В инете ни одного решения нет. Что за напасть? Вин ХР сборка зверь и еще какая-то. на одном компе только гугл, на другом - и опера, и файрфокс, и хром - все удаляют файлы после загрузки - ЛЮБЫЕ, а не только "возможно опасные". Менял уровень безопасности интернета, создавал нового юзера, проверял комп на вирусы (кстати, на всех стоят кис обновленные и не жалуются), выгружал антивирь - все без толку.
Только ИЕ качает. Это что, новая акция от микрософта?
вот ошибки хрома - на одном компе - При сканировании этого файла произошел сбой антивирусного ПО. на другом компе - Не удалось выполнить проверку на вирусы.
Ошибка оперы - Антивирусной программе не удалось проверить файл по неизвестной причине.
огнелис ничего не говорит, файл не создается.
вернее, файл создается, но сразу же удаляется, как и в других.

"сборка зверь и еще какая-то"

(1) +1

(1) да понимаю я, но проблему решить охота без переустановки

на компах есть виртуальные машины с есетом, может быть он виноват.

ну что, ни у кого вариантов нет?

Стоит наверное какой-то левый типа антивирус... Можно расширения браузера посмотреть, автозагрузку и запланированные задания (нет ли там чего целебного).

(6) ненене, ничего нет. абсолютно. каспер выгрузил. монитор никаких процессов, кроме опера и систем не показывает

смотрю по монитору - вот опера создала файл 1.docx.opdownload
вот его скачала... и вот FILE_NOT_FOUND

(0) Пригласи специалиста.

>>ругаются на антивирь
Ты с какой-то странной стороны рассматриваешь проблему.
Тебе разжевать, что это антивирь ругается или ты реально идиот?

с момента последнего SUCCESS упоминания 1.docx.opdownload и до момента первого упоминания FILE_NOT_FOUND для 1.docx есть обращение к ворду (видимо, для определения иконки) и к нескольким дллкам винды,
D:\WINDOWS\system32\winshfhc.dll
D:\WINDOWS\system32\WMVCore.DLL
D:\Program Files\ESET\ESET Smart Security\DMON.dll - такого нет
(9) а я по-твоему, кто?
(10) сам ты идиот! нет в системе АНТИВИРУСОВ, мля удалил я каспера, больше нет ничего!

(7) msconfig,
Панель управления - Администрирование - Планировщик заданий.

если бы в системе был антивирус, он бы отражался в мониторе файлов! и какого хера ему запрещать абсолютно ВСЕ файлы, скачанные браузерами? просто так ведь файлы спокойно создаются и копируются

(11)>>нет в системе АНТИВИРУСОВ, мля удалил я каспера, больше нет ничего!

И этот человек назывет меня идотом!:-)

"Куда смотрит этот фигляр ПэЖэ!"(С)

(14) ты первый начал. что непонятного. удалил я его, как он может работать? да и я уж наверное, отличу, когда антивирь работает, а когда нет. повторяю, ни процессов антивиря нет,  ни его дллок. и есета тоже нет. это опера сама пытается его найти для "проверки" файла. естественно, его нет и она просто пропускает это событие. но дело не в опере, либо удаляются файлы в любом браузере, кроме ие.

либо = ибо

(12) нет в ХРюше такого. в заданиях висит только обновление флэша и хрома.

вот скрин
ГДЕ ТУТ АНТИВИРУСЫ?

http://i59.fastpic.ru/big/2013/1213/aa/820f61a1cf0fe958297f1d133b3decaa.jpg

(11) ШароЛамероКлиент

мне вы советуете обратиться к специалисту. вот я к вам и обращаюсь. за бабки кто-нить проблему решит?

пару раз я обращался к "мастерам" в нашем городе. никто ни ону проблему не смог решить, потому что сами они ламеры. зато есть спецы по железу, перепаять контроллер на жесткий, чтобы инфу спасти, или принтер наладить, или еще чего, но такими вещами они не занимаются

(0) как так удаляют ?
ответ сменить прокладку между клавой и креслом

(22) вот так удаляют. ща сохраню образ и буду искать "специалистов". в инете много у кого так, но никто не нашел решение. все орут на антивирусы, но почему-то не подтверждается, что дело в них. сам такое первый раз за 15 лет вижу, чтобы просто так вот брали и удалялись без вирусов. на вирусы проверял, авз и куреитом, но я вирусы и без них распознаю всегда.

Папку загрузки менял?

(24) у разных браузеров она разная. один пытается сохранить в мудоках, другой в загрузках, третий - самый популярный - мудоки\Downloads. проблема не в доступе, папки как папки.

феерический бред , они не могут удалятся

(25) для разнообразия ещё и имена exeшников браузеров поменяй

(26) скинуть образ? 4 гига всего. убедишься.
(27) завтра буду препарировать, сегодня уже полвосьмого утра, надо завязывать...

(0) Скачай свежую платформу 1С.
Признайся сам себе, что проблема в файлах и ресурсах.

(29) при чем здесь 1С и ресурсы?

Забавно... Я бы глянул, если сам не догадаешься. Но после 11, ща у меня субботний бассейн.

хотя, конечно, времени уже убито столько что проще бы было переставить и уже не один раз это можно было бы сделать

(0) ХП СП3 и только без обновлений!!!
Горемыко... что ты там в этих обновлениях хочешь увидеть? :)

(18)  Епта... Чудак, ты поди еще поставил Майл спутник и иже подобные проги...
Это Троян, удаляй все что связано с майлом и кривыми браузерами от поисковых систем :)

Не стоит их ставить, они валят систему :)
Да и работают хуже IE :)

(32) конечно, я все переставил, человеку же работать надо, 7ку вкатил. образ сохранил для препарирования.
(33) какие обновления?
(34) почему чудак? я наоборот всегда их удаляю, это не мой комп, мне такой дали. если вы там каталог Mail.Ru увидели, так он пустой уже, все тулбары и гарды и спутники я снес. но ведь на других компах они работают без таких фатальных последствий. да и их действие я бы увидел через файлмонитор.

(31) на моем фтп образ лежит, если что 4,7 гига (сорри, для инета не оптимизировал), качайте, если у кого есть тестовый комп для поколупаться, делал акронисом тру имаджем последним. ftp://anthon.dyndns-office.com/full_b1_s1_v1.tib

поверьте, я тоже не первый день с компами работаю, такого никогда в жизни не видел. может, винда после вирусов поврежденная такие фокусы выкидывает, может, вирус в биосе где-нибудь сидит (да, бывают такие, там биос вроде прошиваемый легко), удивляет совпадение нескольких фактов - файлы не качаются во всех браузерах, кроме ие - то есть дело не в антивире, иначе он удалял бы и в ие, да и удалил я его вообще - не помогло; дело не в конкретном браузере, дело не в доступе к папке, дело не в черве на соседнем компе, так как от сети я комп отключал, дело не в какой-то левой софтине, проверял куреитом, дело не в плагинах к браузерам, ибо я их пытался переустановить, да и нет там ничего, дело не в поисковых тулбарах, ибо их там практически не было, все стандартные (бинг да мэйл) и так далее. я сначала все проверяю, прежде чем сюда писать.

(23) Телепат

(35) раз все переставлено и проблема решена - смысла в дальнейших заморочках нет. Ни тебе, ни мне за это дополнительно не заплатят. До следующего раза...

(0) вангую: ТС подцепил вирус.

(39) есть, не хочу, чтобы меня в следующий раз идиотом называли. тем более второй комп до сих пор глючит, а переставлять систему там пока что нельзя. надо лечить.
(40) вопрос как его найти и почему его не видит ни один антивирус

(41) понятно что не хочешь, но это вопрос уже к тому кто тебя так назвал. Я имею привычку за слова отвечать и поэтому так без крайнего повода людей не называю. По существу дела: мне сегодня приволокли кучу железа, правда, не знаю, насколько оно годное. Ничего НЕ обещаю, но если получится из него что-то сварганить и образ запустится - я его попытаюсь глянуть.
Это может быть не вирус в общепринятом смысле, а какая-то нежелательная программа или руткит, по какой-то причине криво перехвативший функции чтения/записи файлов. Можно попробовать сделать проверку отключенного диска утилитой AVZ (http://www.z-oleg.com). Ситуацию дополнительно усложняет то что использована сборка винды. Непонятно чего от нее ждать.

(36) скорость что-то неласковая совсем, 50-60 КБ/с.
Этак его тащить до морковкина заговения.

скачало 1% и разорвалось. Не, такой хоккей нам не годится. Не дотащу.

(36) Скорость ни о чем, отменил скачивание. Давай RDP. Связь мойник н@ народ.ру

Давай через торренты раздавать этот образ , мне тоже нужен вирус , который сразу уничтожает то что юзеры закачали!

ввзять process explorer от Руссиновича и показать список - не судьба?

(41) Не видят скорее всего потому что не там смотрят. Сижу, долечиваю соседскую машину: 5 антивирус/антималварь пакетов и пассы руками помогли. На каждом этапе находилось что-то новое.

(42) AVZ в современных реалиях в основном бестолкова.

(45) ща организую. тестовый комп развернул, дрова накатил. все симптомы налицо

(47) его смотрел, ничего подозрительного, все свои, как говорится.

(51) http://www.esetnod32.ru/download/utilities/sysinspector/ -этим ещё попробуй и этим: http://www.safer-networking.org/

http://www.comss.ru/list.php?c=bootcd без них тоже никуда

http://dsrt.dyndns.org/uvs.htm - для гурманов

(49) реалии там не особенно современные, ибо XP. Сканирование идет в отличие от антивирей быстро, результаты бывают, так что можно и попробовать.

15 лет без антивирусов на домашних копмах и ничо)

5. Другое

(56) простите, сколько у вас виндовых компов с инетом на попечении?

(35) Вирусняк скорей всего уже пойман... руби ОСь по новой :)

(56) Шутник... шутку понял... ПК у тебя дома в качестве тумбочки ;)

(59) с выломанными усб портами ))))

и без CD приводов

(0) так как успехи? интересно же

я дико извиняюсь, а яндекс-диск на этом больном компе случайно не стоял?  а случайно 200 гигов от яндекса не "подарили"?

(0) Это компьютер так протест выражает против своего безграмотного хозяина. Файлы на диске появляются в результате "скачивания", а не "скачки". Поколение некст выросло и добралось до клавиатур.

(46) ну как вариант можно не через торренты, а через ядиск тот же самый или еще через какой обменнник который 5 гигов позволит выложить. Хотя торренты, конечно, были бы лучше всего для такого некислого объема.

(0) попробуй
1. скачать, воткнув шнурок в подозреваемый комп
2. Скачать по https

(64) о_О имхо, скачки - это состязания на верховых животных. а разве скачка/скачивание в отношении компьютеров - это официальный термин? согласен, хозяин безграмотный, но моя задача сначала разобраться, в чем дело, затем по жбану настучать.
(66) да можно и без шнурков, с локалхоста тоже не качает. что нттпс, что фтп - амбивалентно

(67)

да можно и без шнурков, с локалхоста тоже не качает. что нттпс, что фтп - амбивалентно

а как ты проверил? Ты на нем что, веб/фтп сервер поднял предварительно, что ли?

(68) да щас быстренько и поднял, это несложно

кому надо торрент - http://zalil.ru/34852321
но качаться будет долго, не могу скорость поднять, у меня провайдер тупой, не дает скорость на отдачу, только на прием, а других тут нет ((( завтра добавлю торрент на другой комп.

что-то пишет Подключение к пирам и досвидос. Ты порт открыл у себя на входящие в торрент-клиенте?

(71) ну у меня же другие торренты раздаются. я его приватным сделал, это зря?

шща рдп настрою, я пароль, наконец-то, вспомнил от роутера, уже пару лет туда не залазил

так, рдп неинтересно, я не увижу ниче ведь ))) радмин настроил
адрес anthon.dyndns-office.com
порт 6666
юзер mista1
пароль mista1

могу тимвьюер или амми. ну что, кто-нибудь посмотрит?

(72) Гениально. Так ты, может, другие-то остановишь пока?
Тянет кое-как, но скорость 1-7 кбит, прогнозируемое время скачивания от 1 до 9 недель пляшет. Ладно, ща попробую зарядить на роутере, пускай как стащит, так и стащит.

(76) так я и остановил! у меня проблема сейчас с инетом, завтра на другой комп выложу. провайдер не дает с моего компа что-нибудь скачивать, я же написал. радмин работает сносно. попробуешь по удаленке посмотреть?

откуда ж я знал, что с моего компа торрент раздаваться плохо будет, я же первый раз это делал

за ночь уволокло около гига (21.5%)

что, никто не хочет по радмину или тимвьюеру побаловаться?

(80) в тему. сегодня зашел на сайт Алексея Борескова (автор книг по графике) http://steps3d.narod.ru/index.html

(про iOS 7 он правда еще хуже отзывается, там же)

12 июня 2013
Нашел перевод пиьсма Билла Гейтса, где он расказывает о том как он пытался установить на свой комп программу Moviemaker и как у него естественно ничего не получилось. Читать здесь.

На мой взгляд крайне удачно описывает что представляет из себя форточки.

Давай ammy, посмотрю.

синхронизация...

ид 28 272 291  
сейчас все может сильно тормозить, у меня время архиваций, которые отменить низя, да еще закачки идут, которые прерывать тоже нельзя (((

ну вот, опять рассинхрон (( ладно, оставлю комп работать, смотрите кто хотите

Такой клиент мелкомягким не заплатил и тебе не заплатит)

(86) да мне-то он заплатил. у меня уже спортивный интерес для повышения компьютерной образованности, тем более, с похожими симптомами уже обращались

(87)
> да мне-то он заплатил
теперь ты с ним в доле)

>кстати, на всех стоят кис обновленные и не жалуются
На днях лечил машину сначала диском восстановления касперского, содержащим полноценный сканер и с актуальными базами, и кое-что нашел. Затем прошелся таким же свежим сканером от вебера - тот нашел ещё столько же. Загрузив систему обнаружил признаки функционирования малвари, из-за чего снова грузился с CD и удалял всё, что мне не нравилось. Следующим пунктом было восстановление параметров системы после заражения утилитой от демки касперского crystal, отчего система уже более-менее зашевелилась, но то там то тут еще "торчали уши". Запустил mbam, с целью прибить лишние расширения експлорера, но он кроме этого в общей сложности нашел ~400 трасс (файлов/папок/ключей реестра - признаков заражения). Затем была очередь ещё одной антиспайвейр и ещё 20 трасс. Система показалась совсем живой и я поставил на стационар акционный AVG, который исхитрился найти ещё 3 неактивных трояна.
Таким образом было удалено 1 руткит, 7 экземпляра троянов и с три десятка адвари.

А вы говорите кис.

rdp - не подключается. амми - ждет авторизацию.

rdp по стандартному порту просит пользователя и пароль. mista1 mista1 не подходят
по 6666 не подключается.

дай тим, попробую завтра.

(91) 6666 - это радмин, щас тим дам

ой, какая прикольная система..

(89) я дрвебом и авз тоже проходился.
(94) в каком смысле?
(92) тим 128 081 035 пароль mista1

Перегрузить можно? И поставить ccleaner?

Назначил пользователю admin пароль 1 , перегружаю.

(97) делай че хошь ))) я отбегал поужинать. у меня пол-третьего ночи )

и чё там у вас интересного??

100

(100) наблюдаю за процессом, чел клинером по системе пробежался

надо было образ сделать на всякий случай, а то потом дрова накатывать опять влом будет )

(101) типа ты до этого не дотумкался?))

(103) ничего, пусть делает, как знает. ща еще один клинер от панды заливает, че-то я не видел такой программы, ну да ладно

Перегружай, смотри. Зверь у тебя. По тиму не могу подключиться. http://virusinfo.info/showthread.php?t=142214
Если что - на раб. столе combo fix

че этот комбо фикс делает?

ух ты, заработало. а ссылка не открывается

(105) подключись снова, плиз

Опять не пускает...

(106) http://safezone.cc/threads/combofix-rukovodstvo-po-primeneniju.2773/

(109) это комбо фикс не пускает, он меня тоже выкидывает, через полчаса отпишусь

В Sirefef реализуется перехваты операций чтения диска , чтобы скрыть свое присутствие на зараженном компьютере. Если мы попытаемся прочитать замененный драйвер, Sirefef возвращает исходный, чистый драйвер. Любые изменения, внесенные в этот драйвер не будет иметь никакого влияния на систему, вредоносный драйвер всегда будет работать вместо исправленного.

о_О жээээсть, давно я не видел ничего подобного... нарвался на ZAccess
и сука его всем известные антивири не находят... отлично!

Так заработало, или нет?

(113) да, заработало. вернее. вроде причина найдена, сейчас попробую восстановить образ и попробовать его вылечить с другой системы. скачал tdsskiller.exe и ESETSirefefCleaner.exe
завтра заработаю еще денег на переустановке еще одной системы. надеюсь, догадки подтвердятся.
(110) глянь мыло

Ну, собственно, образ сегодня скачался и я его развернул на валяющемся у меня железе - 4-м пеньке с 512М памяти.
Венда действительно со сборки, но шевелится относительно живенько. Дело обстоит так, как и было описано - в IE файлы загружаются нормально, опера и FF выполняют загрузку, но сносят файлы на стадии попытки сканирования антивирусом. Причина сноса - неудачная проверка. Явного антивирусв в системе не присутствует.

Предварительное резюме: остатки какого-то старого антивируса в системе, возможно, некорректно удаленного, с остатками ключей в реестре и/или кода. По всей видимости, браузеры пытаются его подцепить для проверки загруженного файла, ориентируясь на оставшиеся данные, но безуспешно, после чего удаляют файл от греха подальше. Видимо, это надо просто вычистить, вопрос как найти.

Если кому-то интересно - остаюсь на раздаче, скорость приличная, забирайте образ.

(115) там еще архивы не распаковываются встроенным зипером - восстанавливается только дерево папок. в системе видно карантин eset-а.

(116) нет там есета, там (112)

(117) esetа нет, карантин есть. смотрел образ, а не по удаленке

догадка подтвердилась, спасибо глазковыколупывателю за наводку. тулза от каспера TDSSKiller обнаруживает/лечит эту хрень. странно, что куреит ее не видит, надо будет им сообщить.

У меня качаться дня два будет.
Стоит качать или уже нашли?

(130) да нашли вроде заразу, только ее трудно обнаружить

(119) присоединяюсь к благодарностям. завтра проверю.

(121) - (120)

(122) поправко - она ее обнаруживает, но не лечит. удаляет, но толку ноль, а комбофикс - штука мощная, но у меня она зависает. в инете пишут, что скорее всего сам вирус не дает ей работать, надо грузиться в безопасный режим и так далее. попробую с другой системы полечить диск, но задача решена, так что этим заниматься уже влом. просто никогда не видел вирусы, перехватывающие обращение к жмд и поэтому невидимые

(124) по описанию, там всё видимое, но неудаляемое в работающей системе

Sirefef ручное удаление
Процесс Выключения
%windir%\PCHealth\HelpCtr\Binaries\HelpSvc.exe

Удалить из регистра вредные DLLs
c:\windows\system32\logevent.dll
c:\windows\system32\logevent.dll

Удалить файлы
%systemdrive%\windows\system32\logevent.dll
%systemdrive%\windows\system32\logevent.dll
%systemdrive%\windows\win32k.sys:1
%systemdrive%\windows\win32k.sys:2
%commondocuments%\Thumbs.db

+а вот за наводку на комбофикс и спасибо

Sirefef Он что ли был?
Что-то слишком просто: по описанию это процесс в памяти, а по описанию Вашего поведения - это драйвер в системе.

Да, я знаю, что драйвер в системе это тоже процесс в памяти, кусок ядра.

это руткит и есть
http://resources.infosecinstitute.com/step-by-step-tutorial-on-reverse-engineering-malware-the-zeroaccessmaxsmiscer-crimeware-rootkit/

вот еще: http://club-symantec.ru/showthread.php?t=4946&s=7746ae7cdf0d209d5fc6e3220f9a8f28

(0) Похоже, у тебя изначально изменены несколько системных файлов.

И фаерфокс, наверное, патченый.

(129) так тебе удалось его из системы убрать? у меня не получается ((( комбофикс зависает тупо (на ночь оставлял)

(133) его там и не было

(134) был. каспер его находит и типа лечит

играюсь с кэшем:

http://i59.fastpic.ru/big/2013/1218/ca/59ee14f8b5c8ffd5d354e680375b16ca.jpg

))))

тьфу не туда отправил

Ни одна из вышеобозначенных утилит ничего не обнаружила. Комбофикс так же провис. Я сменил 3 системных файла, у которых по показаниям TDSSKiller не было подписей, на оригинальные, убил эмулятор CD и AVZ перестал видеть перехваты. Обновил фаерфокс и он сохраняет.

* соврал: 4 системных файла

Сборки ставить некошерно, там косячки бывают.
Скорее всего в системе уже есть вирус...
Поставь MBAM и просканируй...

(140) МБАМ вчера ничего не видел

(0) окончательно разобрался.

Моя гипотеза подтвердилась - мешались "уши" есета.

Сделать нужно следующее - открыть редактор реестра и поискать строчку "ESET " (удобнее будет искать именно так - с пробелом после Т).
Найдется два вхождения описания COM-сервера со ссылкой на C:\Program Files\ESET Smart Security\бла-бла-бла\DMON.DLL и еще на что-то из этой же папки.
Надо полностью снести соответствующие этим описаниям ключи реестра и перезагрузить комп.

После этого браузеры начнут работать нормально, во всяком случае опера с мозиллой начали сохранять файлы.

По поводу вирей: TDSSKiller и AVZ и вправду показывают какой-то kernel-mode перехватчик, причем скорее всего нелегальный. Я так решил, потому что после перезагрузок авз давал ссылки на разное имя драйвера для одних и тех же функций (splk.sys, spcx.sys). Его я снес в первую очередь, но кажется, он в данном случае ни при делах! Почему - потому что сразу после его удаления нормальная работа не восстановилась.

Как-то так.

Господа, будем считать вопрос решенным? Еще кому-то нужен образ или я его сношу с раздачи?

> TDSSKiller и AVZ и вправду показывают какой-то kernel-mode перехватчик, причем скорее всего нелегальный. Я так решил, потому что после перезагрузок авз давал ссылки на разное имя драйвера для одних и тех же функций (splk.sys, spcx.sys).

это wiki:SCSI_Pass_Through_Direct - часть эмуляторов CD. имя всегда sp??.sys

(144) может быть, не спорю. Могу только повторить еще раз то что понял - он ни при делах.

виноват несуществующий, но тем не менее прописанный в реестре комсервер от есета. Продвинутые браузеры кроме ослика пытаются использовать его для проверки загружаемого файла, обламываются и удаляют файл. Вот и вся проблема.

для файрфокса, кстати, есть и обходное решение - у него есть возможность запретить антивирусную проверку. Не исключено, что после этого сохранение завелось бы (я не пробовал). Но с оперой все равно не станцевало бы.

(145) это да
(147) последний фаер завелся без удалений

а это реакция на "сборочные", неподписанные файлики:
https://www.virustotal.com/ru/file/f1c5f975ebf054b82ee2e082da642caa3c1a6c0e73e770e3dc3ad1d58c3ad1fa/analysis/
https://www.virustotal.com/ru/file/4e1c60e8824054ec98e4cb37d2844ea6f84fd930ca64be92b4ff1231d3d1a22e/analysis/

(147) последний фаер завелся без удалений

а у меня почему-то нет, это первое что я попробовал сделать еще вчера - просто так не завелся. Но не очень-то и хотелось, потому что было ясно что проблема одна и та же для всех браузеров

вообще немного странная реакция у браузеров. Я бы понял если бы однозначно был ответ о том что вирус. Но если ошибка антивирусной программы, то можно хотя бы спросить пользователя - удалять файл или нет? Безо всяких вопросов все сносится, опера хоть предупреждает что сбой антивируса, а мозилла вообще говорит - все, мол, хорошо, прекрасная маркиза. Только файлов нет. Непонятно для кого так сделано.

подтверждаю: один проход ccleaner-ом решил проблему

(142) мой вывод - больше всего прав ты )

но все равно огромное спасибо всем, кто откликнулся и указал мне, куда копать, многое почерпнул, особенно, что нельзя доверять никому, даже себе.

Ты, главное, в следующий раз так же шифруйся и тебе так же будут хотеть помочь ;)

(154) как я шифровался?