Теряю доступ к своей информации и файлам [not-a-virus:AdWare.Win64.BrowseFox.d
]
На моём ПК, уже давно, завелась какая-то х-ня! На одном из своих (логических) дисков я постепенно, но уверенно, теряю доступ к папкам с файлами. Таких закрытых для меня папок становится всё больше и больше! Попытка (на Win7) открыть такую папку выдаёт сообщение (см. ScreenShot2_1) "Нет доступа или файл *** уже используется" (*** - Путь к директории).
Переустановка Windows не помогает. Некоторые папки можно открыть и скопировать в другую директорию с OS установленной на CD - DVD (например Windows PE), но не все. Многие папки невозможно открыть и там. Иногда, но не всегда, их можно переместить или переименовать с помощью Unlocker-а, но при этом в корзине возникают неудаляемые пустые папки, впрочим которые можно удалить загрузившись например, из Windows PE. В Windows XP, при каждой загрузке ОС, на этом диске в корневом каталоге этого диска возникает пара неудаляемых и закрытых для доступа пустых папак вида "_***_" и "MSI***.tmp", где "***" - несколько (5-6) цифр (см. ScreenShot1_1).В Win7 этого нет, но зато в Totalcmd хорошо видны закрытые директории при включении опции "размер папак". Закрытые директории имеют размер А0. Папки, в которых есть закрытые подпапки с размером А0, обозначены как А*** (где *** - размер доступной информации). Как бороться с этой заразой, где зарыта эта поганая собака - я не знаю!
Терять ту информацию что там накоплена не хочется, да и не уверен я что отформатировав диск, уничтожив всю информацию на нём, я избавлюсь от этой гадости. На WinXP например недавно заразился ещё один диск с видеофайлами, одна подпапка так-же оказалась недоступна (в ТС в колонке "Размер" написано "Нет доступа"), Но в Win7 она пока доступна.
Если кто может - HELP! Помогите! Как найти и избавиться от этой напасти? Требуемые логи выполнил, прилагаю. Для наглядности прилагаю несколько скриншотов. Буду ждать надеясь на помощь, но отвечая мне учтите что имеете дело с "Чайником", за что заранее извиняюсь!
С уважением ко всем форумчанам - Александр.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) АВС, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Спасибо что откликнулись, надеюсь на благоприятный исход, новый лог AVZ прилагаю.
P.S. У меня на системе, как Вы уже наверное поняли, две OS - WinXP and Win7, это логи Win7.
Надеюсь впоследствии, с Вашей помощью, вылечить и WinXP. С ней всё гораздо хуже,
она стоит у меня очень давно. Семёрка около года. На Win7 установлен Outpost Security Suite Pro 9.1, на WinXP ESET NOD32 Antivirus (версию не помню, если важно - можно посмотреть). Ещё раз Спасибо! AVS.
P.P.S. Выложить лог не могу, исчерпан лимит вложений. Как быть?
И ещё - просматривая похожие сообщения запутался в открытых страницах и, прочитав "Выполните лог ComboFix", выполнил его лишь потом разобравшись, что это не мне. Не знаю, может этого было делать нельзя?
Последний раз редактировалось АВС; 31.01.2015 в 21:51.
Выложить лог не могу, исчерпан лимит вложений. Как быть?
Удалите старые вложения Мой кабинет => Вложения
прочитав "Выполните лог ComboFix", выполнил его лишь потом разобравшись, что это не мне. Не знаю, может этого было делать нельзя?
Если инструкции были написаны не для Вас их нельзя использовать! Выполняя чужие скрипты (рекомендации) Вы можете себе повредить систему.
Сообщение от Из правил
Важное замечание
Пожалуйста, не выполняйте скрипты лечения и любые другие рекомендации, написанные для других пользователей! Каждый случай уникален, Вы можете нанести вред вашему компьютеру! За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Очистил "Вложения", но загрузить последний virusinfo_syscheck.zip не смог, см. ScreenShot012.gif. Возможно это последствия работы ComodoFix. Сейчас попробую сделать новый лог AVZ.
Лог сделал, прилагаю.
- - - - -Добавлено - - - - -
И ещё, (возможно это Вам как-то поможет разобраться в моей проблеме) пытаясь на вашем форуме вылечить свою ХР-шку, я уже создавал тему раньше - http://virusinfo.info/showthread.php?t=170810 . Тема не закрыта т.к. я не разобрался как выполнить последнее требование : Сделайте лог полного сканирования МВАМ. Потом серьёзно заболел, долго валялся по больницам, но теперь хочется довести дело до конца. Помогите ребята, уж очень не хочется форматировать все свои диски, а как я понимаю, если не вылечить систему, то это сделать придётся. Ведь не могу я постоянно терять допуск к сохранённой информации!
Надеюсь на вашу помощь!
Последний раз редактировалось АВС; 01.02.2015 в 03:15.
Лог прилагаю. И ещё, я конечно "Чайник", Windows знаю плохо, но я неплохой электронщик, и думать умею!
У меня сложилось впечатление что зараза не на системном диске, а прописывается там, на локальных дисках (у меня, как я понял, это диски L: - "Library" и теперь ещё и S: - "AVS"), и "зараза"на этих дисках меняет владельца директорий и право доступа. Поэтому мало найти и "убить заразу", надо как-то вернуть мне права на мои файлы!
Вот, например, недавно поставил (для пробы, из любопытства) ещё одну OS - Win8, в ней установил ТС, и открыв эти диски в ТС, убедился что некоторые директории недоступны и в ней, (из тех что недоступны в ХР и Win7), хотя и не все. И это при том что я не запускал на этих дисках ни одного файла и ничего в них не менял. Для наглядности прилагаю скриншоты для этих дисков сделанные в Win8. Очень надеюсь на Вашу помощь, повторяюсь, но без Вас мне не справиться никак!
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\Hold Page\HoldPagebho.dll','');
QuarantineFile('C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe','');
QuarantineFile('C:\Program Files (x86)\Hold Page\updateHoldPage.exe','');
QuarantineFile('C:\Windows\system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys','');
DeleteFile('C:\Windows\system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys','32');
DeleteFile('C:\Program Files (x86)\Hold Page\updateHoldPage.exe','32');
DeleteFile('C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe','32');
DeleteFile('C:\Program Files (x86)\Hold Page\HoldPagebho.dll','32');
DeleteService('Util Hold Page');
DeleteService('Update Hold Page');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Всё выполнил, отчёты прилагаю.
И ещё, у меня диск L: (в Win7) за день стал выглядеть уже вот так (см.ScreenShot016.1). Недоступными стали практически все каталоги. Диск S: (в Win7) пока ещё держится.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы нажмите на кнопку "Проверить"
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
По окончанию сканирования нажмите на кнопку "Отчет".
А вот что можно сделать, что-бы снова вернуть доступ к заблокированным директориям (см. сообщение #10 в этой теме)?
Сегодня пробовал удалить "злокачественные" каталоги с диска L: с помощью WinPE, "глухой номер"- недостаточно прав. А вот раньше, до установки Win7, получалось. Может попробовать из DOS-a, но я не могу найти свой диск, на котором был файловый менеджер, типа VolkovComander, который был русифицирован и мог работать с разделами NTFS. Попробую поискать в Net-е, но может кто-нибудь скинет ссылку, где взять?
- - - - -Добавлено - - - - -
Есть вопрос: почему, уже дважды на этом форуме, мне настоятельно рекомендуют удалить приложение Ace Stream Media? Проверка AVP - Agnitum Outpost, ESET NOD32, установленных у меня на Win7, WinXP соответственно, признаков заражения не находят. Проверял также утилитой Dr.Web CureIt, тоже ничего. Может я чего не знаю об этом приложении? Если так, так может кто нибудь меня "просветит"?
Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: