11 ответов в этой теме

[Userko]

Главная проблема такова. Со временем многие скачанные с интернета файлы стали исчезать.

Стал замечать по изменению размера папок. Но чего-то не обращал должного внимания.

А пропадания стали учащаться. То на диске Д было уже мало места, а то стало больше.

 

И я стал в имени папки указывать ее размер, число папок и файлов. И стал пользоваться ревизором с утилиты AVZ Зайцева.
И заметил при повторной проверке база-файлы, что в в папках с такими именами все на месте.

А вот те файлы и папки в C:\Users\2013\Downloads, которые беспорядочно лежат в ней пропадают. Стал замечать по общему их объему и по тому сколько трафика я скачиваю на файлах в день.

 

******************************************************************************************

 

Кроме того есть подозрение, что снова получают удаленный доступ к моему ноутбуку через интернет и таким образом удаляют файлы.

Есть конечно одни из подозреваемых. К ним я раньше приходил и хвастался сайтами на которые захожу. У них может быть зависть. У них в знакомых есть сотрудник полиции.

Они получали информацию по номерам принадлежащим мне, детализацию по ним. Использовали звонки и СМС с подменой номера. Цель рассорить со знакомыми.

 

Год назад уже получали доступ и отсылали с моего ноутбука СМС с сайта Теле2 разным людям и нам. Тогда зайдя на 2ip.ru обнаружил, что в смс указан мой АйПи. Вот так и обнаружил, что был доступ.

Пишу пока коротко. Взял новую сим-карту Теле2 - использовал только в одном телефоне. Предварительно заблокированные сим-карты в ней были, так что телефон уже не должен отсылать в сеть информацию о старых сим.

Но спустя 3 месяца с момента подключения и когда я со своими телефонами перемещался в городе на авто
снова поступила жалоба с номера 8 950 77 99 893, что я ему звонил и угрозы.
Тут 3 варианта - (понятно, что здесь сотрудники салонов, или оператора или полиции помогают неизвестным)
1 звонит действительно с этого номера (неизвестные применили подмену номера) 2 неизвестные сами звонят с подмененного номера 3 неизвестные звонят со своего номера.

https://cloud.mail.ru/public/b7b80c4a2870/030422560400.amr

https://cloud.mail.ru/public/66d15946d729/030422510000.amr

 

****************************************

Файлы не загружаются сюда. Пишет "Загрузка не удалась, так как не были выставлены соответствующие права для папки "uploads". Сообщите об этом администратору."

 

Загрузил на https://cloud.mail.ru/home/  Попробовал скачиваются - использовал другой браузер.

 

Все 5 файлов вместе
https://cloud.mail.ru/public/89f6deb2d839/%D0%BE%D1%82%D1%87%D0%B5%D1%82%D1%8B.zip

 

По отдельности

dwscanner быстрая проверка.log

https://cloud.mail.ru/public/cb503c6a6c70/dwscanner%20%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F%20%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0.log

 

dwscanner с юзерс.log

https://cloud.mail.ru/public/d76aa89628a4/dwscanner%20%D1%81%20%D1%8E%D0%B7%D0%B5%D1%80%D1%81.log

 

2012_1_050314_230237.zip

https://cloud.mail.ru/public/90cf315e1629/2012_1_050314_230237.zip

 

log hiackthis.txt

https://cloud.mail.ru/public/a4630be302c2/log%20hiackthis.txt

 

комментарий.txt

https://cloud.mail.ru/public/f8138d5f5dcc/%D0%BA%D0%BE%D0%BC%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D1%80%D0%B8%D0%B9.txt

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Macka]

Кроме того есть подозрение, что снова получают удаленный доступ к моему ноутбуку через интернет и таким образом удаляют файлы.

 

Для этого нужна программа удаленного доступа или троян. Проверьте машину на наличие таких программ, проверьте на вирусы, проверьте автозагрузку, отключите "удаленного помощника" и службу "удаленного реестра".

[Userko]

Macka, Служба "удаленный реестр" была отключена ранее (давно).  "удаленный помощник" был также ранее отключен. Как и служба "Службы удаленных рабочих столов" и "Настройка сервера удаленных рабочих столов" тоже отключены. .

 

На скриншоте написано что "1 уже имеет доступ" - так это учетная запись администратора - а я под ней не работаю. Да и пароли сложные стоят и меняются.

 

 

Со службами поработаю еще - посмотрю в интернете какие от чего. Аккуратно посмотрел (по описанию) какие нужно еще отключить. Да и в тех для которых выбран "Запуск вручную" отключил перезапуск службы при отказе. Я внимательно читаю и понимаю, что за службы.

 

Насчет автозапуска смотрел через AVZ. Про некоторые отмеченые черным (не зеленым) в windows/system32 посмотрю также что за файлы.

Проверку на такие программы я сделаю - это не только сканер ДрВеб и АВЗ. Есть и другие утилиты (как рекомендуется тоже проверять).

 

Просто происходят целенаправленные действия наблюдать какие ресурсы я посещаю, что на ноутбуке.
Да и свежий пример со сотовой связью.
Как только пришел домой - так поступил звонок от того же номера. Значит или по местонахождению или про прослушке обстановки определили.

 

Да и идет спам в виде СМС на телефон. (908 6278030 902 6525405 908 3689044 902 9551350 908 3689024 902 9557327 908 6278046 904 7221452 902 3814485 920 4404141 908 4313211 902 9550877 902 3630918 902 3787757 920 4404141 ...)
Причем случается, что одно и то же сообщение одновременно на моих 2 номера приходят.

А как известно в СМС могут быть управляющие команды для телефона. Возможно сами неизвестные и шлют. А телефон то был найден, но не перепрошит. Хотя могу перепрошить хорошо и сам - но пойдет ли сторонняя прошивка.

В полицию обращаться бесполезно. Им на всех похоже по... Раз не могут даже узнать на кого номер зарегистрирован.

Также слежу за файлами на ноутбуке с помощью ревизора. Я кстати не исключаю вариант, что они знают, что я и на этот ресурс захожу. 

[Macka]

С трудом представляю, как отслеживаются посещаемые вами сайты. Надо ждать специалистов, может кто подкинет идею. Я бы как вариант удалил все правила брандмауэра и в режиме обучения внимательно следил что лезет в сеть.

Сообщение было изменено Macka: 07 Март 2014 - 18:12

[Macka]

Может так же имеет смысл сбросить настройки роутера и сменить на него пароль?

[Userko]

У меня 3G-интернет от МегаФон. Сим-карта или в модеме или в планшете. По Вай-Фай не раздаю на свои устройства.

А вот насчет режима обучения - верно. Возможно и считается неудобно отвечать на запросы, но зато побезопастнее будет.

[l.e.e.]

У меня 3G-интернет от МегаФон. Сим-карта или в модеме или в планшете. По Вай-Фай не раздаю на свои устройства.

Поставьте пин код. А по СМС спаму обратитесь в мегафон - для отключения услуги коротких номеров и прочих.. медвежьих услуг.

Автоподключение к сети тоже лучше отключить.

Сообщение было изменено l.e.e.: 07 Март 2014 - 20:17

[Userko]

У Huawei E1550 нет в настройках вообще автоподключения. Все вручную. А запрос пин кода не влияет. СМС приходят на Теле2.

[santy]

вполне возможно,

что некорректно работает антивирус. После завершения закачки, файл некорректно проверяется антивирусом, в итоге центр безопасности системы удаляет закаченный файл как не прошедший проверку антивирусом.

 

Многие пользователи сталкиваются с проблемами при попытке загрузить файл или программу из Интернета. Это обусловлено несколькими причинами. Ниже приведены два способа решения проблем при появлении сообщений о том, что загружаемый файл заблокирован, либо сообщений "Не удалось выполнить антивирусную проверку" или "Обнаружен вирус".

 

 

Если зарегистрированная антивирусная программа уже выполняет проверки при доступе или сканирует файлы, когда они попадают на сервер электронной почты компьютера, дополнительные вызовы будут избыточны. Если эта политика включена, Windows поручит зарегистрированной антивирусной программе просканировать вложенный файл, когда пользователь его открывает. Если антивирусной программе не удастся выполнить проверку, открыть вложение будет невозможно.

 

 

http://support.microsoft.com/kb/883260

https://support.google.com/chrome/answer/2898334?hl=ru

Сообщение было изменено santy: 16 Март 2014 - 10:36

[Userko]

Так дело в том, что файлы потом помещаются в другую папку на другом логическом диске. И только через некоторое время начинал замечать изменение размера папок. По появляющемся свободному месту на логическом диске или чего-то уменьшились размеры папок.
СТОЯЛ НОД 32 тогда.

Сейчас контролирую размеры 3 способами. Пока не меняются. Возможно те кто получал (или еще получают) доступ видят, что поставлен контроль.
(Кстати насчет телефона - поставил переадресацию на номер крутого человека. Если будет снова звонить Якобыяемузвонил, то пусть с тем человеком говорит. Больше никто не звонит)

Проблемы с загрузкой файлов нет.
Почту смотрю с сайта только.

Приложения Microsoft Outlook Express, Microsoft Windows Messenger, Microsoft MSN Messenger и Microsoft Internet Explorer не использую.

 

Хотя конечно вероятно, что при повторных проверках тот "антивирус" считал их за ... и удалял.
Но буду следить.
 

[SergM]

Кстати насчет телефона - поставил переадресацию на номер крутого человека. Если будет снова звонить Якобыяемузвонил, то пусть с тем человеком говорит. Больше никто не звонит)

Прямо на Путина переадресацию поставили? Действительно круто, если оно так.