Имя: Пароль:
IT
 
Браузеры удаляют файлы после скачки, ругаются на антивирь, Win XP
0 DJ Anthon
 
10.12.13
12:29
В инете ни одного решения нет. Что за напасть? Вин ХР сборка зверь и еще какая-то. на одном компе только гугл, на другом - и опера, и файрфокс, и хром - все удаляют файлы после загрузки - ЛЮБЫЕ, а не только "возможно опасные". Менял уровень безопасности интернета, создавал нового юзера, проверял комп на вирусы (кстати, на всех стоят кис обновленные и не жалуются), выгружал антивирь - все без толку.
Только ИЕ качает. Это что, новая акция от микрософта?
вот ошибки хрома - на одном компе - При сканировании этого файла произошел сбой антивирусного ПО. на другом компе - Не удалось выполнить проверку на вирусы.
Ошибка оперы - Антивирусной программе не удалось проверить файл по неизвестной причине.
огнелис ничего не говорит, файл не создается.
вернее, файл создается, но сразу же удаляется, как и в других.
1 Tatitutu
 
10.12.13
12:33
"сборка зверь и еще какая-то"
2 Принт
 
10.12.13
12:34
(1) +1
3 DJ Anthon
 
10.12.13
12:42
(1) да понимаю я, но проблему решить охота без переустановки
4 DJ Anthon
 
10.12.13
12:56
на компах есть виртуальные машины с есетом, может быть он виноват.
5 DJ Anthon
 
13.12.13
21:12
ну что, ни у кого вариантов нет?
6 romix
 
13.12.13
21:23
Стоит наверное какой-то левый типа антивирус... Можно расширения браузера посмотреть, автозагрузку и запланированные задания (нет ли там чего целебного).
7 DJ Anthon
 
13.12.13
21:25
(6) ненене, ничего нет. абсолютно. каспер выгрузил. монитор никаких процессов, кроме опера и систем не показывает
8 DJ Anthon
 
13.12.13
21:25
смотрю по монитору - вот опера создала файл 1.docx.opdownload
вот его скачала... и вот FILE_NOT_FOUND
9 mehfk
 
13.12.13
21:26
(0) Пригласи специалиста.
10 Рэйв
 
13.12.13
21:28
>>ругаются на антивирь
Ты с какой-то странной стороны рассматриваешь проблему.
Тебе разжевать, что это антивирь ругается или ты реально идиот?
11 DJ Anthon
 
13.12.13
21:29
с момента последнего SUCCESS упоминания 1.docx.opdownload и до момента первого упоминания FILE_NOT_FOUND для 1.docx есть обращение к ворду (видимо, для определения иконки) и к нескольким дллкам винды,
D:\WINDOWS\system32\winshfhc.dll
D:\WINDOWS\system32\WMVCore.DLL
D:\Program Files\ESET\ESET Smart Security\DMON.dll - такого нет
(9) а я по-твоему, кто?
(10) сам ты идиот! нет в системе АНТИВИРУСОВ, мля удалил я каспера, больше нет ничего!
12 romix
 
13.12.13
21:30
(7) msconfig,
Панель управления - Администрирование - Планировщик заданий.
13 DJ Anthon
 
13.12.13
21:31
если бы в системе был антивирус, он бы отражался в мониторе файлов! и какого хера ему запрещать абсолютно ВСЕ файлы, скачанные браузерами? просто так ведь файлы спокойно создаются и копируются
14 Рэйв
 
13.12.13
21:31
(11)>>нет в системе АНТИВИРУСОВ, мля удалил я каспера, больше нет ничего!

И этот человек назывет меня идотом!:-)

"Куда смотрит этот фигляр ПэЖэ!"(С)
15 DJ Anthon
 
13.12.13
21:33
(14) ты первый начал. что непонятного. удалил я его, как он может работать? да и я уж наверное, отличу, когда антивирь работает, а когда нет. повторяю, ни процессов антивиря нет,  ни его дллок. и есета тоже нет. это опера сама пытается его найти для "проверки" файла. естественно, его нет и она просто пропускает это событие. но дело не в опере, либо удаляются файлы в любом браузере, кроме ие.
16 DJ Anthon
 
13.12.13
21:33
либо = ибо
17 DJ Anthon
 
13.12.13
21:36
(12) нет в ХРюше такого. в заданиях висит только обновление флэша и хрома.
18 DJ Anthon
 
13.12.13
21:37
вот скрин
ГДЕ ТУТ АНТИВИРУСЫ?

http://i59.fastpic.ru/big/2013/1213/aa/820f61a1cf0fe958297f1d133b3decaa.jpg
19 mehfk
 
13.12.13
21:51
(11) ШароЛамероКлиент
20 DJ Anthon
 
13.12.13
21:54
мне вы советуете обратиться к специалисту. вот я к вам и обращаюсь. за бабки кто-нить проблему решит?
21 DJ Anthon
 
13.12.13
21:55
пару раз я обращался к "мастерам" в нашем городе. никто ни ону проблему не смог решить, потому что сами они ламеры. зато есть спецы по железу, перепаять контроллер на жесткий, чтобы инфу спасти, или принтер наладить, или еще чего, но такими вещами они не занимаются
22 Lionee
 
13.12.13
22:28
(0) как так удаляют ?
ответ сменить прокладку между клавой и креслом
23 DJ Anthon
 
13.12.13
22:36
(22) вот так удаляют. ща сохраню образ и буду искать "специалистов". в инете много у кого так, но никто не нашел решение. все орут на антивирусы, но почему-то не подтверждается, что дело в них. сам такое первый раз за 15 лет вижу, чтобы просто так вот брали и удалялись без вирусов. на вирусы проверял, авз и куреитом, но я вирусы и без них распознаю всегда.
24 Эльниньо
 
13.12.13
23:31
Папку загрузки менял?
25 DJ Anthon
 
14.12.13
00:48
(24) у разных браузеров она разная. один пытается сохранить в мудоках, другой в загрузках, третий - самый популярный - мудоки\Downloads. проблема не в доступе, папки как папки.
26 Фдулич
 
14.12.13
00:50
феерический бред , они не могут удалятся
27 Принт
 
14.12.13
00:54
(25) для разнообразия ещё и имена exeшников браузеров поменяй
28 DJ Anthon
 
14.12.13
01:30
(26) скинуть образ? 4 гига всего. убедишься.
(27) завтра буду препарировать, сегодня уже полвосьмого утра, надо завязывать...
29 Zaval
 
14.12.13
03:38
(0) Скачай свежую платформу 1С.
Признайся сам себе, что проблема в файлах и ресурсах.
30 DJ Anthon
 
14.12.13
07:31
(29) при чем здесь 1С и ресурсы?
31 spectre1978
 
14.12.13
09:02
Забавно... Я бы глянул, если сам не догадаешься. Но после 11, ща у меня субботний бассейн.
32 spectre1978
 
14.12.13
09:03
хотя, конечно, времени уже убито столько что проще бы было переставить и уже не один раз это можно было бы сделать
33 ЧеловекДуши
 
14.12.13
09:18
(0) ХП СП3 и только без обновлений!!!
Горемыко... что ты там в этих обновлениях хочешь увидеть? :)
34 ЧеловекДуши
 
14.12.13
09:20
(18)  Епта... Чудак, ты поди еще поставил Майл спутник и иже подобные проги...
Это Троян, удаляй все что связано с майлом и кривыми браузерами от поисковых систем :)

Не стоит их ставить, они валят систему :)
Да и работают хуже IE :)
35 DJ Anthon
 
14.12.13
11:23
(32) конечно, я все переставил, человеку же работать надо, 7ку вкатил. образ сохранил для препарирования.
(33) какие обновления?
(34) почему чудак? я наоборот всегда их удаляю, это не мой комп, мне такой дали. если вы там каталог Mail.Ru увидели, так он пустой уже, все тулбары и гарды и спутники я снес. но ведь на других компах они работают без таких фатальных последствий. да и их действие я бы увидел через файлмонитор.
36 DJ Anthon
 
14.12.13
11:29
(31) на моем фтп образ лежит, если что 4,7 гига (сорри, для инета не оптимизировал), качайте, если у кого есть тестовый комп для поколупаться, делал акронисом тру имаджем последним. ftp://anthon.dyndns-office.com/full_b1_s1_v1.tib
37 DJ Anthon
 
14.12.13
11:37
поверьте, я тоже не первый день с компами работаю, такого никогда в жизни не видел. может, винда после вирусов поврежденная такие фокусы выкидывает, может, вирус в биосе где-нибудь сидит (да, бывают такие, там биос вроде прошиваемый легко), удивляет совпадение нескольких фактов - файлы не качаются во всех браузерах, кроме ие - то есть дело не в антивире, иначе он удалял бы и в ие, да и удалил я его вообще - не помогло; дело не в конкретном браузере, дело не в доступе к папке, дело не в черве на соседнем компе, так как от сети я комп отключал, дело не в какой-то левой софтине, проверял куреитом, дело не в плагинах к браузерам, ибо я их пытался переустановить, да и нет там ничего, дело не в поисковых тулбарах, ибо их там практически не было, все стандартные (бинг да мэйл) и так далее. я сначала все проверяю, прежде чем сюда писать.
38 Бертыш
 
14.12.13
12:52
(23) Телепат
39 spectre1978
 
14.12.13
13:26
(35) раз все переставлено и проблема решена - смысла в дальнейших заморочках нет. Ни тебе, ни мне за это дополнительно не заплатят. До следующего раза...
40 User_Agronom
 
14.12.13
13:27
(0) вангую: ТС подцепил вирус.
41 DJ Anthon
 
14.12.13
18:19
(39) есть, не хочу, чтобы меня в следующий раз идиотом называли. тем более второй комп до сих пор глючит, а переставлять систему там пока что нельзя. надо лечить.
(40) вопрос как его найти и почему его не видит ни один антивирус
42 spectre1978
 
14.12.13
19:05
(41) понятно что не хочешь, но это вопрос уже к тому кто тебя так назвал. Я имею привычку за слова отвечать и поэтому так без крайнего повода людей не называю. По существу дела: мне сегодня приволокли кучу железа, правда, не знаю, насколько оно годное. Ничего НЕ обещаю, но если получится из него что-то сварганить и образ запустится - я его попытаюсь глянуть.
Это может быть не вирус в общепринятом смысле, а какая-то нежелательная программа или руткит, по какой-то причине криво перехвативший функции чтения/записи файлов. Можно попробовать сделать проверку отключенного диска утилитой AVZ (http://www.z-oleg.com). Ситуацию дополнительно усложняет то что использована сборка винды. Непонятно чего от нее ждать.
43 spectre1978
 
14.12.13
19:10
(36) скорость что-то неласковая совсем, 50-60 КБ/с.
Этак его тащить до морковкина заговения.
44 spectre1978
 
14.12.13
20:00
скачало 1% и разорвалось. Не, такой хоккей нам не годится. Не дотащу.
45 mehfk
 
14.12.13
20:07
(36) Скорость ни о чем, отменил скачивание. Давай RDP. Связь мойник н@ народ.ру
46 vlandev
 
14.12.13
20:14
Давай через торренты раздавать этот образ , мне тоже нужен вирус , который сразу уничтожает то что юзеры закачали!
47 ДенисЧ
 
14.12.13
20:40
ввзять process explorer от Руссиновича и показать список - не судьба?
48 Принт
 
14.12.13
21:08
(41) Не видят скорее всего потому что не там смотрят. Сижу, долечиваю соседскую машину: 5 антивирус/антималварь пакетов и пассы руками помогли. На каждом этапе находилось что-то новое.
49 Принт
 
14.12.13
21:15
(42) AVZ в современных реалиях в основном бестолкова.
50 DJ Anthon
 
14.12.13
21:48
(45) ща организую. тестовый комп развернул, дрова накатил. все симптомы налицо
51 DJ Anthon
 
14.12.13
21:49
(47) его смотрел, ничего подозрительного, все свои, как говорится.
52 Принт
 
14.12.13
21:52
53 Принт
 
14.12.13
21:54
http://www.comss.ru/list.php?c=bootcd без них тоже никуда
54 Принт
 
14.12.13
21:56
http://dsrt.dyndns.org/uvs.htm - для гурманов
55 spectre1978
 
14.12.13
22:05
(49) реалии там не особенно современные, ибо XP. Сканирование идет в отличие от антивирей быстро, результаты бывают, так что можно и попробовать.
56 фобка
 
14.12.13
22:09
15 лет без антивирусов на домашних копмах и ничо)

5. Другое
57 DJ Anthon
 
15.12.13
06:27
(56) простите, сколько у вас виндовых компов с инетом на попечении?
58 ЧеловекДуши
 
15.12.13
06:30
(35) Вирусняк скорей всего уже пойман... руби ОСь по новой :)
59 ЧеловекДуши
 
15.12.13
06:30
(56) Шутник... шутку понял... ПК у тебя дома в качестве тумбочки ;)
60 DJ Anthon
 
15.12.13
06:34
(59) с выломанными усб портами ))))
61 Принт
 
15.12.13
09:55
и без CD приводов
62 Принт
 
15.12.13
10:50
(0) так как успехи? интересно же
63 Гость из Мариуполя
 
гуру
15.12.13
11:04
я дико извиняюсь, а яндекс-диск на этом больном компе случайно не стоял?  а случайно 200 гигов от яндекса не "подарили"?
64 Котокот
 
15.12.13
12:53
(0) Это компьютер так протест выражает против своего безграмотного хозяина. Файлы на диске появляются в результате "скачивания", а не "скачки". Поколение некст выросло и добралось до клавиатур.
65 spectre1978
 
15.12.13
13:58
(46) ну как вариант можно не через торренты, а через ядиск тот же самый или еще через какой обменнник который 5 гигов позволит выложить. Хотя торренты, конечно, были бы лучше всего для такого некислого объема.
66 Йохохо
 
15.12.13
15:01
(0) попробуй
1. скачать, воткнув шнурок в подозреваемый комп
2. Скачать по https
67 DJ Anthon
 
15.12.13
15:52
(64) о_О имхо, скачки - это состязания на верховых животных. а разве скачка/скачивание в отношении компьютеров - это официальный термин? согласен, хозяин безграмотный, но моя задача сначала разобраться, в чем дело, затем по жбану настучать.
(66) да можно и без шнурков, с локалхоста тоже не качает. что нттпс, что фтп - амбивалентно
68 spectre1978
 
15.12.13
15:56
(67)

да можно и без шнурков, с локалхоста тоже не качает. что нттпс, что фтп - амбивалентно

а как ты проверил? Ты на нем что, веб/фтп сервер поднял предварительно, что ли?
69 DJ Anthon
 
15.12.13
16:02
(68) да щас быстренько и поднял, это несложно
70 DJ Anthon
 
15.12.13
16:03
кому надо торрент - http://zalil.ru/34852321
но качаться будет долго, не могу скорость поднять, у меня провайдер тупой, не дает скорость на отдачу, только на прием, а других тут нет ((( завтра добавлю торрент на другой комп.
71 spectre1978
 
15.12.13
16:06
что-то пишет Подключение к пирам и досвидос. Ты порт открыл у себя на входящие в торрент-клиенте?
72 DJ Anthon
 
15.12.13
16:10
(71) ну у меня же другие торренты раздаются. я его приватным сделал, это зря?
73 DJ Anthon
 
15.12.13
16:11
шща рдп настрою, я пароль, наконец-то, вспомнил от роутера, уже пару лет туда не залазил
74 DJ Anthon
 
15.12.13
16:23
так, рдп неинтересно, я не увижу ниче ведь ))) радмин настроил
адрес anthon.dyndns-office.com
порт 6666
юзер mista1
пароль mista1
75 DJ Anthon
 
15.12.13
16:35
могу тимвьюер или амми. ну что, кто-нибудь посмотрит?
76 spectre1978
 
15.12.13
17:18
(72) Гениально. Так ты, может, другие-то остановишь пока?
Тянет кое-как, но скорость 1-7 кбит, прогнозируемое время скачивания от 1 до 9 недель пляшет. Ладно, ща попробую зарядить на роутере, пускай как стащит, так и стащит.
77 DJ Anthon
 
15.12.13
17:40
(76) так я и остановил! у меня проблема сейчас с инетом, завтра на другой комп выложу. провайдер не дает с моего компа что-нибудь скачивать, я же написал. радмин работает сносно. попробуешь по удаленке посмотреть?
78 DJ Anthon
 
15.12.13
17:42
откуда ж я знал, что с моего компа торрент раздаваться плохо будет, я же первый раз это делал
79 spectre1978
 
16.12.13
08:17
за ночь уволокло около гига (21.5%)
80 DJ Anthon
 
16.12.13
20:32
что, никто не хочет по радмину или тимвьюеру побаловаться?
81 Эмбеддер
 
16.12.13
20:37
(80) в тему. сегодня зашел на сайт Алексея Борескова (автор книг по графике) http://steps3d.narod.ru/index.html

(про iOS 7 он правда еще хуже отзывается, там же)

12 июня 2013
Нашел перевод пиьсма Билла Гейтса, где он расказывает о том как он пытался установить на свой комп программу Moviemaker и как у него естественно ничего не получилось. Читать здесь.

На мой взгляд крайне удачно описывает что представляет из себя форточки.
82 глазковыколупыватель
 
16.12.13
22:41
Давай ammy, посмотрю.
83 DJ Anthon
 
16.12.13
23:00
синхронизация...
84 DJ Anthon
 
16.12.13
23:07
ид 28 272 291  
сейчас все может сильно тормозить, у меня время архиваций, которые отменить низя, да еще закачки идут, которые прерывать тоже нельзя (((
85 DJ Anthon
 
16.12.13
23:14
ну вот, опять рассинхрон (( ладно, оставлю комп работать, смотрите кто хотите
86 ifso
 
16.12.13
23:25
Такой клиент мелкомягким не заплатил и тебе не заплатит)
87 DJ Anthon
 
16.12.13
23:41
(86) да мне-то он заплатил. у меня уже спортивный интерес для повышения компьютерной образованности, тем более, с похожими симптомами уже обращались
88 ifso
 
16.12.13
23:49
(87)
> да мне-то он заплатил
теперь ты с ним в доле)
89 Кфир
 
17.12.13
00:03
>кстати, на всех стоят кис обновленные и не жалуются
На днях лечил машину сначала диском восстановления касперского, содержащим полноценный сканер и с актуальными базами, и кое-что нашел. Затем прошелся таким же свежим сканером от вебера - тот нашел ещё столько же. Загрузив систему обнаружил признаки функционирования малвари, из-за чего снова грузился с CD и удалял всё, что мне не нравилось. Следующим пунктом было восстановление параметров системы после заражения утилитой от демки касперского crystal, отчего система уже более-менее зашевелилась, но то там то тут еще "торчали уши". Запустил mbam, с целью прибить лишние расширения експлорера, но он кроме этого в общей сложности нашел ~400 трасс (файлов/папок/ключей реестра - признаков заражения). Затем была очередь ещё одной антиспайвейр и ещё 20 трасс. Система показалась совсем живой и я поставил на стационар акционный AVG, который исхитрился найти ещё 3 неактивных трояна.
Таким образом было удалено 1 руткит, 7 экземпляра троянов и с три десятка адвари.

А вы говорите кис.
90 глазковыколупыватель
 
17.12.13
00:19
rdp - не подключается. амми - ждет авторизацию.
91 глазковыколупыватель
 
17.12.13
00:22
rdp по стандартному порту просит пользователя и пароль. mista1 mista1 не подходят
по 6666 не подключается.
92 глазковыколупыватель
 
17.12.13
00:30
дай тим, попробую завтра.
93 DJ Anthon
 
17.12.13
12:39
(91) 6666 - это радмин, щас тим дам
94 Кфир
 
17.12.13
14:07
ой, какая прикольная система..
95 DJ Anthon
 
17.12.13
16:19
(89) я дрвебом и авз тоже проходился.
(94) в каком смысле?
(92) тим 128 081 035 пароль mista1
96 глазковыколупыватель
 
17.12.13
20:00
Перегрузить можно? И поставить ccleaner?
97 глазковыколупыватель
 
17.12.13
20:14
Назначил пользователю admin пароль 1 , перегружаю.
98 DJ Anthon
 
17.12.13
20:23
(97) делай че хошь ))) я отбегал поужинать. у меня пол-третьего ночи )
99 vqwy
 
17.12.13
20:31
и чё там у вас интересного??
100 vqwy
 
17.12.13
20:31
100
101 DJ Anthon
 
17.12.13
20:32
(100) наблюдаю за процессом, чел клинером по системе пробежался
102 DJ Anthon
 
17.12.13
20:34
надо было образ сделать на всякий случай, а то потом дрова накатывать опять влом будет )
103 vqwy
 
17.12.13
20:34
(101) типа ты до этого не дотумкался?))
104 DJ Anthon
 
17.12.13
20:37
(103) ничего, пусть делает, как знает. ща еще один клинер от панды заливает, че-то я не видел такой программы, ну да ладно
105 глазковыколупыватель
 
17.12.13
20:55
Перегружай, смотри. Зверь у тебя. По тиму не могу подключиться. http://virusinfo.info/showthread.php?t=142214
Если что - на раб. столе combo fix
106 DJ Anthon
 
17.12.13
21:03
че этот комбо фикс делает?
107 DJ Anthon
 
17.12.13
21:03
ух ты, заработало. а ссылка не открывается
108 DJ Anthon
 
17.12.13
21:04
(105) подключись снова, плиз
109 глазковыколупыватель
 
17.12.13
21:07
Опять не пускает...
110 глазковыколупыватель
 
17.12.13
21:08
111 DJ Anthon
 
17.12.13
21:09
(109) это комбо фикс не пускает, он меня тоже выкидывает, через полчаса отпишусь
112 DJ Anthon
 
17.12.13
21:48
В Sirefef реализуется перехваты операций чтения диска , чтобы скрыть свое присутствие на зараженном компьютере. Если мы попытаемся прочитать замененный драйвер, Sirefef возвращает исходный, чистый драйвер. Любые изменения, внесенные в этот драйвер не будет иметь никакого влияния на систему, вредоносный драйвер всегда будет работать вместо исправленного.

о_О жээээсть, давно я не видел ничего подобного... нарвался на ZAccess
и сука его всем известные антивири не находят... отлично!
113 Кфир
 
17.12.13
21:53
Так заработало, или нет?
114 DJ Anthon
 
17.12.13
21:59
(113) да, заработало. вернее. вроде причина найдена, сейчас попробую восстановить образ и попробовать его вылечить с другой системы. скачал tdsskiller.exe и ESETSirefefCleaner.exe
завтра заработаю еще денег на переустановке еще одной системы. надеюсь, догадки подтвердятся.
(110) глянь мыло
115 spectre1978
 
17.12.13
22:12
Ну, собственно, образ сегодня скачался и я его развернул на валяющемся у меня железе - 4-м пеньке с 512М памяти.
Венда действительно со сборки, но шевелится относительно живенько. Дело обстоит так, как и было описано - в IE файлы загружаются нормально, опера и FF выполняют загрузку, но сносят файлы на стадии попытки сканирования антивирусом. Причина сноса - неудачная проверка. Явного антивирусв в системе не присутствует.

Предварительное резюме: остатки какого-то старого антивируса в системе, возможно, некорректно удаленного, с остатками ключей в реестре и/или кода. По всей видимости, браузеры пытаются его подцепить для проверки загруженного файла, ориентируясь на оставшиеся данные, но безуспешно, после чего удаляют файл от греха подальше. Видимо, это надо просто вычистить, вопрос как найти.

Если кому-то интересно - остаюсь на раздаче, скорость приличная, забирайте образ.
116 Кфир
 
17.12.13
22:18
(115) там еще архивы не распаковываются встроенным зипером - восстанавливается только дерево папок. в системе видно карантин eset-а.
117 DJ Anthon
 
17.12.13
22:48
(116) нет там есета, там (112)
118 Кфир
 
17.12.13
22:52
(117) esetа нет, карантин есть. смотрел образ, а не по удаленке
119 DJ Anthon
 
17.12.13
23:00
догадка подтвердилась, спасибо глазковыколупывателю за наводку. тулза от каспера TDSSKiller обнаруживает/лечит эту хрень. странно, что куреит ее не видит, надо будет им сообщить.
120 Вуглускр1991
 
17.12.13
23:01
У меня качаться дня два будет.
Стоит качать или уже нашли?
121 DJ Anthon
 
17.12.13
23:05
(130) да нашли вроде заразу, только ее трудно обнаружить
122 Кфир
 
17.12.13
23:05
(119) присоединяюсь к благодарностям. завтра проверю.
123 DJ Anthon
 
17.12.13
23:06
(121) - (120)
124 DJ Anthon
 
17.12.13
23:07
(122) поправко - она ее обнаруживает, но не лечит. удаляет, но толку ноль, а комбофикс - штука мощная, но у меня она зависает. в инете пишут, что скорее всего сам вирус не дает ей работать, надо грузиться в безопасный режим и так далее. попробую с другой системы полечить диск, но задача решена, так что этим заниматься уже влом. просто никогда не видел вирусы, перехватывающие обращение к жмд и поэтому невидимые
125 Кфир
 
17.12.13
23:09
(124) по описанию, там всё видимое, но неудаляемое в работающей системе

Sirefef ручное удаление
Процесс Выключения
%windir%\PCHealth\HelpCtr\Binaries\HelpSvc.exe

Удалить из регистра вредные DLLs
c:\windows\system32\logevent.dll
c:\windows\system32\logevent.dll

Удалить файлы
%systemdrive%\windows\system32\logevent.dll
%systemdrive%\windows\system32\logevent.dll
%systemdrive%\windows\win32k.sys:1
%systemdrive%\windows\win32k.sys:2
%commondocuments%\Thumbs.db
126 Кфир
 
17.12.13
23:10
+а вот за наводку на комбофикс и спасибо
127 Вуглускр1991
 
17.12.13
23:30
Sirefef Он что ли был?
Что-то слишком просто: по описанию это процесс в памяти, а по описанию Вашего поведения - это драйвер в системе.
128 Вуглускр1991
 
17.12.13
23:31
Да, я знаю, что драйвер в системе это тоже процесс в памяти, кусок ядра.
129 Кфир
 
17.12.13
23:46
130 Кфир
 
17.12.13
23:48
131 Кфир
 
18.12.13
09:23
(0) Похоже, у тебя изначально изменены несколько системных файлов.
132 Кфир
 
18.12.13
11:33
И фаерфокс, наверное, патченый.
133 DJ Anthon
 
18.12.13
13:39
(129) так тебе удалось его из системы убрать? у меня не получается ((( комбофикс зависает тупо (на ночь оставлял)
134 Принт
 
18.12.13
13:42
(133) его там и не было
135 DJ Anthon
 
18.12.13
13:50
(134) был. каспер его находит и типа лечит
136 DJ Anthon
 
18.12.13
13:56
137 DJ Anthon
 
18.12.13
13:56
тьфу не туда отправил
138 Принт
 
18.12.13
14:00
Ни одна из вышеобозначенных утилит ничего не обнаружила. Комбофикс так же провис. Я сменил 3 системных файла, у которых по показаниям TDSSKiller не было подписей, на оригинальные, убил эмулятор CD и AVZ перестал видеть перехваты. Обновил фаерфокс и он сохраняет.
139 Принт
 
18.12.13
14:01
* соврал: 4 системных файла
140 BlackBytes
 
18.12.13
14:37
Сборки ставить некошерно, там косячки бывают.
Скорее всего в системе уже есть вирус...
Поставь MBAM и просканируй...
141 Принт
 
18.12.13
14:58
(140) МБАМ вчера ничего не видел
142 spectre1978
 
18.12.13
20:28
(0) окончательно разобрался.

Моя гипотеза подтвердилась - мешались "уши" есета.

Сделать нужно следующее - открыть редактор реестра и поискать строчку "ESET " (удобнее будет искать именно так - с пробелом после Т).
Найдется два вхождения описания COM-сервера со ссылкой на C:\Program Files\ESET Smart Security\бла-бла-бла\DMON.DLL и еще на что-то из этой же папки.
Надо полностью снести соответствующие этим описаниям ключи реестра и перезагрузить комп.

После этого браузеры начнут работать нормально, во всяком случае опера с мозиллой начали сохранять файлы.

По поводу вирей: TDSSKiller и AVZ и вправду показывают какой-то kernel-mode перехватчик, причем скорее всего нелегальный. Я так решил, потому что после перезагрузок авз давал ссылки на разное имя драйвера для одних и тех же функций (splk.sys, spcx.sys). Его я снес в первую очередь, но кажется, он в данном случае ни при делах! Почему - потому что сразу после его удаления нормальная работа не восстановилась.

Как-то так.
143 spectre1978
 
18.12.13
20:35
Господа, будем считать вопрос решенным? Еще кому-то нужен образ или я его сношу с раздачи?
144 Принт
 
18.12.13
20:38
> TDSSKiller и AVZ и вправду показывают какой-то kernel-mode перехватчик, причем скорее всего нелегальный. Я так решил, потому что после перезагрузок авз давал ссылки на разное имя драйвера для одних и тех же функций (splk.sys, spcx.sys).

это wiki:SCSI_Pass_Through_Direct - часть эмуляторов CD. имя всегда sp??.sys
145 spectre1978
 
18.12.13
20:39
(144) может быть, не спорю. Могу только повторить еще раз то что понял - он ни при делах.
146 spectre1978
 
18.12.13
20:41
виноват несуществующий, но тем не менее прописанный в реестре комсервер от есета. Продвинутые браузеры кроме ослика пытаются использовать его для проверки загружаемого файла, обламываются и удаляют файл. Вот и вся проблема.
147 spectre1978
 
18.12.13
20:43
для файрфокса, кстати, есть и обходное решение - у него есть возможность запретить антивирусную проверку. Не исключено, что после этого сохранение завелось бы (я не пробовал). Но с оперой все равно не станцевало бы.
148 Принт
 
18.12.13
20:45
(145) это да
(147) последний фаер завелся без удалений

а это реакция на "сборочные", неподписанные файлики:
https://www.virustotal.com/ru/file/f1c5f975ebf054b82ee2e082da642caa3c1a6c0e73e770e3dc3ad1d58c3ad1fa/analysis/
https://www.virustotal.com/ru/file/4e1c60e8824054ec98e4cb37d2844ea6f84fd930ca64be92b4ff1231d3d1a22e/analysis/
149 spectre1978
 
18.12.13
20:48
(147) последний фаер завелся без удалений

а у меня почему-то нет, это первое что я попробовал сделать еще вчера - просто так не завелся. Но не очень-то и хотелось, потому что было ясно что проблема одна и та же для всех браузеров
150 spectre1978
 
18.12.13
20:51
вообще немного странная реакция у браузеров. Я бы понял если бы однозначно был ответ о том что вирус. Но если ошибка антивирусной программы, то можно хотя бы спросить пользователя - удалять файл или нет? Безо всяких вопросов все сносится, опера хоть предупреждает что сбой антивируса, а мозилла вообще говорит - все, мол, хорошо, прекрасная маркиза. Только файлов нет. Непонятно для кого так сделано.
151 Принт
 
19.12.13
08:01
подтверждаю: один проход ccleaner-ом решил проблему
152 DJ Anthon
 
19.12.13
16:03
(142) мой вывод - больше всего прав ты )
153 DJ Anthon
 
19.12.13
16:04
но все равно огромное спасибо всем, кто откликнулся и указал мне, куда копать, многое почерпнул, особенно, что нельзя доверять никому, даже себе.
154 Принт
 
19.12.13
17:03
Ты, главное, в следующий раз так же шифруйся и тебе так же будут хотеть помочь ;)
155 DJ Anthon
 
19.12.13
17:05
(154) как я шифровался?
Выдавать глобальные идеи — это удовольствие; искать сволочные маленькие ошибки — вот настоящая работа. Фредерик Брукс-младший