Исчезновение файлов + странности

23 декабря, 2010

Добрый вечер,

Есть подозрение на вирус. Основная причина: исчезли абсолютно все файлы из одной папки на рабочем столе (разветвленная внутренняя структура папок осталась): однако виста-поиск их видит. Предыдущая симптоматика: месяца два назад система начала тормозить (долго открывался браузер и программы), помогло восстановление системы. KIS никогда особенно не тревожился, за исключением одного раза перед началом торможения (подключилась к интернету в китайском отеле и тут же вылетели базы Касперского, помогло восстановление программы). Несколько раз не запускался Windows (тоже помогло восстановление системы); был период когда было не выключить компьютер (вместо этого перезагружался как после ошибки), сейчас странные сообщения при запуске (какие-то службы не могут запуститься). Других проблем на данный момент вспомнить не могу.

Прошу извинить если обратилась не по адресу. Не знаю как восстановить файлы и куда они вообще делись.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

23 декабря, 2010

Прошу извинить если обратилась не по адресу. Не знаю как восстановить файлы и куда они вообще делись.

по адресу.

1. а зачем было делать логи ив безопасном режиме и с помощью полиморфной AVZ?

сделайте логи в обычном режиме (не в режиме защиты от сбоев) и обычной AVZ (не забудьте обновить базы AVZ перед этим).

2. проверьте на virustotal.com файл C:\Program Files\DivX\Symantec\scstubinstaller.exe

ссылку на результат сообщите.

ждём новых логов

23 декабря, 2010

по адресу.
1. а зачем было делать логи ив безопасном режиме и с помощью полиморфной AVZ?

сделайте логи в обычном режиме (не в режиме защиты от сбоев) и обычной AVZ (не забудьте обновить базы AVZ перед этим).

2. проверьте на virustotal.com файл C:\Program Files\DivX\Symantec\scstubinstaller.exe

ссылку на результат сообщите.

ждём новых логов

1. Новые логи сделала. Дело в том, что AVZ стабильно зависала на одном из не особенно нужных файлов (копия обыкновенного письма из Outlook Express-а), но я только к ночи разобралась, что дело не в программе и не в режиме, а в этом файле, который я решила удалить; а нормальный AVZ решила не запускать, думая, что разницы нет.

2. Мне очень неудобно, но я не могу найти ни этот файл, ни папку Symantec, да и папки DivX в Program Files вообще нет (есть в других местах, но всё равно без Symantec-а). Попробовала найти расширенным вистовским поиском (и файл, и папку), безуспешно. Как ещё можно его вытащить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

23 декабря, 2010

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\tasks\Install_NSS.job','');
QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\rooksbas.dll','');
QuarantineFile('C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\19917\RapportCerberus_19917.sys','');
QuarantineFile('C:\Program Files\DivX\Symantec\scstubinstaller.exe','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL','');
QuarantineFile('C:\Windows\system32\DRIVERS\UIUSYS.SYS','');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys','');
QuarantineFile('C:\Windows\system32\drivers\RapportBuka.sys','');
QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys','');
QuarantineFile('C:\Windows\System32\hpfll70v.dll','');
QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\js32.dll','');
DeleteFile('C:\Windows\tasks\Install_NSS.job');
DeleteFile('C:\Program Files\DivX\Symantec\scstubinstaller.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Выполните рекомендации из этой темы:

http://virusinfo.info/showthread.php?t=3519

Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ.

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows Vista (пуск - программы - центр обновления Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

После ответа из вирлаба сделайте новые логи по правилам.

сейчас странные сообщения при запуске (какие-то службы не могут запуститься)

приложите скриншот такой ошибки.

однако виста-поиск их видит

тоталкоммандером пользуетесь? при включённом отображении скрытых файлов в нём файлы отображаются?

Изменено 23 декабря, 2010 пользователем Roman_Five

23 декабря, 2010

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пришел такой e-mail:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00019.dat,

bcqr00020.dat,

bcqr00023.dat,

bcqr00024.dat,

bcqr00025.dat,

bcqr00026.dat,

hpfll70v.dll,

Install_NSS.job,

js32.dll,

RapportPG.sys,

rooksbas.dll

Файлы в процессе обработки.

bcqr00017.dat,

bcqr00018.dat,

RapportBuka.sys

Вредоносный код в файлах не обнаружен.

Выполните рекомендации из этой темы:
http://virusinfo.info/showthread.php?t=3519

Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ.

Вот ссылка на моё сообщение там: http://virusinfo.info/showpost.php?p=74869...;postcount=9585

После проведённого лечения рекомендуется установить следующие обновления:
- все обновления на Windows Vista (пуск - программы - центр обновления Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

Виста обновлена, Java обновила, Reader-ом не пользуюсь

а также:
- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

Одна была, поправила

После ответа из вирлаба сделайте новые логи по правилам.

Процитированное автоматическое письмо уже считается ответом?

приложите скриншот такой ошибки.
тоталкоммандером пользуетесь? при включённом отображении скрытых файлов в нём файлы отображаются?

Вот тут самое интересное. Ошибки при запуске исчезли бесследно, а пропавшие файлы нашлись в одной из вложенных папок на том же рабочем столе. Каким образом они там оказались и как мог остаться на прежнем месте папочный "скелет" - загадка.

23 декабря, 2010

Reader-ом не пользуюсь

тогда деинсталлируйте. у Вас установлена старая версия.

Каким образом они там оказались

вариантов много: дети, случай, хорошая вечеринка, ...

уже считается ответом?

да. потом придёт повторное письмо на те файлы, что в обработке. если там вдруг что найдётся, сообщите в этой теме.

сделайте контрольный набор логов.

23 декабря, 2010

сделайте контрольный набор логов.

Сделала

тогда деинсталлируйте. у Вас установлена старая версия.

Вообще его не нашла в системе. Установлен Acrobat - это он же? 8.2 это уже старый? Обновляться автоматически он не хочет.

вариантов много: дети, случай, хорошая вечеринка, ...

В обратном порядке эти варианты действительно бывают. Но здесь, похоже, чисто женская ловкость.

Мне ужасно неловко, что я вас подняла на уши фактически без повода! Надеюсь, что проведённая профилактика убережёт от каких-нибудь будущих проблем.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

23 декабря, 2010

Установлен Acrobat - это он же? 8.2 это уже старый?

он. удаляйте или обновляйте, скачав с сайта.

В обратном порядке эти варианты действительно бывают.

:)

в логах чисто.

23 декабря, 2010

он. удаляйте или обновляйте, скачав с сайта.

ОК, сделала.

в логах чисто.

Ура! Огромнейшее вам спасибо!

Исчезновение файлов + странности

Рекомендуемые сообщения

Паолина

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Паолина

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Паолина

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Паолина

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Паолина

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum