Показано с 1 по 15 из 15.

Троян полностью удаляет файлы с локального диска (заявка № 51140)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34

    Question Троян полностью удаляет файлы с локального диска

    Подобная ситуация уже описана на форуме 27 июля, но в моем случае есть некоторые отличия: программа только стерла (удалила или скрыла) файлы с локального диска, сообщения о кодировке файлов получено не было. Текст письма, полученного после исчезновения файлов, также аналогичен приведенному в теме:
    "привет если тебе нужны те файлы что я стер пиши на асю 481095 или на мыло otrazhenie_zla@mail.ru
    удачи если хочешь поговорить об этом стучи в асю 481095
    (за скромную сумму в 500 рублей я верну все что у вас пропало о том как платить посетите сайт: http://zloy-geniy.ru)".
    Предварительные действия, рекомендованные в правилах, произведены.
    Необходимые файлы прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
     DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     QuarantineFile('C:\DOCUME~1\85B6~1\LOCALS~1\Temp\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinSit.exe','');
     DeleteFile('C:\WINDOWS\system32\WinSit.exe');
     DeleteFile('C:\DOCUME~1\85B6~1\LOCALS~1\Temp\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34

    Новые логи

    Карантин выслан.
    Новые логи после выполнения скрипта:
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    В логах ничего подозрительного

    В Documents and Settings в папке Вашей учетной записи поищите файл с именем 111111111111111111111111
    Переименуйте его в 111111111111111111111111.rar и попробуйте распаковать архив.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34
    Этот файл не находится ни визуально, ни поисковиком.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Поищите подозрительный файл, размер которого совпадает с размером исчезнувших файлов. Возможно файл скрытый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34
    Значит его вчера с перепугу CCleaner вместе с неполадками удалил? Паника - не лучший помощник

    Добавлено через 10 часов 21 минуту

    Да, еще одна деталь - на компьютере был установлен рейд-массив и теперь объем логического диска показывается вдвое больше реального

    Добавлено через 9 часов 21 минуту

    Перерыт весь диск вдоль и поперек, реестр восстановлен из резервной копии, но файла хотя бы отдаленно приближенного по объему (около 20 ГБ) к исчезнувшим файлам нет. Обидно - давно не копировала данные. Но ведь он должен быть на дисках, я правильно понимаю? Куда его еще то...
    Последний раз редактировалось Марина Бугреева; 02.08.2009 в 18:29. Причина: Добавлено

  9. #8
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34

    Проверьте пожалуйста логи после восстановления данных

    Все файлы, удаленные Троян энкодером, найдены и восстановлены.
    Всем огромное спасибо за помощь и за советы - без этого у меня бы ничего не получилось

    Но поскольку в процессе восстановления антивирус не раз ругался на присутствие троянов, прошу проверить логи после восстановления файлов на диске.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Windows XP SP2, обновления безопасности не установлены.
    Acrobat Reader 5.0
    Java 1.5.0_07
    Марина Бугреева, ваш компьютер просто подарок для хакера.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=51140

  12. #11
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Windows XP SP2, обновления безопасности не установлены.
    Acrobat Reader 5.0
    Java 1.5.0_07
    Марина Бугреева, ваш компьютер просто подарок для хакера.
    С этого момента поподробнее)

    Добавлено через 1 минуту

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=51140
    Закачан
    Последний раз редактировалось Марина Бугреева; 09.08.2009 в 22:07. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Марина Бугреева Посмотреть сообщение
    С этого момента поподробнее)
    Обновления безопасности на Windows надо устанавливать. Лучше начать с Service Pack 3 (может потребоваться активация).
    Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
    Обновите Java.

  14. #13
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    01.08.2009
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
    Он и был удален. Как раз перед "полетом диска". А профессиональный 7.*** поставить просто не успела. У ридера функций не хватает. Это не старая версия?
    С обновлениями и безопасностью поняла!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Марина Бугреева Посмотреть сообщение
    А профессиональный 7.*** поставить просто не успела. ...Это не старая версия?
    Нет - это очень старая версия. Последняя версия Adobe Acrobat 9 , однако я не слышал об уязвимостях в ней, читал только про Adobe Reader

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\85b6~1\locals~1\temp\svchost.exe - Trojan-Downloader.Win32.Agent.ckwo ( DrWEB: Trojan.MulDrop.33183 )


  • Уважаемый(ая) Марина Бугреева, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. потеря данных с локального диска D
      От Shkred в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.04.2011, 17:26
    2. Троян удаляет объекты из автозагрузки
      От didmoros в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.08.2010, 23:37
    3. Ответов: 0
      Последнее сообщение: 05.11.2009, 21:28
    4. блокирован запуск локального диска.
      От Rain в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.07.2009, 22:43
    5. Ответов: 2
      Последнее сообщение: 26.01.2008, 10:31

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01554 seconds with 17 queries