Из-за вчерашнего вируса я внезапно решил поменять пароль на своём mail.ru. Пока не поздно. От греха подальше.

Поменял, но то ли я ещё не проснулся, то ли что, но я не могу повторить тот новый пароль, который только что поставил.

Короче мыло не пускает.

Делаю "Забыл пароль". Указываю ответ на секретный вопрос и всё такое. Пароль выслан на резервный майл.

Захожу туда, а там письма нет, ибо там стоит пересылка почты на основной. Причём копии не остаются!!!

Блин! Убираю пересылку, опять делаю забыл пароль - А оно мне говорит, что следующая попытка восстановления пароля возможна только через 12 часов!!!!

Попадалово...
Я же не выживу 12 часов без мыла ... (((((((((((

Во-первых отвалился вход в винду. Какой-то заботливый процесс подправил в реестре путь Userinit.
Во-вторых стали недоступны ряд сервисов. Из замеченных аська, mail.ru, vkontakte
В- третьих при заходе на Мой мир или Вконтакте в мозилле появляется такая картинка:


Эта страничка доступна даже с отключенным интернетом. И что характерно - только в мозилле.

Щас буду гуглить лекарство. Допишу тут

UPD. Удалил в мозилле мутные дополнения, в мозилле перестало работать с отключенным интернетом. Стал открываться вконтакт.
Нормальный майл.ру так и не открывается. HOSTS вроде нормальный ....
Ищу дальше

UPD.
Дело явно либо в хостах, либо в DNS ибо my.mail.ru и вконтакт стали жить на одном IP

C:\Program Files\Far>ping vkontakte.ru

Обмен пакетами с vkontakte.ru [91.213.174.112] по 32 байт:

Ответ от 91.213.174.112: число байт=32 время=106мс TTL=47
.....

C:\Program Files\Far>ping my.mail.ru

Обмен пакетами с my.mail.ru [91.213.174.112] по 32 байт:

Ответ от 91.213.174.112: число байт=32 время=107мс TTL=47
............

Забавно, что login.icq.com перекидывает на локалхост ...

UPD UPD UDP !!!!!
Зловред прописал левые DNS в настройки соединения. Удивительно что делают украинские DNS в татарстанской сети.



Исправил. Всё вернулось на места. Ещё ночью в безопасном режиме DrWeb прогоню-ка. Для полной уверенности.

UPD UPD UPD.
Ночной прогон дрвебом обнаружил мусор во временных файлах интернета у жены. Больше ничего.
Есть мнение, что резидентом оно не висело и вся деструктивная деятельность ограничивалась ловлей паролей от mail.ru и vkontakte

Сегодня жена меня обрадовала. По телефону, как бы невзначай сказала, что "компьютер не включается".
Я включил компьютер и пошёл по своим делам. Когда увидел окно выбора пользователей, внутренне улыбнулся и обрадовался лёгкому решению проблемы.

Но когда я попытался зайти любым пользователем, сначала система пыталась зайти, но потом сразу же происходил выход. В безопасном режиме произошло то же самое.

Загрузился с лайв-сиди, и погуглив я нашёл ответ. Нужно было посмотреть в реестре ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Это стандартное значение ключа. Оно и было в реестре.
Но у меня путь винды нестандартный, поэтому меня такое значение не устраивало.
Исправил - заработало.

Вот только что это было????

Прочитал описание - задумался...
Как только не изворачиваются вирусы...

W32/Induc.A

Description:
The infected file checks if the Delphi development environment is installed, therefore it checks for one of the registry keys

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

If Delphi is installed, a backup file of the original "%Delphi_RootDir%\lib\SysConst.dcu" is saved as "%Delphi_RootDir%\lib\SysConst.bak". This acts like a flag for the malware that the environment was already infected.

It copies the file "%Delphi_RootDir%\source\rtl\sys\SysConst.pas" to "%Delphi_RootDir%\lib\SysConst.pas", modifies "%Delphi_RootDir%\lib\SysConst.pas" and compiles it to the "%Delphi_RootDir%\lib\SysConst.dcu" library. It then deletes the modified "SysConst.pas" file.

Странно... Вчера два компа ломились на все компы сетки на 80. Запросы были вида http://f_sklad/
Поскольку у них настроена работа через прокси с авторизацией, понятно что запросы срубились. Но сам факт подозрителен.

За 4 часа намотали по 25тыс. запросов каждый

В начале года так себя проявляло Кидо. Но это что-то другое.

У кого-нибудь что-нибудь подобное есть?

Активно использую USBvaccine. Но начал сталкиваться с ошибками при подглючении флешки.
Причина оказалась простой - флоппи-дисковод физически отглючен, а в биосе вглючен.


Решение нашёл здесь
http://lecactus.ru/2009/09/30/5210/

Недавно была эпидемия этого вируса. Некоторые уже пережили это, некоторые ещё мучаются. Поэтому пишу это маленькое HOWTO

Это не совсем вирус. Это червь, который распространяется по сети через открытые порты в Windows (RPC Locator 445)

Другими словами, даже если вы НЕ вставляете заражённые флешки/дискеты и НЕ лазиете по злачным местам в сети - всё равно он залезет к вам САМ!
Лечится этот вирус довольно легко. Практически любой антивирус его распознаёт, а заражённые файлы можно смело удалять. Но проблема в том что через некоторое время он к вам придёт снова по заражённой локальной сети. И просто так его лечить - бесполезно!!

Перед тем как лечить компьютер следует
- либо пропачить виндовс ( для 32-х разрядной винды - ищите файл WindowsXP-KB958644-x86-RUS.exe)
- либо просто закрыть порт 445 например с помощью утилиты wwdc

Только так! А иначе вы будете вычерпывать воду дырявыми вёдрами!

А вот потом уже можно запускать ваш любимый вирусный сканер. Например Avira обнаруживает Kido.Da со свистом.
Можно несколько сократить время сканирования компа, ограничив сканирование папками C:\DOCUMENTS_AND_SETTINGS и C:\WINDOWS\SYSTEM32