-
Junior Member
- Вес репутации
- 52
В корзине сидит юзер F:\$RECYCLE.BIN\S-1-5-21-1264312913-3551805932-3175594279-1000
У меня 2 диска и две ОС.
- В обоих в корзине то и дело появляется файл вроде:
F:\$RECYCLE.BIN\S-1-5-21-1264312913-3551805932-3175594279-1000
Удалятся, но после перезагрузки появляется снова. Номер каждый раз разный. Подозрительно еще и то, что корзин сейчас аж 3-4 штуки. По 2 на каждом диске. одна с долларом, другая без.
- Еще невсегда определяется флешка (но если вытащить и воткнуть, то определится).
- Проблемы с определением ЖД в виктории. Привод всегда занят, и не отвечает ни на какие команды. (Не знаю проблема в электроннике привода или в вирусах).
Было и много других "симптомов", эти три остались после лечения.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
Кстати, на одном из дисков стоит WINDOWS 7 RC built 7100, срок действия которой истек месяц назад... Его приговор - формат, даже если бы вирусов небыло совсем. Можно даже низкоуровневый. Всю мало мальски ценную информацию уже перенес на второй диск. Отключить второй и установить чистую ОС (диски есть только с ХР) для меня не проблема. Может это упростит лечение?
Со вторым диском сложнее. На нем установлена пиратская ХР. Буду или нет ее сносить, пока не решил. По крайней мере информацию хотелось бы сохранить...
Но что-то гложет меня сомнение, что тупое форматирование дисков может не помочь... Особенно настораживает странное поведение приводов в Виктории...
Потому и обратился к специалистам. Откликнитесь, кто-нибудь!
Последний раз редактировалось Chainick; 04.04.2010 в 19:20.
-
Две системы разных поколений = две корзины. С долларом от Win7, без - от XP.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
pig
Две системы разных поколений = две корзины. С долларом от Win7, без - от XP.
понятно , а с S-1-5-21-1264312913-3551805932-3175594279-1000 чего делать? Это тоже нормально?
-
Junior Member
- Вес репутации
- 52
Вообще-то есть проблемы посерьезнее. При работе в Windows 7 , обычно через пару часов работы или более, система внезапно вылетает. Без синего экрана, просто уходит на перезагрузку. При перезагрузке показывает модель моего ЖД , на котором установлена семерка:
ST3500320AS <S.M.A.R.T. Error>
Могу фотографию прислать. И вот с такой картинкой висяк пока большую кнопку не нажмешь. Нажмешь - выключится.
Посмотрел параметры диска в Виктории - плохие, но не настолько, чтоб система вылетала. Могу прислать. Попробывал отключить питание с этого диска , загрузился с другого, установил юзер порт, попробывал запустить тест линейного чтения, потом случайного - результаты идеальные. Линейным чтением прогнал весь диск, случайным гонял часов 8. Никаких БЭДов, и даже никаких задержек. Привод работает "как часики".
Еще повторюсь, что диски в Виктории ведут себя странно... Запустить тесты удалось только так - из винды, загруженной с другого диска. При запуске загрузочной Виктории с диска СД приводы ужасно заняты, не могут ответить ни на одну команду. Кажется еще и паролем защищены... Также диски не доступны в режиме PIO, хоть в загрузочной Виктории, хоть из-под Виндовс.
В MHDD проблемы примерно те же что и в загрузочной Виктории. Только по-английски...
Еще примечательно - когда Windows 7 слетает и комп виснет на загрузке вовсю мигает лампочка на сетевом адаптере. То есть, когда комп показывает мне, что ему хана, у меня на самом деле работает сеть?! Непонятки с провайдером уже были...
Я знаю, что Барракуда 7200.11 - плохая серия. С фотографией СМАРТ Еррор его, скорее всего, возьмут по гарантии. Но из соображений порядочности не хочу возвращать привод, пока не разберусь в чем дело...
Про проблему в виндовс 7 сначала не написал потому, что непонятно, как ее лечить. Да и незачем (все равно срок кончился). Но реально именно она заставила меня задуматься что с компом что-то не так.
Прошу откликнитесь: думает над моей проблемой вообще хоть кто-нибудь, а то время идет и никто не отзывается.
П.С. ответ "занят" и "некогда" я прекрасно пойму, Даже с большей радостью, чем его отсутствие.
Последний раз редактировалось Chainick; 05.04.2010 в 16:48.
-
Сообщение от
Chainick
При работе в Windows 7 , обычно через пару часов работы или более, система внезапно вылетает
Win 7 RC и должна так себя вести. У неё срок жизни вышел. Если отключить перезагрузку по критической ошибке, то об этом будет английским по синему написано на экране. Или оно у вас уже отключено?
Сообщение от
Chainick
При запуске загрузочной Виктории с диска СД приводы ужасно заняты, не могут ответить ни на одну команду
ЕМНИП, где-то тут про это было. О том, что надо привод предварительно выбрать, а то Виктория лезет неведомо куда.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
pig
Win 7 RC и должна так себя вести. У неё срок жизни вышел.
- хоошо если так.
Сообщение от
pig
Если отключить перезагрузку по критической ошибке, то об этом будет английским по синему написано на экране. Или оно у вас уже отключено?
- скорее всего нет. А где и как ее отключить и причем тут СМАРТ?
Разобрался, отключил, что-то пока не вылетает...
Добавлено через 49 минут
А что в логах? Все нормально? Или пока трудно сказать?
Последний раз редактировалось Chainick; 05.04.2010 в 23:20.
Причина: Добавлено
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
скрипт выполнил
карантин прислал
выкладываю логи
-
Junior Member
- Вес репутации
- 52
Скажите, а имеющаяся у меня система (ХР) как? Совсем туфта, да?
А чмо в корзине все равно сидит...
http://s45.radikal.ru/i109/1004/c2/c78fa7c4550e.png
Последний раз редактировалось Chainick; 08.04.2010 в 22:41.
-
Junior Member
- Вес репутации
- 52
Что-то опять ни ответа ни привета... Считать лечение оконченным?
После отключения автозагрузки при критической ошибке WINDOWS 7 RC built 7100 написала белым по синему, что у нее закончился период действия, поэтому она выключилась, чтобы не повредить мой компьютер.... Вот так сюрприз от майкрософта!!!
-
Сканирование запущено в 07.04.2010 16:02:10
Вы выложили старые логи. Нужны новые
Добавлено через 1 минуту
Сделайте лог MBAM (см. в моей подписи)
Последний раз редактировалось Шапельский Александр; 12.04.2010 в 22:45.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Вроде бы не перепутал логи: объем архивов вторых логов совпадает с тем, что выложил во второй раз, и немного отличается от объема архивов первых логов.
Ошибка моя может быть в том, что я перекачал AVZ и запустил еще раз из другой папки, предварительно не удалив первый...
МВАМ сейчас попробую....
-
Junior Member
- Вес репутации
- 52
МВАМ выполнил. Лог прилагается.
Прошу прощения за старые базы(29.03.10). Но на системе ХР, из которой запускал МВАМ (да и всю антивирусню...) вообще нет интернета. Я ставил ее изначально для локальной работы. Чтобы обновить МВАМ мне необходимо:
1) Установить драйвер сетевого контроллера+создать и настроить подключение.
2)ИЛИ: Установить МВАМ на windows 7 RC 64-bit, и запускать оттуда.
3)ИЛИ: Скачать обновления вручную, и как-то установить их в установленную на ХР МВАМ.
Не знаю по каком пункту действовать. Посоветуйте пожалуста. По 3-ему пункту нужна подробная инструкция.
П. С.: что-то много всего в приложенном логе отмечено как вирусня. Есть даже три нужных файла:
Nero 9.0 HQ License maker manager 5.55 BetaMaster.exe
Recover My Files 3.9.8.6430 Eng & Rus\Lang_ru.exe
RAR Slayer v1.1.exe
Если это ложное срабатывание, то не хотелось бы их удалять , если это вирусня - удалю без вопросов.
-
Сообщение от
Chainick
Если это ложное срабатывание, то не хотелось бы их удалять....
Думаю, что это ложное срабатывание.
Проверим один файл, выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MRS.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил. Карантин прислал.
Файл сохранён как 100415_214554_2010-04-15_4bc750d23e433.zip
Размер файла 1741185
MD5 7482908cd360d2d023062f9d70ac47d4
Подозрительно, почему комп при выполнении скрипта выключается ооочень долго(3-5 минут)?
И юзер в корзине все еще сидит...
Кстати, сразу после выполнения первого скрипта и перезагрузки, юзера в корзине небыло... Может воткнуть все флешки и запустить еще раз полную проверку AVZ?
Сейчас флешки то определяются, то нет, но лишнего трафика вроде нет и в остальном вроде комп похож на исправный.
Последний раз редактировалось Chainick; 15.04.2010 в 21:54.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\MRS.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 52
Файл MRS.exe удалился. Осталась только иконка MRS.ico.
Все равно сидит в корзине лишний юзер. И одна из флешек определяется только при вытаскивании и втыкании при открытом окне "Мой компьютер".
Добавлено через 10 минут
Семерка RC задолбала перезагрузками. Сношу ее в баню и ставлю семерку 7600...
Последний раз редактировалось Chainick; 17.04.2010 в 10:33.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-