C:\$BadClus 0 bytes и C:\$BadClus:$Bad 74.52 GB (занимает весь объём харда), почему знак двоеточее, и почему весь объём харда?!! C:\$MFT 40.61 MB и папка C:\$MFTMirr 4.00 KB. Я пологал, что папки C:\$MFT и C:\$MFTMirr должны быть равны по объёму. Я прав или нет, и как исправить эти проблеммы? Обнаружено с помощью RootkitReveal. С уважением, Андрей.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как следует из статьи http://www.insidepro.com/kk/044/044r.shtml, знака двоеточие в имени файла быть не может - это запрещенный символ во всех файловых системах поддерживаемых NTFS. $MFTMirr это отнюдь не зеркало всего $MFT-файла, это всего лишь копия первых четырех элементов. -это из той-же статьи. Таким образом остался только вопрос - как исправить папку $BadClus:$Bad? С помощью какой утилиты это делается?
-я так и не понял в чём проблема... что именно Вас не беспокоит?.. на HDD и в самом деле не осталось свободного места или Вы обеспокоены присутствием "странных директорий" видимых только посредством RootkitReveal?..
Спасибо Alex, что откликнулись. Меня беспокоит наличие на HDD директории со странным объёмом и запрещённым (по правилам NTFS) именем. Разбиратся с компом начал после четвёртого за два месяца падения виндов.
В компе два (физических) винчестера, 80Гб системный и 250Гб данные, если винчестер данных подключен, то системный винчестер отформатировать нельзя. Утилита установки Виндовс сообщает, что директория не пустая и её невозможно отформатировать. Удалить можно. Удалили, а отформатировать нельзя. Отключил диск данных, перезагрузили комп – всё в порядке, можно форматировать и ставить винды.
Все разы форматировал физический диск утилитой установки Windows. Форматировал физически, т.е. не быстрым форматом. К AVZ обратился по совету коллеги, почитал то, что написал Олег на своём сайте, и пришёл сюда. Выполнил рекомендации. Пофиксил несколько кейлогеров. Но судя по отчётам AVZ ещё что-то осталось. Теперь стараюсь разобратся, что это такое и как оно работает. Аппаратной эта проблемма не является, к моему огромному огорчению. Винчестеры на которых возникла проблемма, после второй переинсталяции и третьего паденья системы - снял. Поставил один, новый, через несколько дней проблемма опять появилась.
знака двоеточие в имени файла быть не может - это запрещенный символ во всех файловых системах поддерживаемых NTFS.
Это разделитель для обозначения имени альтернативного потока данных. То есть, на самом деле речь о той же папке $BadClus, к которой пристёгнуты некие дополнительные данные.
Сообщение от Andrey D.
остался только вопрос - как исправить папку $BadClus:$Bad? С помощью какой утилиты это делается?