Во-первых отвалился вход в винду. Какой-то заботливый процесс подправил в реестре путь Userinit.
Во-вторых стали недоступны ряд сервисов. Из замеченных аська, mail.ru, vkontakte
В- третьих при заходе на Мой мир или Вконтакте в мозилле появляется такая картинка:
Эта страничка доступна даже с отключенным интернетом. И что характерно - только в мозилле.
Щас буду гуглить лекарство. Допишу тут
UPD. Удалил в мозилле мутные дополнения, в мозилле перестало работать с отключенным интернетом. Стал открываться вконтакт.
Нормальный майл.ру так и не открывается. HOSTS вроде нормальный ....
Ищу дальше
UPD.
Дело явно либо в хостах, либо в DNS ибо my.mail.ru и вконтакт стали жить на одном IP
C:\Program Files\Far>ping vkontakte.ru
Обмен пакетами с vkontakte.ru [91.213.174.112] по 32 байт:
Ответ от 91.213.174.112: число байт=32 время=106мс TTL=47
.....
C:\Program Files\Far>ping my.mail.ru
Обмен пакетами с my.mail.ru [91.213.174.112] по 32 байт:
Ответ от 91.213.174.112: число байт=32 время=107мс TTL=47
............
Забавно, что login.icq.com перекидывает на локалхост ...
UPD UPD UDP !!!!!
Зловред прописал левые DNS в настройки соединения. Удивительно что делают украинские DNS в татарстанской сети.
Исправил. Всё вернулось на места. Ещё ночью в безопасном режиме DrWeb прогоню-ка. Для полной уверенности.
UPD UPD UPD.
Ночной прогон дрвебом обнаружил мусор во временных файлах интернета у жены. Больше ничего.
Есть мнение, что резидентом оно не висело и вся деструктивная деятельность ограничивалась ловлей паролей от mail.ru и vkontakte
Сегодня жена меня обрадовала. По телефону, как бы невзначай сказала, что "компьютер не включается".
Я включил компьютер и пошёл по своим делам. Когда увидел окно выбора пользователей, внутренне улыбнулся и обрадовался лёгкому решению проблемы.
Но когда я попытался зайти любым пользователем, сначала система пыталась зайти, но потом сразу же происходил выход. В безопасном режиме произошло то же самое.
Загрузился с лайв-сиди, и погуглив я нашёл ответ. Нужно было посмотреть в реестре ключ:
Это стандартное значение ключа. Оно и было в реестре.
Но у меня путь винды нестандартный, поэтому меня такое значение не устраивало.
Исправил - заработало.
If Delphi is installed, a backup file of the original "%Delphi_RootDir%\lib\SysConst.dcu" is saved as "%Delphi_RootDir%\lib\SysConst.bak". This acts like a flag for the malware that the environment was already infected.
It copies the file "%Delphi_RootDir%\source\rtl\sys\SysConst.pas" to "%Delphi_RootDir%\lib\SysConst.pas", modifies "%Delphi_RootDir%\lib\SysConst.pas" and compiles it to the "%Delphi_RootDir%\lib\SysConst.dcu" library. It then deletes the modified "SysConst.pas" file.
Странно... Вчера два компа ломились на все компы сетки на 80. Запросы были вида http://f_sklad/
Поскольку у них настроена работа через прокси с авторизацией, понятно что запросы срубились. Но сам факт подозрителен.
За 4 часа намотали по 25тыс. запросов каждый
В начале года так себя проявляло Кидо. Но это что-то другое.
Активно использую USBvaccine. Но начал сталкиваться с ошибками при подглючении флешки.
Причина оказалась простой - флоппи-дисковод физически отглючен, а в биосе вглючен.
Panda USB Vaccine это бесплатное решение, разработанное для защиты от подобных угроз. Продукт предлагает двойной уровень превентивной защиты, позволяя пользователям отключить функцию автозапуска на компьютерах, USB-устройствах и других устройствах:
Vaccine for computers: Это «вакцина» для компьютеров для предотвращения запуска любого файла AutoRun вне зависимости от того, инфицировано устройство или нет (карты памяти, CD и пр.).
Vaccine for USB devices: Это «вакцина» для съемных USB-устройств, предотвращающая от ситуаций, когда файл AutoRun становится источником инфицирования. Утилита отключает этот файл таким образом, что он не может быть прочитан, модифицирован или перемещен вредоносным кодом.
Недавно была эпидемия этого вируса. Некоторые уже пережили это, некоторые ещё мучаются. Поэтому пишу это маленькое HOWTO
Это не совсем вирус. Это червь, который распространяется по сети через открытые порты в Windows (RPC Locator 445)
Другими словами, даже если вы НЕ вставляете заражённые флешки/дискеты и НЕ лазиете по злачным местам в сети - всё равно он залезет к вам САМ!
Лечится этот вирус довольно легко. Практически любой антивирус его распознаёт, а заражённые файлы можно смело удалять. Но проблема в том что через некоторое время он к вам придёт снова по заражённой локальной сети. И просто так его лечить - бесполезно!!
Перед тем как лечить компьютер следует
- либо пропачить виндовс ( для 32-х разрядной винды - ищите файл WindowsXP-KB958644-x86-RUS.exe)
- либо просто закрыть порт 445 например с помощью утилиты wwdc
Только так! А иначе вы будете вычерпывать воду дырявыми вёдрами!
А вот потом уже можно запускать ваш любимый вирусный сканер. Например Avira обнаруживает Kido.Da со свистом.
Можно несколько сократить время сканирования компа, ограничив сканирование папками C:\DOCUMENTS_AND_SETTINGS и C:\WINDOWS\SYSTEM32