Показано с 1 по 10 из 10.

кто-то лазит по компу и стирает инфу (заявка № 77674)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2010
    Сообщений
    4
    Вес репутации
    51

    Question кто-то лазит по компу и стирает инфу

    кто-то лазит по компу и стирает инфу. Сначала появился авторан на логическом диске D и файлик с названием khv. Я его каспером и стер физически. Это повторилось еще раз, а затем я увидел, что мои данные на D стерты и оставлен приветик - текстовый пустой файлик ЖАЛУЙСЯ!.
    Позднее еще появлялись сообщения. Заранее спасибо.
    Вложения Вложения
    Последний раз редактировалось 458863; 05.05.2010 в 09:57. Причина: забыл вложить логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\program files\multikeyboard driver\kbddrv.exe','');
     QuarantineFile('C:\WINDOWS\gdrv.sys','');
     QuarantineFile('C:\System Volume Information\_restore{36BF715D-B1D6-4A73-8A31-E7E2D14598EC}\RP721\A0172433.exe','');
     DeleteFile('C:\System Volume Information\_restore{36BF715D-B1D6-4A73-8A31-E7E2D14598EC}\RP721\A0172433.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Еще раз аккуратно скопируйте текст скрипта.. Я проверил - ошибок в скрипте нет

  5. #4
    Junior Member Репутация
    Регистрация
    04.05.2010
    Сообщений
    4
    Вес репутации
    51

    все получилось

    все получилось. Только никак не могу войти в безопасный режим - винда не реагирует на F8. скрипт загружал. Не действует, можно ли проверку делать не в безопасном режиме?

    Добавлено через 10 минут

    Файл quarantine.zip выслал
    Сделал повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Прислать эти файлы?

    Меня, как лоха в компах беспокоит это в последнем логе:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Может посоветуете как это устранить.
    Заранее огромное спасибо.
    Последний раз редактировалось 458863; 05.05.2010 в 12:08. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от 458863 Посмотреть сообщение
    Сделал повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Прислать эти файлы?
    их надо прикрепить к новому сообщению в этой теме... Ждем новые логи

  7. #6
    Junior Member Репутация
    Регистрация
    04.05.2010
    Сообщений
    4
    Вес репутации
    51

    Загрузил новые логи

    Загрузил новые логи

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    D:\Consultant_New\cons.exe- файл знаком?

    Больше ничего подозрительного нет.

    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта сформируется файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  9. #8
    Junior Member Репутация
    Регистрация
    04.05.2010
    Сообщений
    4
    Вес репутации
    51

    Спа-си-бо!

    Спасибо большое! Уязвимостей не обнаружено. Только как узнали про D:\Consultant_New\cons.exe он у меня был и был вытерт тем засранцем. Можно ли его восстановить после уничтожения точек восстановления?
    Да и еще вопрос: я восстанавливал через прогу Recover4all Pro 2.25.exe на внешний диск. Можно ли восстановленное вернуть на старое место (диск D)?
    Чем могу помочь, вобче-то я Лойер (Lawyer)?

    Добавлено через 2 часа 1 минуту

    После всех манипуляций форматнул диск D и вот остался этот файлик весом в полГига (после форматирования): REMOVE_THIS_FILE.livecd.swap
    ПРи этом livecd с сайта drweb.com гаружается с ошибкой, после которой не запускается сканер и комп полностью виснет. Удаляя этот файлик физически в корзину - он улетает махом, как будто не весит 500Мб. Как с этим бороться?
    Последний раз редактировалось 458863; 05.05.2010 в 15:21. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от 458863 Посмотреть сообщение
    я увидел, что мои данные на D стерты и оставлен приветик - текстовый пустой файлик ЖАЛУЙСЯ!.
    Поставьте надежный пароль на учетные записи с правами Администратора.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) 458863, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 17.11.2011, 22:03
    2. Компьютер сам по сайтам лазит ВИРУС
      От mcpasha в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.10.2011, 21:29
    3. что-то постоянно стирает шрифты в папке FONTS
      От SergeySol в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.08.2009, 15:38
    4. Ответов: 25
      Последнее сообщение: 22.02.2009, 05:09
    5. почему SPider не сканит инфу о 139 TCP
      От NikolayFirsov в разделе Windows для опытных пользователей
      Ответов: 5
      Последнее сообщение: 01.08.2008, 11:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00103 seconds with 20 queries