[Tigr]

Можно иначе.
- скачай Антивирус Касперского 5.0.676 и кумулятивное обновление к нему (бесплатен в триальный период в 2 недели) либо NOD32 со свежей базой;
- Ad-Aware SE с обновлением;
- зайди в Безопасный режим и установи Ad-Aware SE и "Каспера" (последний потребует перезагрузки - откажись);
- обнови обоих (Ad-Aware SE можно обновить как из самой проги - указав путь к свежему файлу обновления - так и заменой REF-файла в папке программы);
- последовательно запусти оба средства (работать будет намного медленнее, чем при нормальной загрузке, зато не будет лишних гадостей в памяти);
- обязательно изучи содержимое автозагрузки (запусти msconfig): отключи ненужные или сомнительные строки и перегрузись в Нормальный режим.
Если увечья, нанесенные винде террористами не будут несовместимыми с жизнью, то считай, что легко отделался.

[riissk]

Поставь аудит на раздел реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], и жди когда следующий раз зацепиш

[med0ff]

А как аудит поставить? Кстати, уже файлы не заражаются, ничего не предпринимал...

[riissk]

Примерно так-же как и на файлы, идёте в regedit (regedt32 win2k) на этой ветке нажимаете security и во второй вкладке определяете какие действия и кого хотите логировать. Результаты видны в event viewer - security. Только проверьте что аудит доступа к объектам в политике активирован.

[GSVG]

Помогите разобраться.
Как мне узнать что постоянно скачивается с интернета. Я как только соеденяюсь с провайдером сразу начинается скачивание чегото. Єти два мониторчика возле часов постоянно синие какбы идет передача и прием данных с интернета, а ратьше они становились синими только когда я открывал страницу или чтото качал. Как узнать что єто за инфоримация передается.

[Erekle]

Это по сети, DSL, - или по модему?
Если первое (и если не Вин98), запустите хотя бы эту программку, она покажет, куда, откуда и что. По идее, адреса должен показывать и файерволл, если установлен.
Если диал-ап - можно этим.

[BARETER]

2GSVG: Отследить, что скачивается и кем может любой более-менее приличный фаерволл: OutPost или ZoneAlarm

2Sergey60: В сообщении ничего страшного нет, и даже, не в троянах дело. Ведь зная IP-адрес, на любой компьютер можно отправить сообщение через net send. И это вовсе не является атакой - просто, как уже было сказано выше: пытаются впарить трояна (разновидность спама, какая-то!) Поэтому, можно отключить службу сообщений (как сделано по умолчанию в XP SP2 и все).

Так подозреваю, где-то в укромном месте хранятся копии этих двух вирусов, из которых после перезагрузки идет восстановление.
Нужно проверить на вирусы ВСЕ ДИСКИ, причем если есть неизвестные архивы с паролем - с ними тоже отдельно разбираться (а то, копии могут храниться в таких архивах, и антивирус ничего не скажет, т.к. не знает пароля). Вообще, рекомендуется проверять из-под заведомо чистой винды (например, у KIS есть возможность создать аварийный диск - лучше с него проверять)

2Larsoniq16: Серийник может быть вбит в файле автоустановки winnt.sif, а насчет активации - очень просто: передвигаете дату на месяц-другой вперед, и все станет ясно (так уже проверял)

[Erekle]

Цитата:

Процесс explorer.exe ломится на порт 17001 следующих IP (возможно выбираются случайно): 64.62.171.141 66.45.232.75 81.95.148.18

Встретил точно то же самое вчера. Из симптомов также присутствовали вырубание системы после инсталляции (в данном случае - антивируса, по иронии судьбы, или по "закону подлости" ) и блокировка исходящего траффика (интернет и Радмин).
Жаль, что владелец не доверил мне лечить его комп, и ограничился только выполнением второго скрипта программой AVZ с этой страницы: http://virusinfo.info/showthread.php?p=99261
До того им был удалён только msnetax.dll, найденный покалеченным антивирусом, в Safe Mode, и то только с System32.
После выполнения скрипта подобных попыток не было, хотя AVZ и антивирус периодически выдавали сообщения об обнаружении других собратьев msnetax.dll и других зловредов, упомянутых во втором скрипте.

Таким образом, можно поискать файлы, перечисленные там в обоих скриптах; Если они в наличии, не активны и не в списке компонентов какого-либо системного процесса - можно удалить и самому (лучше в Safe Mode; копии тех, для которых указано "перевести в карантин", желательно сохранить в архиве под паролем). Если не удастся - провести скрипты с помошью AVZ.

[xoxmodav]

недавно зашёл к знакомому, который пожаловался мне на то, что Антивирус Касперского постоянно ругается на один файл (антивирус Касперского 5-ой версии с наипоследнейшими базами). Я проверил - действительно:

Цитата:

x:\*\keygen.exe;возможно заражен вирусом Packed.Win32.CryptExe;28.04.2007 13:29:09

Тут его описание на viruslist.com, а ЗДЕСЬ результаты проверки его на virustotal.com:

Цитата:

CAT-QuickHeal_____(Suspicious) - DNAScan eSafe___________________Suspicious Trojan/Worm Fortinet__________________suspicious F-Secure_________________Packed.Win32.CryptExe Kaspersky________________Packed.Win32.CryptExe Sunbelt__________________VIPRE.Suspicious Webwasher-Gateway_______Virus.Win32.FileInfector.gen (suspicious)

Интересно, как его определят другие антивирусы - оригинал файла лежит в прикреплённом ZIP-архиве. Кому не лень и не трудно - скачайте и выложите результаты сканирования различными антивирусами и их версиями.

P.S. Не забывайте указывать название антивируса, его версию и дату антивирусных баз.

[MickeyMouse]

Большинство кейгенов для того и создаются чтоб туда вирусы впихнуть, проще серийник поискать, да и здоровее будешь...