[Erekle]

Это - с ноутом. Тогда останется проблема (силой созданная ) на большом - с Восстановлением на день назад. Но это критично? Нельзя ли сделать откат на два дня - если такое есть и если за этот период ничего не инсталлировалось? И в общем - зачем это восстановление-то? Что-то такое расстроилось в системе, что оно необходимо?

Ещё про ноутбук. Там Агава, да? И она говорит, что файл размером 0 байт опасно, да? Это означает, что она ищет вредность просто по известным именам файлов.

[perchinka]

Записала случайно ярлык вместо папки, папку удалила. Ставлю диск, там ярлык - содержимого нет. Третий откат не получился. Попробую на четыре дня назад.
Агава и на ноуте и на большом. Ясно. Агаву убираю

[Erekle]

Цитата:

Я поняла, Вы по логу вопросы задавали - нет, оттуда я ничего не удаляла, но у меня там красным цветом очень много выделено я думала Вы говорите не про лог, а про папку puncto

Не по логу! По тому, ЧТО за файлы были удалены. Просто логично предположил, что удалили по "наводке" из лога. Если нет - так по какому критерию удаляли "для профилактики"?
А красный цвет - не критично.

Цитата:

"Из папок ... больше ничего (кроме того, о чем уже написала)

То есть - те, что приведены в обрывках лога, или те, которые перечислены в первом сообщении?

Цитата:

Запускаю avz

Вот об этом и говорил, что надо провести только анализ, а дальше разбираться с логом, - и никакого противодействия руткитам, никакого лечения с ходу и т. д.

Главное - не торопиться. У вас, похоже, сейчас никаких вирусов и нет.

Цитата:

Записала случайно ярлык вместо папки, папку удалила. Ставлю диск, там ярлык - содержимого нет. Третий откат не получился. Попробую на четыре дня назад

Немного не понял. Какие диск и ярлык? Это - в Восстановлении Системы?
Если не секрет - к чему этот откат нужен?

[perchinka]

Из моего верхнего сообщения на третьей странице, цитата:
(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?)
Один - из папки sistem32. Белый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это, уже знаю, переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz.

Вот про это говорила. 99,5 - критерий профилактики, но файл я пока оставила, так как не могла понять, что это за папка. Второй файл, уже не помню, но тоже предсказывал "большую опасность"
Файлы лога (удалила это сообщение на всяк. сл) - я в папках не искала, удалила их из карантина (я же три раза сканировала, настройки меняла и т.д. ).
Лог был с большого компьютера и речь шла о нем.

(Немного не понял. Какие диск и ярлык? Это - в Восстановлении Системы?
Если не секрет - к чему этот откат нужен?)
Не секрет. Откат нужен для восстановления удаленной папки, ярлык которой я записала на CD диск (глупо - вместо самой папки. Папка у меня хранилась на диске D, а ее ярлык -на диске С. Вот ярлык я и записала
а папку удалила.

[Erekle]

Цитата:

Откат нужен для восстановления удаленной папки, ярлык которой я записала на CD диск (глупо - вместо самой папки. Папка у меня хранилась на диске D, а ее ярлык -на диске С. Вот яhksr и записала

А кто сказал, что откат вернёт ту папку?!
Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя.

Цитата:

Из моего верхнего сообщения на третьей странице, цитата: (Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?) Один - из папки sistem32. Белый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это, уже знаю, переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz. Вот про это говорила. 99,5 - критерий профилактики, но файл я пока оставила, так как не могла понять, что это за папка. Второй файл, уже не помню, но тоже предсказывал "большую опасность" Файлы лога (удалила это сообщение на всяк. сл) - я в папках не искала, удалила их из карантина (я же три раза сканировала, настройки меняла и т.д. ). Лог был с большого компьютера и речь шла о нем.

Белый квадрат с синей полоской - ничего не говорит. Как звали бедного?
Ничего от puncto не трогать. Он, конечно, перехватчик определённых событий. Вот AVZ и должен детектировать.
Другие файлы удаляла из avz - какие другие и как назывались? Это и есть "Второй файл"? И какой - так и не понял, что оставили пока от puncto: тот файл или папку?
"я в папках не искала, удалила их из карантина" - а до того удалили с основных мест с помощью включенного лечения?
В общем, если лог поможет, то он нужен. Примечание: если комп с тех пор включается нормально, и проблема только с откатом, то причиной может быть только удаленный файл с System Restore (или как по-русски). Если такой важный файл был Dll, то ничего узнать не гарантировано, потому что эти файлы, как правило, в System Restore получают случайные числовые имена...

[Erekle]

Цитата:

Белый квадрат с синей полоской

Понятно - exe-файл без иконки. Процентов на 99 - он имел также какой-нибудь номер вместо имени. По этому параметру никак не установить, какое имя имел файл в основном месте, откуда был скопирован в System Restore (тем более, если это троян какой-нибудь со случайным номером - а на большом у вас их не было вроде, да и не будет его отсутствие мешать откату). А то можно было, если б имели в распоряжении такое имя, и если это важный файл для системы - скопировать его из основного места в System Restore...
Боюсь, что проблема с откатом (если она вызвана удалением какого-то важного для отката файла с System Restore) неразрешима. Тем более, что папку он не восстановит. Может быть - только exe и dll файлы и документы (сомнительно) с неё.

[perchinka]

(Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя)
УРА!!! Спасибо за хорошую новость! (Удалила сегодня утром) Пожалуйста, закачайте куда-нибудь эту программу.

(Белый квадрат с синей полоской - ничего не говорит. Как звали бедного?)
Точно не помню, но нехорошо, мне не понравилось
В puncto все живо. И папка, и файлы. Как-то там все аккуратно было расставлено, жалко было порядок менять
Другие файлы – трудно сказать сейчас что это могло быть. Еще одно что-то точно удаляла из папки, не помню что, - одновременно на обоих компах была запущена avz …

Erekle, спасибо Вам большое, столько времени потратили на все это. Возможно, для Вас это хобби, но мне точно досталось по уши. Башка набекрень. Попробую прочитать тему еще раз, прояснить для себя ситуацию, может, обойдусь пока без avz? Поищу тот файл, о котором Вы говорите, – rsvp32_2.dll - поиск пока нашел только rsvp32_2.dll345, rsvp32_2.dllerter, rsvp32_2.dllret.

P.S. на будущее, ...жалко, что отката не будет больше на компе.
(Понятно - exe-файл без иконки. Процентов на 99 - он имел также какой-нибудь номер вместо имени) Нет, название было из 4-5 букв, невзрачное (была там буква h или n, набор согласных в основном, без dll, удалила я его, конечно, по "наводке" лога)

[Erekle]

Это не хобби уж.

Цитата:

жалко, что отката не будет больше на компе.

Кто сказал? Я имел в виду, что проблемы могли быть с последними точками отката, и что это теоретически могло быть вызвано этими удалениями. Всё собирался спросить: а правильно ли пытались восстановить? Раньше пробовали?
(я даже не знаю, как его вывести напрямую в запущенной системе. Ищу System Restore в Help and Support, и там выбираю в списке Run Sustem Restore Wizard. Дальше понятно.)

Цитата:

Удалила сегодня утром

Корзина, разумеется, очищена? Там нет этой папки?

Теперь. Ссылка на программу - в профиле. Открываем страницу, внизу нажимаем на FREE, и ждём, пока на следующей странице появится картинка. Надо будет вВести код, что на картинке. Скачать, вынуть из архива и запустить согласно порядку, что в сообщении по профилю.
Сначала провести эту операцию, потому что с каждой новой записью чего-либо на тот же диск шансы на восстановление уменьшаются

Цитата:

может, обойдусь пока без avz?

На большом - там же не было вирусов-троянов? - точно да.
Для не очень подготовленного пользователя он должен запускаться только при наличии (или после) вирусов на компе, и только для анализа - разве что в опциях повысить уровень эвристики и выставить "сканировать все файлы". Плюс - проверять Менеджером Автозапуска, что в меню "Сервис". И не удалять ничего безоглядно.

Теперь:

Цитата:

rsvp32_2.dll345, rsvp32_2.dllerter, rsvp32_2.dllret

Это на ноуте, да? И все в System32? И с расширениями dll345, dllerter и dllret? Весьма странно. Что, AVZ и антивирус их не видят?
Во-первых - только спокойствие, ничего особенного.
Вот, к примеру, цитата

Цитата:

browsemu.dll c:\windows\system32 Trojan.PWS.GoldSpy Deleted. VBAOL11.CHM\html/olobjAddressEntries.htm C:\Program Files\Microsoft Office\OFFICE11\1043\VBAOL11.CHM Modification of VBS.Petik VBAOL11.CHM C:\Program Files\Microsoft Office\OFFICE11\1043 Archive contains infected objects Moved. 777.exe\data002 C:\WINDOWS\777.exe Trojan.Spambot 777.exe C:\WINDOWS Archive contains infected objects Moved. 999.exe\data002 C:\WINDOWS\999.exe Trojan.Spambot 999.exe C:\WINDOWS Archive contains infected objects Moved. rsvp32_2.dll C:\WINDOWS\system32 Trojan.Spambot Deleted. rsvp32_2.dll345 C:\WINDOWS\system32 Trojan.Spambot Deleted. rsvp32_2.dll3f2tj C:\WINDOWS\system32 Trojan.Spambot Deleted. rsvp32_2.dllerter C:\WINDOWS\system32 Trojan.Spambot Deleted. rsvp32_2.dllret C:\WINDOWS\system32 Trojan.Spambot Deleted.

Всех с этими именами - умертвить безжалостно.
browsemu.dll - с "r" - а я удивлялся, почему в инете нет. Это - Trojan Goldun. При правильном обращении с антивирусом должен удаляться безболезненно. Но в идее могут быть проблемы с сетью (интернет, ICQ...). У вас этого нет и не было? Это к тому, что если таковое есть, может быть, потребуется восстановление настроек сети. Тоже ничего особого, просто следует сделать это не в спешке. Всего одно небольшое действие.
Можно было привести множество ссылок, но если проблем с сетью нет, хватит и удаления этих файлов, а то в спешке можно народить ещё проблем.

[perchinka]

Под хобби, подразумеваю, помощь чайникам вроде меня. В остальном, догадываюсь, что Вы специалист в области компьютерных вирусов.

Раньше откат шел безукоризненно.

Корзина всегда пуста – привычка.

Сеть в порядке (Интернет, ICQ работают)

Да, это файлы ноута, но не могу в это поверить, - они исчезли! Может, запущенный антиспай агнитума их удалил? (запускала час назад. И обновление виндоуз как раз после этого было, перезагрузка… Не знаю, что и думать: Поиск их больше не видит! ) (если они не сами переименовываются после того, как их находишь, то как их можно еще найти?)

Большое спасибо за программу, отправила подтверждение, открою ее когда проснусь (у нас утро), отпишусь как все получилось.

[Erekle]

Цитата:

спасибо за программу, отправила подтверждение

(По письму "В дополнение"? Там было и первое (если не смотрели; подтверждение было только по второму))

Цитата:

не могу в это поверить, - они исчезли! Может, запущенный антиспай агнитума их удалил? (запускала час назад.

Если антивирус или антиспай соизволили, то должны были записать об этом на память в своём журнале. Есть такое?
Скорее всего, их временно создаёт основной файл, как же и те DLL-ы, в которых хранит детали рассылаемого спама.

Цитата:

rsvp32_2.dll

Маловероятно, чтобы его не было, а "спутники" бы имелись. В этом названии - .dll - расширение файла, оно у вас не должно быть (по умолчанию) включено. Но если вводить в строке поиска имя с расширением, то поиск будет вестись по этим буквам - не меньше.
Поэтому поищите только по имени файла: rsvp32_2

Цитата:

Интернет, ICQ работают

Точнее: замедления скорости по сравнению с периодом ранее - нет?

Цитата:

догадываюсь, что Вы специалист в области компьютерных вирусов.

Нет, это уж слишком.
Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами.