Вирус или нет? И что делать?

[Viktor D]

Приветствую всех. Помогите сориентироваться. Что то произошло пару дней назад с мим почтовым ящиком на рамблере. До этого приходили письма с разных адресов со всякой ерундой, типа:

Patek Philippe, Breguet, Rolex OT 11475 pублей! ГаpанTия 2 гOда, пOслепpOдажнOе OбслужиBание!

в разных  вариациях, в основном что то предлагают купить или на что то подписаться. В поле "Кому" сразу несколько адресов.  Ну я их помечал как спам и удалял. А вот пару дней назад, заметил, что такие же точно письма стали приходить мне с моего же емейла. Значит и на другие адреса тоже отменя они пересылаются. Так понимаю, это работа какого то вируса. Знаний к сожалению маловато самому разобраться. Что в данной ситуации надо делать?
Сразу скажу, что сам вложений из этих писем не открывал и по ссылкам не переходил. Хотя конечно жена могла такое сделать...
На компе стоит Аутпост секьюрити сюита.

[Гocть]

Обратный адрес вирус может подставить какой угодно из списка, найденного на заражённом компьютере. ЧТобы проверить, откуда о на самом деле был отправлен, надо посмотреть заголовок. Я не знаю - может ли рамблер показать заголовок, или там не предусмотрено.

[vovchik]

Виктор,похоже на троян. Поинтересуйся у жены,если ты сам не открывал ничего,то может она какое "интересное" письмо прочитала. Придется по очереди запускать разные антивирусы,пока не найдут заразу,потому что хваленые Каспер или Нод 32 не всегда находят то,что находит Авира или,допустим, Комодо(кстати бесплатные). На время поиска крайне желательно интернет отключить.
P.S. Мне на рамблере тоже всякое барахло и реклама приходит,пришлось оставить этот ящик на растерзание спамерам, а вот на яндексе все четко,ни одного непрошенного письма.

[Viktor D]

Тогда Акрониксом проще восстановить систему. Интересно эта зараза только на диске С живёт или может на других дисках сохраниться?

Обратный адрес вирус может подставить какой угодно из списка, найденного на заражённом компьютере. ЧТобы проверить, откуда о на самом деле был отправлен, надо посмотреть заголовок. Я не знаю - может ли рамблер показать заголовок, или там не предусмотрено.

Письма эти я уже поудалял, думаю ещё придут.

[vovchik]

Если зараза просто на диске С,это  полбеды хуже если заражена т.н.MBR,но тоже не смертельно. А что,есть образ,созданный Акронисом до заражения? Тогда можно забить на все(лечение и чистка системы) и просто восстановить систему,дело 3-5 минут,так и проще и быстрее. Я последние полтора года так и поступаю:создал образ со всеми программами и настройками и при малейшем нарушении работы Винды делаю восстановление.

[Viktor D]

Да образ сразу после установки и настройки. Кстати в нём и MBR есть тоже восстановить можно.

[Гocть]

Нету там заголовка.
В заголовке написано, от какого компьютера к какому доставлено, по цепочке. Даже часть заголовка и поддельная, концы можно найти. А здесь - покоцано. Короче, не поймёшь, действительно ли это твой компьютер посылал Рамблеру, или кто-то от твоего имени.
Но на всякий случай действительно лучше провериться на наличие троянов.

Мы сегодня уже обсуждали, как вариант -- забутиться с сидюка антивирусного, он спокойно прошарит все партиции на наличие вируса.

Вот здесь можно взять свежий образ антивирусного загрузочного диска:

http://www.avira.com/en/support-download-avira-antivir-rescue-system

Брать надо ISO файл, и писать его как iso9660, а не как отдельный файл.

Вот здесь - примочка к виндам разных версий, чтобы писать ISO - образы дисков:

http://alexfeinman.com/isorecorder.htm

[Viktor D]

Толя, спасибо за совет. Попробую. А что надо проверять все диски?

[MetalHeart]

Короче, не поймёшь, действительно ли это твой компьютер посылал Рамблеру, или кто-то от твоего имени.Но на всякий случай действительно лучше провериться на наличие троянов.

Проверить достаточно просто: нужно создать еще один ящик, даже на том же рамблере. И посмотреть, будут ли на него такие же письма приходить... (Вот на diyaudio мне постоянно какая-то фигня приходит, а на остальных ящиках чисто)
Скорее всего проблема не у тебя (если антивирус конечно стоит  ), а у того у кого твой ящик в списке контактов, вот он и рассылает по всем. Отправителя причем может подменить, в заголовке это можно посмотреть.

А для проверки, в т.ч. мониторинга советую Avira Security Suite и NOD32;)

[Viktor D]

Тут такая особенность - письма стали приходить с моего ящика на мой же. А второй ящик где то есть - я в него уже давно не заглядывал.

[MetalHeart]

Тут такая особенность - письма стали приходить с моего ящика на мой же.

Это понятно. На самом деле это может быть и с другого ящика, а в заголовке "подмена", так что видится это так, как-будто со своего.
Может быть и наоборот - подмена получателя. Типа от "spam@rambler.ru", кому "spam@rambler.ru", а письмо все же мне приходит

[Viktor D]

На всякий случай восстановил винду акронисом и бут сектор тоже. Посмотрим.

и добавил...     (25 Января 2012, 12:25:20)
А в качестве антивируса - встроенный а Аутпост.

[dimitry]

Что не говорите, а бесплатные антивирусы работаю так себе, имел опыт, 4 года с касперским ни каких проблем, обновление базы каждые пол часа. Виктор если просто читали письма и ходили по ссылкам, то ничего страшного много провокаций и всё. Главное ничего не сохранять на комп с почтового ящика. Если читаете через почтового клиента, то в нём укажите -оставлять писма и файлы на сервере. 

[hippo64]

Пока работал, авира дома отловила трояна.

[lgedmitry]

IMHO разница между платным и бесплатным антивирусами состоит только в том, что за первый нужно платить, а за второй - нет. Всё остальное зависит от везения и самодисциплины.
зы. Имел лицуху дрвеб, каспер. крякнутый нод был. Аваст, Авира были. АВГ был. Щас стоИт каспер яндекс версия.
Крякнутый нод конечно не в счёт - хлам. Остальные различаются прежде всего по уровню контроля за крякнутыми программами. Честней всего тут на мой взгляд дрвеб и аваст. Остальные начинают орать про кряки, которые стоЯт больше года и всё нормально.

[jank5]

ХЗ, конечно, но я лицензионному Касперу указал исключения - он и не лез куда не надо.
ЯндексКспер ввиду халявности не имеет многих функций полной версии - снес. Особенно достает реклама. А ставить Ad Muncher или что-то подобное нет смысла, если в полном антивирусе есть антибаннер.

[lgedmitry]

Особенно достает реклама.

а как бы её посмотреть Поставил на 2 компа дома. На моём - чисто всё. На женином - защитник мейл ру нарисовался. спрашивал домашних всех - не колются. ИМХО кто-то что-то ставит соглашаясь со всеми галочками

[jank5]

Посмотреть в смысле рекламные баннеры?

[lgedmitry]

Посмотреть в смысле рекламные баннеры?

Ну да, я непонимать, неужто их меньше станет с другой версией кааспера?

[jank5]

Некий сайт, Каспер 9.0.0.736, антибаннер включен:
(Извините, но у Вас нет доступа в Галерею)
Оно же, антибаннер выключен:
(Извините, но у Вас нет доступа в Галерею)
Найди три отличия.

Их становится не меньше, их не становится.

[Гocть]

Баннер - жабаскрипт, который заставляет браузер ходить на кучу хрен знает каких сайтов, оставлять на них рен знает что, брать с них хрен знает что. Сайт, на страничке которого баннер, чаще всего контроля за содержимым баннера не имеет, это делает рекламная фирма, которая сама тоже часто контроля не имеет, ибо там получается целая пирамида рекламодавателей и платителей за неё. В том числе бывают баннеры, использующие мягко сказать не предусмотренные разработчиками браузеров возможности.

[lgedmitry]

Нашёл. Да и фиг с ними. мне не настолько мешают, штоб ккупить платную версию. И уж если прижмёт - возьму лучше дрвеба (см.выше)

[jank5]

Пока просторы Сети не оскудели халявными ключами - в кассу ни рубля. Лицензионный ключик тоже был халявный. А истчо бывают рекламные акции. Сейчас Каспер зажабил, перед этим раздавали трехмесячные ключи, так я всех окружающих на пол-года защитой обеспечил за а-а-агромное спасибо дяде Толе.

[MetalHeart]

 

в кассу ни ру[ой!]

Какой находчивый у нас антимат 

[jank5]

Строг, но справедлив.

[hippo64]

Какой находчивый у нас антимат

Я минут десять соображал , чтож оно замочило 

А после мочки трояна комп пока тьфу, тьфу, тьфу

[drummer]

Два месяца без антивируса... На одном дефендере... Халявные Авира и Аваст сходу сметают не менее халявный Office...  ДрВеб его не трогает, но демка кончилась... Через день включаю CureIt... Вчерашняя проверка закончилась, не начавшись, погасшим монитором...с последующим восстановлением... Комментарии принимаются

[L0ki]

офис видимо криво гм... "прохалявлен" .

У  меня (уже не один год) стоит Аваст.
(честно получаемый раз в год бесплатный ключ с офсайта для домашнего использования).

Оффис 2003-й + сервиспаки + довесок от микрософта для понимания файлов от более поздных оффисов).
Никто на оффис не покушался .

Каспера не люблю за тормознутость и сование носа туда, куда его не просят.

Нод в любом виде (крякнутом или нет) - откровенное "г", почти слепое.

Что касательно банеров/счетчиков и прочих вэб-паразитов,
то я еще со времен вин95 практикую следующий способ их убиения

Рецепт для ХР:
Идем в WINDOWSSYSTEM32driversetc
там среди прочих видим файл с именем hosts
открываем его блокнотом и добавляем записи например вот такого вида:
127.0.0.1 http://audioportal.su/reclama-down.htm
127.0.0.1 counter.yadro.ru
127.0.0.1 top.mail.ru
127.0.0.1 top.list.ru
127.0.0.1 top100.rambler.ru
127.0.0.1 counter.rambler.ru
"фишка" в том что ip-адрес 127.0.0.1 это адрес нашего локального компа,
и переадресация на веб-страничке вместо банера идет на наш комп.
В результате вместо банера просто пустой квадратик
(с мальеньким косым красным крестиком внутри).
"Фишка" хороша еще и тем, что не накручивает лишнего траффика ни единого байта
- в случае торомознутого и/или GPRS канала это достаточно актуально .

Как определить имя веэб-паразита.
вариант 1.
Сохраняем страничку на компе в виде html, и открываем в каком либо текстовом редакторе (например в блокноте) и ищем (там в общем то понятно почти сразу любому будет понятно, просто как правило "каша" из тегов еще та).
вариант 2.
У многих браузеров есть функция "просмотр HTML кода"
- вот там и смотрим .

Для других версий виндов правим все тот же файл hosts, просто он может оказаться немного в другом месте винды.

и добавил...     (27 Января 2012, 06:33:00)
для отрывания шаловливых лапок винде (чтобы не лазила туда куда ненадо)
127.0.0.1 mpa.one.microsoft.com   # XP
127.0.0.1 sls.microsoft.com       # Vista


и добавил...     (27 Января 2012, 06:34:40)
вообщето таким образом (модофикацией файла hosts) можно перекрыть доступ к любому произвольному хосту, достаточно прописать его выше описанным образом

и добавил...     (27 Января 2012, 06:36:31)
P.S.
Перед переустановкой винды я сохраняю гденибудь свой файл hosts,
а потом им заменяю родной виндовый.

[Viktor D]

Женя, тебе надо писать инструкции по работе с компьютером для чайников. Один твой пост дал больше полезной информации, чем день лазания по инету.

[jank5]

hosts, конечно, хорошо, но вСе баннеры туда забить - нереально. А для Каспера вместе с ключами можно скачать базы ABBL и легко импортировать в базу данных.