Прикрепленные файлы:
-
Dr.Web.rar 630,5К
26 Скачано раз
-
HijackThis.rar 3,84К
33 Скачано раз
-
RKU.rar 5,36К
28 Скачано раз
-
__________.jpg 72,86К
45 Скачано раз
Бесследно исчезла папка
Автор
Mikhail Maltsev
, фев 14 2010 18:56
17 ответов в этой теме
#1
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 14 Февраль 2010 - 18:56
Здравствуйте. Ситуация произошла на компьютере родственника. При установке новой игры «WolfTeam» (установка производилась в директорию D:\Игры), начали вылетать окна и сразу же закрываться (как рассказал пользователь). Он отменил установку, но после обнаружил, что в папке, где было установлено 35-40 игр, осталось 6-7. Они просто исчезли. Сегодня, уже я, в качестве эксперимента, заново производил установку данной игры, все в тот же каталог. Установку я не прерывал, конечно же. В итоге, папка «Игры» вовсе исчезла с диска D:\. Причем удивительно, дисковое пространство не было затронуто. Но все на том же диске появилась новая папка, под названием «WindowsImageBackup». В ней находится еще одна папка с именем владельца ПК. Там находится файл «36638a7f-d11c-11de-a13a-806e6f6e6963.vhd», который весит 25,5 гигабайта. Логи по правилам прикрепил. Что еще примечательно, при создании лога RKU было замечено странное поведение, скрин прикрепил. По всем признакам видно, что в системе присутствует что-то инородное. Система - Windows Vista, антивирусное ПО - Dr.Web SS 5.0 x32.
#2
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 14 Февраль 2010 - 19:14
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#3
Алексей.
-
- Posters
- 680 Сообщений:
Advanced Member
Отправлено 14 Февраль 2010 - 19:17
c:\windows\system32\nvlsp.dll - проверьте на Вирус Тотал. Перед этим включите в Свойствах папки в Панели управления "показывать скрытые и ситемные папки".Пробуйте.
#4
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 14 Февраль 2010 - 19:23
Это от сетевых драйверов Nvidia -точнее остатки ее фаера - можно удалить через LSPFix.c:\windows\system32\nvlsp.dll - проверьте на Вирус Тотал. Перед этим включите в Свойствах папки в Панели управления "показывать скрытые и ситемные папки".Пробуйте.
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#5
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 14 Февраль 2010 - 19:26
То есть файлы исчезли и появилась большая папка, по размеру соответствующая пропавшим файлам? Допросите пользователя с пристрастием, что он откуда качал и запускал. А также было бы интересно узнать, что в той самой папке.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 14 Февраль 2010 - 19:43
Папка WindowsImageBackup - создается самой Vista - это встроенное резервирование (Backup and Restore)!!!
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#7
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 14 Февраль 2010 - 20:26
Качал он игру, название выше, с трекера. процесс запуска я описал. Папка Игры совсем исчезла с диска. Мне главное, по логам что там?То есть файлы исчезли и появилась большая папка, по размеру соответствующая пропавшим файлам? Допросите пользователя с пристрастием, что он откуда качал и запускал. А также было бы интересно узнать, что в той самой папке.
#8
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 14 Февраль 2010 - 20:28
Качал он игру, название выше, с трекера. процесс запуска я описал. Папка Игры совсем исчезла с диска. Мне главное, по логам что там?То есть файлы исчезли и появилась большая папка, по размеру соответствующая пропавшим файлам? Допросите пользователя с пристрастием, что он откуда качал и запускал. А также было бы интересно узнать, что в той самой папке.
Если стоит Dr.Web SS то нужны логи спайдер гуарда и спайдер гейта.
Качалось с офиц.сайтов?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#9
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 14 Февраль 2010 - 20:28
с трекераКлиент брали с такого с оф.сайта или типа такого или на стороне?
#10
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 14 Февраль 2010 - 20:31
Ссылку на торрент. Если не очень громадная то скачаю и посмотрю.с трекераКлиент брали с такого с оф.сайта или типа такого или на стороне?
Чем качалось?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#11
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 14 Февраль 2010 - 20:31
Закачка шла с торента, поэтому думаю что гейт не даст никакой информации. С логами то что там?Качал он игру, название выше, с трекера. процесс запуска я описал. Папка Игры совсем исчезла с диска. Мне главное, по логам что там?То есть файлы исчезли и появилась большая папка, по размеру соответствующая пропавшим файлам? Допросите пользователя с пристрастием, что он откуда качал и запускал. А также было бы интересно узнать, что в той самой папке.
Если стоит Dr.Web SS то нужны логи спайдер гуарда и спайдер гейта.
Качалось с офиц.сайтов?
#13
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 14 Февраль 2010 - 20:38
Не,так не пойдет.В ромашку не играю.Думаю вот этоСсылку на торрент. Если не очень громадная то скачаю и посмотрю.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#15
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 14 Февраль 2010 - 22:30
Хм... зачем неизвестно что с торрента качать, если есть нормальные сайты...
кстати, vhd - это стандартный виртуальный диск... можно подключить и посмотреть что на нем есть!
В 7 - можно подключить виртуальный жесткий диск в оснастке управления дисками
(Пуск - Поиск - diskmgmt.msc - Действие - Присоединить виртуальный жесткий диск).
ЗЫ
Может у Вас Acronis шалит?
кстати, vhd - это стандартный виртуальный диск... можно подключить и посмотреть что на нем есть!
В 7 - можно подключить виртуальный жесткий диск в оснастке управления дисками
(Пуск - Поиск - diskmgmt.msc - Действие - Присоединить виртуальный жесткий диск).
ЗЫ
Может у Вас Acronis шалит?
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#16
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 14 Февраль 2010 - 22:36
Как бы Вам ответить на Ваш вопрос...Пользователь мягко говоря не очень хорошо разбирается в компьютерах, тем более в интернете. Чего только мне стоило научить его торентом пользоваться. А Вы говорите оф. сайты... А вот по поводу открытия этого файла - поподробней пожалуйста. Я это честно говоря не знаю, потому что никогда не сталкивался с подобным. Но всегда приходится когда-то начинать. так что опишите поподробней что и как. операционная система - Win VistaХм... зачем неизвестно что с торрента качать, если есть нормальные сайты...
кстати, vhd - это стандартный виртуальный диск... можно подключить и посмотреть что на нем есть!
В 7 - можно подключить виртуальный жесткий диск в оснастке управления дисками
(Пуск - Поиск - diskmgmt.msc - Действие - Присоединить виртуальный жесткий диск).
#17
pig
-
- Helpers
- 10 887 Сообщений:
Бредогенератор
Отправлено 15 Февраль 2010 - 00:47
IMHO, допуск к торрентам точно надо делать через сдачу экзаменов на права. Пусть сначала выучат, что есть официальные сайты.Пользователь мягко говоря не очень хорошо разбирается в компьютерах, тем более в интернете. Чего только мне стоило научить его торентом пользоваться.
Почтовый сервер Eserv тоже работает с Dr.Web
#18
Mikhail Maltsev
-
- Posters
- 1 046 Сообщений:
virus hunter
Отправлено 15 Февраль 2010 - 00:50
Вы лучше скажите, что с логами тоIMHO, допуск к торрентам точно надо делать через сдачу экзаменов на права. Пусть сначала выучат, что есть официальные сайты.Пользователь мягко говоря не очень хорошо разбирается в компьютерах, тем более в интернете. Чего только мне стоило научить его торентом пользоваться.
