Здравствуйте. Помогите пожалуйста. Уже долго борюсь с вирусами на стационарном компе и на ноуте. Касперский лицензионный не видит ничего. Я винду с касперским 4 раза переставлял на компе.
Что-то или кто-то записывает непонятные файлы на диск, перезаписывает содержание моих файлов, удаляет бекапы сайта. И недавно сайт на хостинге вирусами заразили. Вызывают подозрение повсюду названия с подобным содержанием S-1-5-21-1681799242-4045993205-4241019758-1002 или S-1-5-18 Только цифры далее разные
Например, владелец 2-х дисков (и всего в них): S-1-5-21-269303696-4037328016-315059653-1001 Меняю владельца на себя (Администратора), корзина ломается. Восстанавливал корзину, удалением $Recycle.Bin через командную строку, хорошо помогало на ноуте.
На другом ПК скрытым папкам и файлам отображение включил и через проводник заходил в $Recycle.Bin. Внутри было по нескольку корзин, в них свиду пусто. А удалилось 20000 файлов. И эти названия (S-1-5-21.....) у некоторых папок были.
Ещё несколько подобных файлов по пути C:\Windows\ServiceProfiles\LocalService\AppData\Lo cal\FontCache-S-1-5-21-904982195-145920895-916592304-500.dat А система переносить их в другую папку не давала, загружены были процессом от Касперского. Или наоборот.
Вложил логи с двух компов, там они тоже спалились.
Как комп почистить до конца, не представляю. Мне кажется, что я заметил - это только часть.
Последний раз редактировалось Dadong; 25.04.2015 в 04:21.
Причина: лог докрепил
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dadong, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ещё при выключении компа иногда выскакивает сообщение: люди использующие в данный момент этот компьютер, могут потерять свои несохранённые данные. Я понимаю, что это может быть торенты качаются. А может и не только
Чисто, да не чисто. Вирус просто так не лежит и не ждёт пока его найдут и удалят. Это интеллектуальное творение, прячется, перемещается, затаивается, самокопируется, когда ему надо, то самоудаляется. В мире вирусов не всё так просто, чтобы говорить после проверки Все файлы чистые. Я логи сам смотрел, не всё так гладко, оранжевым подсвечено много, что там в этих файлах подозрительного AVZ показалось? Конечно не реально пересмотреть все файлы. В общем вирус ещё есть. Может он бутовый, может он сидит в папке system volume information, AVZ проверяет эту папку или доступа к ней нет? В папке $RECYCLE.BIN у меня сами появляются папки S-1-5-21-1681799242-4045993205-4241019758-1002
А что это за папки я так ответ и не получил. Меня не устраивает ответ Всё чисто.
Что-то меняет владельца папок на S-1-5-21-269303696-4037328016-315059653-1001 .Я поменяю обратно на себя, вроде я владелец, а потом опять S-1-5-21-269303696-4037328016-315059653-1001. А владелец папки по моим соображениям может делать с ней что захочет. Я под своей учёткой запускаю винду, вирус тоже действует скрытно под моей учёткой. Так или не так?
Я с помощью AVZ дополнительные скрипты выполнил, сетевые диски из реестра выкинул, службы вредные запретил, в планировщике задач тоже лишнее убралось.
Прогой CCleaner Professional Plus http://www.piriform.com/ccleaner/download очистил с системного раздела 60 Гб, исправилось либо удалилось 1500 строк в реестре, удалилось много файлов dll и т.п. с ActiveX и др. Корзины $RECYCLE.BIN поудалял, их винда сразу новые заводит.
Вот теперь паранойя немного умерилась.
Как раз папки system volume information очень любят вирусы. Система в них кидает всё что может понадобится для восстановления, тобишь я удаляю системный файл определённый как вирус, а система на всякий случай его туда сохраняет, и если ошибка потом появляется то этот файл от туда восстанавливается. Мои размышления:
Вот у меня касперский стоит, он отключил брандмауэр и защитника виндос и ими управляет, хотя я считаю, что каспер хуже справляется с сетевым экраном. Если бы защитник виндос нашёл вирус в системном файле, он бы его удалил совсем и в папку system volume information он бы не сохранялся либо сохранился на какое-то время до проверки, что ничего не нарушилось. А касперский возможно работает в разлад с системой, каспер стирает, а система ему не доверяет, пишет его в эту папку и восстанавливает когда захочет. Не понимаю почему винда так переживает за файлы, она же может запросить их в обновлении.
Вопрос: Я могу поудалять папки system volume information? Их система также новые пустые восстановит? Какие ещё папки безболезненно можно удалить?
Последний раз редактировалось Dadong; 28.04.2015 в 20:49.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: