас к винлогану вирь зацепился
А с чего пришёл к такому выводу?
Он старый (2004г) и сидит на месте.
Хотя и не показатель..
Однако, завтра отправлю на онлаан проверку оба ( действующий . и из кеш).
(на сегодня, инет насточертел, пора бай.... 
)
Vlad_Petr: Анализ сетевого трафика сразу покажет перекачку на этот посторонний IP адрес.
Ну и что он покажет?
Пакет.. Громко сказано. Эта гадость десяток другой кб, можеть влететь за доли сек вместе с часовыми загрузками сотни..сони Мб.
А так как антивири эту гадость на входе не распознают (распознают уже последствия), то что даст, если увидится некий "неопознанный" IP?
А на маршруте сколько ещё проомежуточных IP "паразитов"?
Их за сеанс тысячи... А сайтов за сеанс? А автоподгрузка-обновление со страниц за сеанс?
А как узнать, заражён..нет тот либо иной сайт?
Да и покажи юзера, который постоянно следит за тем с каких.. на какие IP нечто приходит ..уходит.
Читай внимательней... Если лаб Касперского не слёту смогла определить.. победить эту гадость, знач не всё так и просто.
Довольно хитрая и каверзная штучка этот Руткит MBR.
И ведь гад, активируется (если подцеплен) только при наличии коннекта..
Пока в Инет не вышел, никак себя не проявляет.
Да и вообще, руткиты штука очень поганая и прогаммёры-вредители живут уже в 21 веке
Для того дабы понять все его "прелести работы" нужно его приловить
Вирус пишется в MBR вместо обычного загрузчика. Оригинальную MBR он копирует в один из неиспользуемых начальных секторов. Что характерно, вирус создает раздел с типом 0E (не путать с 0F) или изменяет тип на 0E существующему разделу... и т.д.
-------
Загрузочный вирус
- наиболее опасный вирус сегодня. Таких вирусов, к счастью немного, но и того, что есть достаточно. Вирус заражает системные файлы(sys, com и..и..) Также происходит заражение загрузочных записей (boot record и Master Boot Record (MBR)). Если вирус уже попал на диск, то единственный способ спасения - это форматирование диска. При попадании загрузочного вируса на жёсткий диск, происходит заражение таблицы размещения файлов , а при форматировании она стирается (а вместе с ней и вирус) и заменяется новой.
Простое форматирование вряд ли вылечит.. Низкоуровневое, дело иное.
Ну а в общем, мало что про него знаю, только читал, на практике с ним не воевал, и впервые услышал о его действиях в системе от пострадавшего.
Да и вся война-то, сводится к уничтожению-стиранию заражённой MBR. Ну или редактированием..(Проще стереть )
-----
От одного из пострадавших >
Всем привет! У меня возникла такая проблема: пытался скачать что то -антивирус не разрешал, ну я по русски просто отключил его, добросовестно скачал что нужно было и понеслось - цепанул какой то [вирус], сначала НОД32 выявлял кучу атак, потом просто запрещал открывать какую либо программу ну и после сканирования просто удалил все запускные файлы и инстоляторы. Пришлось все переустанавливать, переустановил - Windows как то криво встало, принтер не обнаруживает, сканер не дает ставить и др дурдом появился и соответственно постоянно выдавал какието ошибки с драйверами и т.д. Благо ни чего ценного на винче не было, решил через дос установить P Magic чтоб удалить разделы и по ново поставить , но при установке выскочило сообщение :BOOT SECTOR WRITE!! VIRUS:CONTINUE (Y\N)? я конечно продолжил удалил разделы перезапустил комп загружаю P Magic опять такое же сообщение, ну создал разделы уставил Винду вроде все нормально, запустил сканирование - все чисто, но по мере установки програм антивирус выдает сообщение об обнаружении трояна Win32 и др. я попробовал снова загрузить P Magic из под DOSa опять это сообщение выдает о вирусе. Пытался чистить досовской утилитой CLEARHDD - все безрезультатно (при загрузке этой утилиты снова выскакивает то же сообщение) Народ помогите , как избавиться от этой заразы, были предложения заменить винчестер, я думаю это не выход. В конце концов вирус не мог же прописаться в железо???? За ранее
благодарен за совет!!!
-----------
Предупреждение сделано.. А далее..... Каждый по своему разуменнию, Опыту!
Вот тут
http://pro-radio.ru/computers/2380-13/2009/09/13/13-25-24/
Писал >
А вот в поисках дров.... и нечто прихватил сам
А в корне С: прописываются файлы
653,1268.exe (43кб)
3069,116.exe (43кб)
3796,03.exe (1кб)
Дорасскажу....
Эти файлы (цифры всё время разные в названии) выскакивали один раз в сутки при включении компа,
НО только тогда, когда подключался к Инету (Без инета - Тишина)
Аваст слёту реагировал на файлы по 43кб на 1кб никак не реагировал
Плюс > AnVir Task Manager предупреждал что некий файл *****.exe просится в автозагрузку..
(Его вычислил, он прописывался в ...../WINDOWS/Temp/*****.exe)
Естественно, в автозагрузку запрещал, файлы .exe убивал.. и можно было спокойно работать
в системе сутки - при перезапуске системы в течении текущих суток, искомые гадкие фалы .exe более не прописывались,
до следующего дня-запуска-выхода в Инет (на след. сутки)
И ещё из системы какая-то гадость пыталась с кем-то связаться, но Аваст блокировал.
(лог 192.168.1.2 на порт хххх (не записал_
Что вирус прописался в MBR понял косвенно > ничего в системе не находилось и логи "пустые..."
Он до старта Вынь, загружался в ОЗУ, и уж оттуда гадил в запущенной системе.
(Эта гадость, прописывавшаяся в систему из ОЗУ (корень С: и Темп) вовремя удалялась благодаря Аваст и AnVir Task Manager)
Ну и Исходя из этой подсказки >
Вирус пишется в MBR вместо обычного загрузчика.
Оригинальную MBR он копирует в один из неиспользуемых начальных секторов.
Что характерно, вирус создает раздел с типом 0E (не путать с 0F)
или изменяет тип на 0E существующему разделу... и т.д.
Подтвердилось > Посмотрел в Paragon ("Редактировать/показать сектора..."), на MBR, И точно наиналось с ОЕ !!
Исправить MBR довольно просто с помощью того же Paragon > "Обновить MBR",
Но не решался боясь косяков с таблицей во время обновления, а это потеря разделов,
то бишь часы восстановления данных с харда (ну это в случае неудачного обновления MBR).
Так и работал с неделю+ удаляя эту гадость раз в сутки.
Так как всё это дерьмо пресекал в зародыше, на системе никак их действие не отражалось,
всё в системе.. проги..работало нормально-без проблем.
А далее, по случаю подвернулся совсем пустой хард 80, на него и скопировал важные фалы с заражённого,
и обновил, уже без опаски потерять ценное, MBR (Парагоном) Все разделы на месте, система в норме..
На след день, гадкие файлы-вирусы, более в системе не наблюдались (обычно первое включение + инет,
в одно и то же время ежедневно, и в это же время, выскакивала и зараза , теперь Пропала Уже двое суток прошло ..MBR а порядке )
А MBR уже начиналась не с OE... а с 33 Что и нормально.
Вывод, Не так страшен этот Руткит MBR если вовремя его пресекать в системе, и легко удаляется, обновлением MBR. (Однако, это был один из их разновидноей)
(А прихватил... скачав и запустив кряк, к некой проге (Автообновление дров) - припомнил, что при запуске его,
выскочило окно ДОС и нечто писалось в реестр.
Теперь Название того кря.exe не восстанвить - был слёту Удалён.., но нашкодить успел.
Ну и нужно "слушаться" Антивирей, когда предупреждают,
а не отключать, дабы скачать подобную гадость. (Было сделано наоборот )
Ну ничо, зато познакомился лично, с этой хитрой штучкой Руткит MBR - Не так и страшен и победим
Однако, Несколько Хлопотно.
Да и, Важные файлы копировал с заражённого MBR'ом харда на чистый - Он Не заразился.
---
Ну и..
Воюющему х.з с чем, типа RECYCLED и..и.. МихАн рассказал как побороть Рут. MBR,
результат пока не знаю.