Много кофти вирус

grigorov

Active Member
Здравейте,
В единият от търговските ни обекти се е лепнал супер гаден вирус. От този тип който пълни пълни до пръсване харда.
В началото се виждаха някакви файловe ****.tmp И поне тях като чистих свалях много от пълнежа. И така я карах докато мисля какво да правя. Смених аваста с windows security essentials. И с двете все тя...
Вече харда ми свети червено от 150 гб имам 2 гб свободни и вероятно ще стопи и тях.
Най-лошото е че вече не ги намирам тези файлове .tmp да ги чистя. Все едно няма нищо а просто се пълни.

Препоръката за реинстал никак не ми се нрави защото има специфични софтуери използва се и за сървър и за другите търговски обекти и една преинсталация направо ще ми разкатае фамилия. Ще блокирам цял ден работата в обектите и ще трябва да кихна пак 100-200 лв. за помощта на фирмата която ми поддържа складовият софтуер.

Ако имате опит и сте си помогнали с някоя антивирусна или по какъвто и да е начин освен преинсталация ще се радвам на помощта Ви :)

Много Ви благодаря предварително ако има някой който се е справил с този проблем.

Поздрави!
 

grigorov

Active Member
От: Много кофти вирус

Хванах сега че C:\Users\User\AppData\Local\Microsoft\Windows
Тази папка е супер голяма над 90 гб при това всички папки в нея са няма и 1 гб и дори с открити файлове и папки /да няма скрити/ нищо уж няма а е огромно това нищо. И постоянно варира. Сега реших да пусна почистване на диска да освободя малко място ама то го гледам постоянно играе с стотици мегабайти на горе на долу...
Нищо не го лови това антивирусната си свирка и вика супер няма нищо...

Как мога да изчистя съдържание което е на практика невидимо :S
 

mobilio

Well-Known Member
От: Много кофти вирус

Да нямаш рууткит?

Я вземи някое ЦД с антивирусна (последна версия) бутни и запали през него.
 

vicbg

Active Member
От: Много кофти вирус

Или свали твърдият диск и го сканирай на друг компютър със свестна антивирусна (поне НОД 32).
 

mr_nikolov

Active Member
От: Много кофти вирус

Това за което говориш наистина прилича на rootkit, опитай с някакъв скенер не мога да препоръчам защото да чукам на дърво не съм се сблъсквал с това, но намерих някакви резултати при чичо Google: Bitdefender Rootkit Remover GMER Sophos Rootkit Removal
 

veda

Active Member
От: Много кофти вирус

На първо време натискаш Win+R и пишеш: msconfig. В таба Startup махаш всичко съмнително.

След което влизаш под Safe Mode with networking (помпиш F5 по време на зареждането на Windows), сваляш и пускаш пълно сканиране със следните три програми:

1. Windows Malicious Software Removal Tool

2. Malwarebytes Anti-Malware

3. SpyBot Search & Destroy

Предполагам още първото ще ти махне мизерията, но имай търпение и изчакай и другите сканирания. Ще останеш изненадан колко гадости ще намери, особено ако е някое XP с изключени ъпдейти.

Успех!
 

Jordan Manchev

New Member
От: Много кофти вирус

Най-добрия начин да си почистиш диска е като заредиш външна операционна система.

Много антивирусни програми предлагат директно да се изтегли iso имидж от сайта им или от самата антивирусна, който да запишеш на CD или USB, от което да стартираш операционна система и да сканираш наличните си хард дискове. Тъй като не желая да правя реклама на която и да е антивирусна програма, питай google. Важното е, че си се уверил кои антивирусни не струват, а се тръби че са страхотни :)
 

naskobg

Well-Known Member
От: Много кофти вирус

Опитай и с combofix или си направи alkid cd и боотни от него..и с касперски провери за гадини.
 

r.stefanov

New Member
От: Много кофти вирус

Или свали твърдият диск и го сканирай на друг компютър със свестна антивирусна (поне НОД 32).

jiFfM.jpg


Не можах да се въздържа...
 

Jordan Manchev

New Member
От: Много кофти вирус

а малко факти можеш ли да предоставиш и на нас r.stefanov, че да се посмеем и ние ? :)
 

naskobg

Well-Known Member
От: Много кофти вирус

Jordan Manchev - nod 32 не се слави като добра антивирусна програма..лека но за сметка на това много вируси допуска че и по-лоши неща ;)
 

dertre

Well-Known Member
От: Много кофти вирус

Ако си от Пловдив, пиши и ще мина да ти реша проблема (99%).
Иначе като идеи :
1. Boot под Safe Mode whit networking.
2. Malwarebytes/ Spybot Search and Destroy/ Microsoft Security Esential (и с трите сканираш).
3. Ако това не помогне, пишеш ми ако си от Пловдив :).
 

coolice

Owner
Re: От: Много кофти вирус

Ако си от Пловдив, пиши и ще мина да ти реша проблема (99%).
Иначе като идеи :
1. Boot под Safe Mode whit networking.
2. Malwarebytes/ Spybot Search and Destroy/ Microsoft Security Esential (и с трите сканираш).
3. Ако това не помогне, пишеш ми ако си от Пловдив :).

и аз съм сигурен че с 99% процента вероятност по този начин ще се изчисти:)
въпроса обаче да разбере как го хванал и се надявам че сървъра се ползва само като сървър а не служителите да го ползват за си ръчкат в нета от него...

зашото правилно зафайруолен сървър само с нужните портове за дадена услуга в случая складовия софтуер и нищо друго би било трудно да бъде експлоитнат

и нешо забавно общо взето 20+ години след като майкрософт взе да налага графичния интерфейс в съръвр 2008 се появи конзолна версия а във материалите за 70-410 изпита виндоус сървър 2012 по спомен стигнаха до прозрението че по голямата част от експолитите са за графичния интерфейс и се препоръчва да си инсталираш сървъра без такъв... :) хаха препроъчват да си инсталираш windows сървър без windowsa само ядро и конзола :)
 

Jordan Manchev

New Member
От: Много кофти вирус

Jordan Manchev - nod 32 не се слави като добра антивирусна програма..лека но за сметка на това много вируси допуска че и по-лоши неща ;)

На ясно съм, че всеки си има свое мнение за дадена антивирусна програма, но в моя случай бях хакнат посредством троянски кон в един безплатен скрипт, който ползвах и чрез който бяха пращали спам през хостинг-а ми. Започнах да сканирам компютъра си с различни антивирусни програми (няма да ги изброявам, но са над 8 ) и единствено нод-а откри троянеца.

Не желая да правя реклама, защото няма перфектна антивирусна програма, но се дразня от мнението на "експерти в областта", които директно отричат даден продукт и предлагат друг или такива които се смеят на даден съвет, но не предлагат друг вариант.

Ще се радвам, ако grigorov пише как се е преборил с вируса, за да сме подготвени и останалите :)
 
Последно редактирано:

uni-web

Well-Known Member
От: Много кофти вирус

Лепкай нортан, или кашпировски, после като го махнат (ако успеят), махай, ако ли не преинстал. За жалост понякога се стига и до това положение. :(
 

grigorov

Active Member
От: Много кофти вирус

Благодаря много на всички Ви! Отново доказахте, че тук сме събрани страхотни хора с цел да си помагаме в добро и зло :D
В момента точно съм в движение постоянно и нямам достъп до този компютър, но мога да Ви споделя опита който набрах в борбата сам още когато писах това. За да бъде от полза евентуално на някой друг.
Може би се оказва че моите проблеми са два. Защото в действителност имах проблем с някакъв вирус който хвърляше .tmp файлове но те изчезнаха и след това започна да се пълни с "нищо" и като набарах къде се крие това нищо което не се вижда пробвах ето това:
http://www.vistax64.com/vista-perfo...ers-user-appdata-local-microsoft-windows.html
И като направих това освободих къде 30 гб. с което завързах положението докато сега съм из страната да работи машината.
Интересното е че никой не ползва IE на този компютър. А иначе в действителност не се използва само за сървър, аз за много други неща... за продажба, за разпечатка от флашки и кво ли не... абе ужас ама кво да правиш много услуги пък не ми се инвестира в момента и за отделен сървър...

Остава интересно как да се отърва от останалите скрити 60 гб. и дали ще продължи с тези темпове да се пълни... но пусто време все не стига. Работата много... времето никакво...

Отново благодаря на всички от сърце! :)
 

Devastion

New Member
От: Много кофти вирус

Според мен може да се използва и някакъв firewall (Comodo Firewall за пример) и да видиш връзките със сървъра. Така ще видиш всеки файл какво прави (нещо като мониторинг). Също така вируса може да е криптиран и затова да не може да се хване от антивирусна. Пробвай с някой firewall... заслужава си!
 

Горе