|
Printable Version of Topic
Click here to view this topic in its original format |
| Forums > Глюкодром > Пропадают данные, при очень странных обстоятельствах |
| Posted by: satir on 27-03-2005, 14:45 |
Соственно, началось всё пару недель назад...Пропало содержимое нескольких папок с МП3. Именно содержимое-ВСЕ ДИРЕКТОРИИ на месте.Дальше больше-на разных дисках и разные данные-но пока замечена только пропажа МП3 и архивов, содержащих ИМЕННО МП3. Аналогичные архивы, содержащие , к примеру OGG,Эйп или ДжиПег-остаются...К сожалению, пострадали в основном архива с книгами...  У друзей начались аналогичные проблемы приблизительно в это же время, также с файлами МП3, правда, выражается это в НЕВОЗМОЖНОСТИ зайти в директорию...А после перезагрузки машины директория ИСЧЕЗАЕТ... Хто-нить чо-нить слышал...???Поаторю-проблема ИМЕННО с ФАЙЛАМИ МП№, или АРХИВАМИ МП3 содержащими...( Конечно же проверял и на вирусы, и на трояны...)
|
| Posted by: Set on 27-03-2005, 18:07 |
| Вирус ? |
| Posted by: friz on 27-03-2005, 18:15 |
| Может како-нибудь вирус или троян подхватил? |
| Posted by: satir on 27-03-2005, 18:38 | ||
Может быть, но как его выловить?Если ОН НИКОМУ не виден...Собсна, я другого здравого объяснения не нахожу...Щас попробую ещё одним антивирусом-тут он очень популярен, говорят, что отлавливает то, что не видят другие...Вторые сутки гружу машину...Ничего не найдено...
|
| Posted by: Мук on 27-03-2005, 18:49 |
|
Может чуток не по теме, но... Пропадет место на харде! Хард 120Gb, Но я вижу только 95, пару дней назад видел 101... 
|
| Posted by: Set on 27-03-2005, 19:21 |
| Онлайновые антивирусники попробуй. |
| Posted by: Pikachu on 27-03-2005, 19:22 | ||
Метелкои |
| Posted by: Pikachu on 27-03-2005, 19:24 |
|
1) SYMANTEC on-line scan (http://www.symantec.com/techsupp/info_solve_virus_index.html 2) может хард "сыпется" потихоньку? Попробуи оттестировать 
|
| Posted by: Мук on 27-03-2005, 20:37 | ||
Это как "сыпется", и как его оттестить??? Заранее спасибо...נ |
| Posted by: TEXHIK on 27-03-2005, 20:38 |
|
Единственное, что можно предположить,- антивирус принимает МР3 за вирусы и "молча" убивает, покопайся в его конфигурации, дай ему просканировать какой-нибудь МР3. Сопоставь свою систему с друзьями тоже больными этим, что есть общего (новые проги, антивирусы, события). Что нового появилось в системе. |
| Posted by: Pikachu on 27-03-2005, 20:39 | ||||
Ето я для satir писал |
| Posted by: satir on 27-03-2005, 20:49 | ||||||
МП3!  -И не один диск (Сигейты, моложе месяца)... Очень похоже на вирус...Только что удалил двух троянов , которых только что нашёл...Как ЭТО могло быть связано...Не знаю...
|
| Posted by: TEXHIK on 27-03-2005, 21:02 |
|
Можно попробовать эту штуку: HijackThis, мне иногда помогала; тут описание: http://www.tomcoyote.org/hjt/ (http://www.tomcoyote.org/hjt/ А тут она сама: http://tomcoyote.org/hjt/hjt199//hijackthis.zip (http://tomcoyote.org/hjt/hjt199//hijackthis.zip Или что-нибудь аналогичное. |
| Posted by: ego on 27-03-2005, 21:07 |
я как то тоже решил что у меня пропадают мпз а потом выяснилось что кто то (или я сам) нажал в тотале показывать только запускаемые файлы.Потер я тогда прилично папок с файлами  Поставь прогу Active@Undelete она покажет что там стерто мимо корзины и востановиш если они действительно стерты.А делал показывать скрытые файлы?Может вирь какой меняет атрибут файла просто.А доступ к дискам\папкам проверял ?нет ли там каких неавторизированых доступов |
| Posted by: sdandrey on 27-03-2005, 21:45 |
так для интереса пробуй через Recovery Console зайти в ети паки и посмотри будут MP3 там или нет 
|
| Posted by: ego on 27-03-2005, 21:56 |
| всем очень советую запускат eMule secure он не от админа запускает его а то кажется мне появились какие то эксплоиты дающие неавторизированый доступ на твои харды, с тех пор как поставил эту галочку у меня перестали появляться анонимные доступы к диску |
| Posted by: satir on 27-03-2005, 22:43 | ||
Очень похоже... Млиннн...Пока суть да дело-пропала ещё одна книжка... Если можно -побыстрей и поподробнее...
|
| Posted by: retro on 27-03-2005, 22:49 |
|
ego Ты уже явно перегрелся с учебой... Бросай это дело, а то скоро зеленые человечки и "эксплоиты дающие неавторизированый доступ" везде мерещиться начнут... и никакой "secure mod" не поможет...  Завязывать пора... Тебе с учебой, а кому-то с выпивкой... пока все Мр3 до конца не сожрали Как там было? "...Бергите Мр3! Их сожрут, за АРЕ возьмутся..." Интересно было бы провести статистику - злобный вирус с какого битрайта кушать начинает? И по жанрам тоже бы любопытно - наверняка попса первая под нож пошла  |
| Posted by: retro on 27-03-2005, 22:51 |
|
satir Ты на самом деле или...?... Но ведь далеко еще до 1-го апреля...
|
| Posted by: FiL on 27-03-2005, 23:00 | ||
Как насчет I love you? http://www.secrail.h1.ru/aids/lovelet.htm (http://www.secrail.h1.ru/aids/lovelet.htm
|
| Posted by: satir on 27-03-2005, 23:04 | ||
Ночной дозор, Дневной дозор,Собака Баскервилей-только что,Все 3 Хроники Нарнии,Архив Армстронга,часть дискографии Люсьера, Вся дискография CAN, вся дискография Магмы,половина дискографии Аутекры-кое-что осталосььь...Млинннн...Я не шучу...И многое я просто не проверял...Архивы с ОГГ файлами- ВСЕ НА МЕСТЕ...Пропадают Только МП3...пропажи на разных физических дисках... |
| Posted by: ego on 27-03-2005, 23:06 |
| retro тока я пару раз уже обнаружи в папке инкоминг разрешенный доступ анонимным юзерам,сам по себе да ниоткуда,очень странно |
| Posted by: satir on 27-03-2005, 23:10 | ||||
Может какая-то разновидность...Все антивиры-ап ту дэйт...Систему переустановил...Хрен его знает...Хорошо-спас фотки-они вроде не пострадали... |
| Posted by: retro on 27-03-2005, 23:20 | ||
ego
Где ты это видишь и как "оно" выглядит? |
| Posted by: satir on 27-03-2005, 23:26 |
| Угу...Обратите внимание на различного рода "добавки" последним версиям Неро -начиная с 6.От " уважаемых" Кора и Ориона"...Очень может быть, что в них дело... |
| Posted by: retro on 27-03-2005, 23:36 |
|
satir Эти файлы обыкновенные трояны из отряда кей-логгеров и прочих. Жрать файлы они не могут. Антивирусы всю эту бодягу давным-давно определяют на-раз... Что я могу тебе посоветовать - выруби срочно комп, поставь другой диск (не обязательно большой и новый) формат полный (с разрушением всех партиций и созданием новых + Fdisk /mbr). На него только винду и антивирус (очень неплохо сейчас себя ведет McAfee 9), update и проверять твой старый диск. Делать что-то на зараженном (подозреваемом) диске просто бессмыслено. Потом напиши, будем думать дальше. |
| Posted by: Billy Bonce on 27-03-2005, 23:39 |
A что если положить где-то на диске мп3 на затравку ... и понаблюдать издалека, что за процесс его стирает ? 
|
| Posted by: satir on 27-03-2005, 23:54 | ||
Я , в основном, в курсе МакАффи, к слову, их НЕ определил... Да, вот ишшо, пара слов-Run eMule as unpriviledged UserThis option is only available in the Win NT series (2k, XP, 2003) and allows eMule to profit from the tighter security these systems provide. Usually a user is logged on to his machine with an Administrator account. This account type allows him and all executed software full control over the system. In this case also all malicious code executed will have its full bad effect. Running eMule as unprivileged user will create an own user account in the operating system called emule_secure and sets the permissions for full access to the folders it needs (installation folder, temp and incoming folders) for this special user. Otherwise this account is heavily restricted and denies access to other parts of the system. eMule starts itself under this user account making sure that any malicious code which may be injected has no rights on the system, thus not being able to do any harm. This is a preventive measure in case of any vulnerable code is found which could be exploited. Notes: o eMule cares for the file access it needs. Further security can be achieved by deliberately restricting file access to other folder or entire drives. Restricting file access is only possible with NTFS but not with FAT o The separate account offers the full possibilities of control mechanisms in modern operating systems like disk quotas etc. o A bug in Windows XP prevents any visual styles from working when eMule is run in this mode. The GUI will look like standard Win98. Windows XP SP2 seems to solve this problem. o This setting will not provide any anonymity in the network but makes the system eMule runs on more resistant to any possible outside attack. -Это, к вопросу о том, что сказал Эго... Эго, спасибо! Никогда бы и внимания не обратил...
|
| Posted by: satir on 27-03-2005, 23:56 | ||
Он ( этот процесс-собака) жрёт ,чё хочет...Я бы сам не поверил...Мдааа...Подожду-посмотрю, может и правда поможет...то, что предложил Эго... |
| Posted by: satir on 27-03-2005, 23:59 | ||
Для этого надо его иметь...
|
| Posted by: retro on 27-03-2005, 23:59 |
Ты хочешь сказать, что у тебя нет NTFS, и нет SP2?.. 
|
| Posted by: sdandrey on 28-03-2005, 00:10 |
|
ето хорошо чо у него нет SP2 от SP2 только одна головная боль |
| Posted by: heineken man on 28-03-2005, 00:11 | ||
Запуск процессов с правами непривелигированных юзеров направлен на устранение опастности того, что используя какой-нибудь buffer overflow злоумышленник сумеет "завалить" процесс (мула в нашем случае) и получить доступ к системе с правами этого процесса. Это не совсем твой случай, у тебя судя по описанию "самостоятельный" вирус, с мулом не связанный.  Welcome to the world of UNIX. 
|
| Posted by: sdandrey on 28-03-2005, 00:18 | ||
и чо в нем делать? наблюдать за синим екраном и строчить командную строку? 
|
| Posted by: satir on 28-03-2005, 00:18 | ||
Что я могу тебе посоветовать - выруби срочно комп, поставь другой диск (не обязательно большой и новый) формат полный (с разрушением всех партиций и созданием новых + Fdisk /mbr). -Ты предлагаешь мне отформатировать в НТФС CD со ВТОРЫМ СЕРВИС ПАКОМ? -Хайникен, спаибо...! Я иевнимателен...Сто лет, кстати
|
| Posted by: heineken man on 28-03-2005, 00:20 | ||
Ты ничего не перепутал?  
|
| Posted by: sdandrey on 28-03-2005, 00:28 |
|
помню когда то надо было мучать C под юникс, так там очень даже неблюдался синий екран. и очень романтические воспоминания остались о командной строке.но ето было давно.сейчас наверное екран цвет поменял
|
| Posted by: heineken man on 28-03-2005, 00:32 |
Следующий раз нЕблюдай внимательно - может сможешь виндовый BSOD от юниксовского шела отличить. 
|
| Posted by: sdandrey on 28-03-2005, 00:34 |
|
блин ето у меня амнезия.предпенсионный возраст ,блин, сказывается ето оболочка под C была голубого цвета 
|
| Posted by: retro on 28-03-2005, 00:37 | ||
satir
Сегодня вечер юмора... Прочти внимательно, что я написал... А, впрочем, еще раз: Я предлагаю поставить тебе другой жесткий диск (не CD), на него поставить систему (да, с SP2), сделать заново формат (да, в NTFS), и далее по тексту. |
| Posted by: satir on 28-03-2005, 01:09 | ||||
Какой уж юмор... Да понял я... Диска нет...Да и взять в ближайшие пару дней-негде...
|
| Posted by: FiL on 28-03-2005, 02:40 |
| А файлы точно пропадают? Место свободное на диске появляется? |
| Posted by: ego on 28-03-2005, 06:53 |
|
retro вижу я это в ACL что то типа anonimus юзер имеющий фул контроль над папкой satir попробуй то что я говорил пр активанделет он покажет все файлы удаленные мимо корзины и помотри или есть у тебя эти файлы а они есть Если будеш мула как непривелигирированого подключать у тебя появится юзер емуле секюре добавь его в группу юзерс и когда мула включаеш загляни в лог чтобы убедится что он стартовал как положено |
| Posted by: satir on 28-03-2005, 10:07 | ||
Да, в том то и дело...Типа-открываешь, смотришь-свободного места 11 гиг-, через 10 минут-уже 12... Причём, я же не могу щас точно со стопроцентной уверенностью сказать,ЧТО ПРОПАЛО! Я абсолютно точно знаю, что пропали книги, МП тришки, и архивы с книгами и МП 3...Архивы с ОГГ ифайлы огг ТОЧНО остались-их было немного и я точно помню-какие... А вот со стопроцентной уверенносстью сказать, что не пропали фотки, к примеру-я не могу...Их были сотни...Я их спас-то, что осталось...смог восстановить один архив, который пропал буквально на глазах-последний...А вот то, что пропали остальные архивы- программка даже и не показала...Бред какой-то ---Эго, понял, спасибо...
|
| Posted by: sdandrey on 28-03-2005, 17:09 |
|
как вариант по сохранению данных советую поменять расширения на всех несанкционированно убиваемых файлах,таким образом обманешь вирус ну а когда найдешь вредителя, то возвратишь все в зад 
|
| Posted by: sdandrey on 28-03-2005, 18:03 |
|
есть еще один вариант : в Security у своего юзера запрети удаление файлов во всех папках где у тя лежат файлы убиваемих расширений
|
| Posted by: Set on 28-03-2005, 21:57 | ||||
Filemon попробуй, фильтр настрой только в нём. Процесс лезущий читать файлы архивов - это враг. |
| Posted by: Zemlynin on 28-03-2005, 23:07 |
|
satir А у тебя NetBIOS выключен ? А то такие шалости что у тебя я через нетбиос вытворял |
| Posted by: ego on 28-03-2005, 23:09 |
|
sdandrey проще,делаеш нового юзера с админскими правами,потоим делаеш папку в ней убираеш все разрешения секьюрити и оставляеш одно админа нового даеш ему право писать но дени удалять,систему тоже убираеш,начинаеш туда все бекапить,также с помощью активанделет подымаеш обратно свои файлы и копируеш их в эту папку,но только мр3 и джпеги ,после этого можно чего нить делать с системой. Файлы удаляются для системы но с харда они никуда не деваются вот Zemlynin и признался дык полюбому стена то стоит у негопроверь,нет ли у тебя в ACL каких нить ункнов юзеров с полным доступом,у меня были во всех папках куда мул имел доступ |
| Posted by: sdandrey on 28-03-2005, 23:16 | ||
может оно и проще но за время что он это будет делать у него еще какое-то количество файлов съестса а то чо я предложил быстрее а следовательно и меньше файлов потеряется |
| Posted by: ego on 28-03-2005, 23:19 |
|
зато будет место куда можно положить нестремаясь,хотя если какой нить супер продвинутый вирус который и таблицу нтфс меняет. Да пусть удаляются,пока писать новые не будет все будет на месте потом все можно востановить. Ну еще запустит в это время HajackThis и убить все что можно в нем на время,потом если че с бекапа востановить. Я бы все от него спрятал и посмотрел бы че делать будет (вирус, если это он) Уменя с explorerom виндов нежная любовь ваще,он такие вещи вытворяет что просто жуть я бы ваще его убил на время и поставил бы какой нить другой файловый менеджер |
| Posted by: Zemlynin on 28-03-2005, 23:24 | ||
Ну это было давно...
|
| Posted by: ego on 28-03-2005, 23:26 |
| Zemlynin да знамо дело ENT и сканиш открытые компы с нетбиос |
| Posted by: satir on 30-03-2005, 23:16 | ||
Спасибо всем-
|
| Posted by: UGIN on 30-03-2005, 23:37 |
|
satir Отпиши потом, что нашлось.. |
| Posted by: ego on 01-04-2005, 00:00 | ||
Попроси комп хорошо 
|
| Posted by: satir on 10-04-2005, 00:38 | ||
1. НИКАКОГО конкретного ответа я дать не могу-ЧТО это было ( а ,может и ЕСТЬ)-я не понял. Проверил всё, что мог. И не нашёл ничего, кроме кое-каких троянов, прилагавшихся к кое- каким "народным любимцам" ребятами из ОРИОНа. После их удаления -пропаж больше не наблюдалось. Сказать,что эти два события напрямую связаны, я пока не могу-прошла только неделя. Пропало в общей сложности 5.4 Гб+2.7+3.2+0.9+ так что-потери -неприятные, учитывая МП3 шность. Кое-что ( бОльшая часть, как выяснилось)-была обэкаплена. Кое-что уже скачано заново. Кое-что-в процессе.Потерь других типов файлов (кроме МП3)-не замечено. Не замечено также и потерь Джипегов и других картинок,ави шки также остались живы.Текстовые файлы, и архивы с ними-все на месте. Стена не показывала никакой активности.Вобщем...не знаю...Первые днипросыпался с нехорошим ощущением...Щас , вроде, острота ощущений притупилась .Да, к слову. Друзья, переустановившие систему и удалившие эти же ДОБАВКИ , также больше не жаловались.Не знаю, что и думать.Я о таком НИКОГДА не слышал.
|
| Posted by: UGIN on 10-04-2005, 02:20 |
|
Мдааа... Черт знает что и сбоку бантик... Других словей просто нет. |
| Posted by: astra on 10-04-2005, 03:18 | ||
|
| Posted by: satir on 10-04-2005, 15:30 | ||||
|
| Posted by: FiL on 10-04-2005, 19:13 |
|
Ага, я его уже давно юзаю. Маленький, простой, шустрый и, похоже, работает.
|
| Posted by: ego on 11-04-2005, 00:19 |
| да я тоже обнаружил в кейгение ориона для неро трояна ним |
| Posted by: astra on 11-04-2005, 15:01 |
|
Тогда вопрос, чайника. Перед тем как инсталировать етот антивирь, надо удалить старый? Или достатохно сказать старому - не стартовать после ребута? |
| Posted by: ego on 11-04-2005, 22:14 |
|
выбрать какой из них будет сервисом бежать.Какраз в АнтиВир я не нашел опции не загружаться со стартом винды пришлось в msconfig вырубать astra не надо старый удалять,останови его и отключи загрузку при старте винды |
| Posted by: astra on 11-04-2005, 22:53 |
| Сенькс! |
| Posted by: genka on 15-04-2005, 23:46 |
|
satir, Почисть почтовый ящик, я тебе ПМ не могу отправить! |
| Posted by: satir on 16-04-2005, 00:34 |
|
Мне очень понравилось название сервера, на котором ты сидишь! -Уже!
|
| Posted by: genka on 16-04-2005, 08:05 |
|
Hardcore girls Uptime 100 days
|
| Posted by: Billy Bonce on 25-04-2005, 14:46 |
|
Новый червь стирает с винчестера МР3-файлы 25 АПРЕЛЯ 2005, 12:00 КОМПЬЮЛЕНТА Компания Sophos зафиксировала появление новой вредоносной программы Nopir.B, инфицирующей компьютеры под управлением операционных систем Microsoft Windows. Червь Nopir.B распространяется через пиринговые сети под видом утилиты для взлома защиты DVD. После загрузки и запуска пользователем вирус создает на жестком диске несколько своих копий с различными названиями и расширением ЕХЕ и затем выводит на дисплей окно с надписью Intelligence Resource Program и изображением французского флага. Кроме того, червь Nopir.B пытается удалить с доступных накопителей все файлы с расширениями СОМ и МР3. Таким образом, полагают специалисты Sophos, вредоносная программа, по всей видимости, разрабатывалась с целью борьбы с музыкальным пиратством. Однако, различий между теми, кто приобрел защищенные авторскими правами композиции легально и загрузил их через файлообменные сети, Nopir.B не делает. Помимо "чистки" винчестера, вирус выполняется и ряд других деструктивных действий. В частности, червь блокирует доступ к диспетчеру задач, панели управления Windows, а также делает невозможным использование встроенных в операционную систему средств редактирования реестра. В настоящее время известно о единичных случаях заражения червем Nopir.B. Тем не менее, компания Sophos рекомендует всем пользователям обновить антивирусные базы данных во избежание утери важной информации. Детальное описание вредоносной программы Nopir.B можно найти в этом бюллетене безопасности. |
| Posted by: TEXHIK on 25-04-2005, 22:25 |
|
"Lors de son exécution, W32/Nopir-B affiche à l'écran une image contre le piratage informatique", prévient Sophos, qui propose une protection: http://www.sophos.fr/virusinfo/analyses/w32nopirb.html (http://www.sophos.fr/virusinfo/analyses/w32nopirb.html depuis le 20 avril. Une fois activé, le ver supprime tous les fichiers COM et MP3 de l'ordinateur, et désactive aussi le gestionnaire de tâches, les outils du registre et l'accès au panneau de configuration. D'origine française, Nopir-B a été créé par Cyberbob33, un "French hacker" aux intentions bien douteuses. Son ver, au moins tout aussi illégal que ce qu'il prétend combattre, se déguise sous la forme d'un crack pour le logiciel AnyDVD 5.1.0.1, et se loge dans le dossier de téléchargement par défaut d'eMule (voir Sophos pour plus d'explications). |