[perchinka]

Erekle, огромное спасибо, восстановилась значительная часть документов.
Оказывается, несчастная папка хранилась все же на диске С, а там у меня, к сожалению, FAT (на диске D -NTFS). Подозреваю, это и было причиной неполного восстановления папки.
Повторила операцию, используя эвристический метод восстановления (для FAT), результат остался прежним.
Но все равно, здорово. Часть документов уцелела, и то хорошо. Программа отличная.
Перейду полность на NTFS и постараюсь не делать таких глупых ошибок.
Запустила avz на ноуте. Со всеми настройками. Если можно, поделюсь с Вами, результатом.
Да, поиск снова нашел rsvp32_2, как Вы и сказали, – по имени файла. Но "главного-страшного" среди них не было, новых тоже. Все удалила.
Кроме того, конкретно искала dll-файл весом 90 112 Bytes. У всех, что нашла (ок. 10-12), были официальные адреса. Надеюсь, это конец, и в моем ноуте чисто.

P.S.Несколько документов изменило кодировку и прочитать их уже нельзя, – еще в программе, в списке, до восстановления, на эти файлы были открыты дубликаты – в нормальном режиме такое случается, когда документ вовремя не сохранен, и при выключении системы остается как бы его тень. Мои – в свое время были, конечно, сохранены. В графе Ущерб - против и некоторых закрытых и не закрытых - стоял 0. Между тем, не получилось их восстановить. От этого недуга не бывает лекарства?

(Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами.) Звучит ободряюще

Еще раз спасибо за программу и главное - за помощь.

[perchinka]

Цитирую себя (пост выше): От этого недуга не бывает лекарства?

Оказывается, бывает. Все "тени" документов сложила в одну папку, и настоящие документы открылись!
Потерялось совсем ничего, процента 2.

[Erekle]

Цитата:

Подозреваю, это и было причиной неполного восстановления папки. Повторила операцию, используя эвристический метод восстановления (для FAT),

Я даже не знаю. Знаю, что программа замечательна (конкретизировать - НЕ надо) и что имеет обычный и глубокий режим. Больше ничего.

Цитата:

Несколько документов изменило кодировку

Скорее, на место, занимаемое ими, частично была переписана новая информация.

Не забывайте, что для успешного восстановления файлов необходимо ничего не записывать на том диске, откуда собираеися восстанавливать (и не включать программы, которые там работают, а если это системный диск - ограничиться минимальной активностью до восстановления), провести восттановление как можно скорее, и записать восстановленную информацию не на том диске.

Ещё раз: надо обращать внимание на статус файлов (может, они не удаленные, а существующие) и на степень целости. Для документов есть смысл попытаться восстановить не вполне сохраненные - может удастся прочитать и спасти хотя бы часть.
И главное - с этой программой тоже нужно быть очень осторожным и проделать всё неторопливо и много раз взвешивая, не навредит ли наше действие другим файлам и чему-либо вообще.

Цитата:

Да, поиск снова нашел rsvp32_2, как Вы и сказали, – по имени файла. Но "главного-страшного" среди них не было, новых тоже. Все удалила. Кроме того, конкретно искала dll-файл весом 90 112 Bytes. У всех, что нашла (ок. 10-12), были официальные адреса.

"Основной файл" по моей терминологии и "главный-страшный" по вашей - тот самый rsvp32_2.
Всё равно перепроверите поиском. Конкретно, нет ли на системном диске rsvp32_2 и этих "родственных" файлов, которые теоретически могут быть:
777.exe
999.exe
yzdock.exe
msnetax.dll
ipv6mons.dll
ipv6monk.dll
redswoosh.exe
cel90xbe.sys
szr_dr.sys
System.dll (с последним поосторожнее, если system "засветится" без расширения "dll". Имя system - у многих и многих легальных файлов, нам же "нужен" только System.dll)

Размером 90 112 - официальные адреса - как-то Майкрософт и т. д.? Если нет - не удалить, но разобраться поглубже.
Анализ с помощью AVZ проводите только по дважды перечисленным советам. До поры до времены - до более уверенного освоения программы и её Справки.
И под конец: надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены.

[perchinka]

Из "родственных" засветился только один, зато в двух экземплярах.
System.dll – имя целиком поиском не находилось,– задала поиск по dll – обнаружилось 2 таких файла.
System.dll - Информация:
Свойства: неизвестное приложение
Размер: первый - 1,12 МБ (1 179 648 байт), второй - 1,16 МБ (1 224 704 байт).
Cоздан: 4 авг 2006 изменен: июль открыт 6 апреля
Версия продукта: 1.0.3705.6018, у второго - 1.1.4322.2032
Авторские права: Copyright (C) Microsoft Corporation 1998-2001. All rights reserved.
Удалить?

Информация одного из пяти одноименных файлов, имеющих размер 90 112 байта (88 КБ), столько же на диске:
cscompui.dll – тип файла: Application Extension,
Неизвестное приложение
Описание:Visual C# .NET Compiler Error/Warning Messages
Авторские права: Copyright (C) Microsoft Corporation. All rights reserved.
Смутило описание.

(надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены)
Включены. Настройки монитора NOD32 такие же как здесь: http://subscribe.ru/archive/comp.har.../13161131.html
(почему-то не получилось грамотно вставить ссылку...)

[Erekle]

Цитата:

System.dll - Удалить? cscompui.dll

Нет и нет.

НОД - главное, чтобы его модулы были включены, то есть - проставлены галочки (в правыхм окнах для каждого компонента, которые появляются, если кликнуть по модулям в окне Центра контроля; ну и настройки там же).

Цитата:

кроме «Расширенной эвристики» и «Упаковщиков», потому что они не подходят для регулярной проверки системы, ввиду своей медлительности и тормозов

"Расширенную эвристику" полезно включить. Ложных срабатываний конечно больше, но обнаружения неизвестных или модифицированных вирусов - тоже. И у НОД-а последнее получается хорошо (один из лучших по этому параметру)
Впервые узнал, что AMON - резидентный модуль - проверяет файлы "после каждого перезапуска компьютера". Это постоянный резидент, проверяющий каждый файл, к которому система обращается тем или иным образом. Вот этот модуль и должен быть включен в первую очередь. Но в статье акцент сделан на обычном сканере, запускаемом пользователем. В то время, как главная задача антивируса - контроль процессов и активных файлов, включая сеть, чтобы не допустить прорыва. Потом может быть поздно.

Цитата:

NOD32 - настройки по максимуму (пошаговое руководство) http://www.wilderssecurity.com/showthread.php?t=37509 )

[perchinka]

Здорово! Спасибо за "умные" настройки NOD!

Похоже, ноут спасен, засяду-ка я теперь за большой комп ...
(ну Трояны, держись у меня!)

[kop4enyi]

Уважаемые, как то и откуда то лезит троян Удаляю, дня через два опять он тут как тут Может подскажет кто ,что за зверь?

[Erekle]

Вы удаляете не "троян", а ключи реестра, созданные (якобы) трояном.
Если прога говорит, что эти ключи создал такой-то троян - который есть файл - то где этот файл и почему прога не видит его?

Цитата:

Banker BQQ Trojan attempts to capture, record and steal online banking information. Vendor - na Vendor URL - na Banker BQQ Trojan Characteristics -----

Страшно как... Это с родного сайта уважаемой программы. Если ничего о вредных действиях "трояна" не известно даже производителю, то можно спать спокойно. Для большей уверенности можно пройти в реестр и убедиться, что там для ключа "не изменять старт-меню" выставлено значение 0, или 1. В любом случае это не трагедия и, как минимум, никакого отношения к "краже банковских данных" не имеет. А после можно заключить, что данная уважаемая программа сама - ну, не троян, но по духу далеко не лучше.
Что говорит, к примеру, такой уважаемый автор, как Sophos?

Цитата:

When run Troj/Banker-BQQ copies itself to <Windows>\MEDIA\WinetWork.exe and sets the following registry entries to run Winetwork.exe on startup: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinetWork <Windows>\MEDIA\WinetWork.exe

Тут мы хоть файл имеем на руках, а этот Spy...Xoft кричит на пустой ключ, притом - без какого-либо вразумительного повода связать это с Banker BQQ. Очевидно, производитель, составляя/обогащая свой "чёрный лист", добавил в него прочитанное где-то в интернете, что какая-то модификация этого трояна вместе с другими действиями копается и в этих ключах. Ничего больше.
А значения эти, если и несовпадают с установкой по умолчанию, может изменять любая программа или сам пользователь. Может - и троян, но для отлова троянов и вирусов советую любую другую программу, устроенную не на принципе "чёрного листа", - не этот же.

[Saule]

Верно, XoftSpy детектирует как троянов два параметра следующего ключа вашего реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Параметр 'NoClose' удаляет кнопку "Turn Off Computer" (выключение) из меню "Start" ("Пуск").
Параметр 'NoChangeStartMenu' запрещает пользователю изменять меню "Start" ("Пуск") с помощью перетаскивания элементов.

Именно эти настройки и не нравятся этому "антитрояну". Я бы на вашем месте действительно просто снесла бы XoftSpy (всё-таки когда-то эта программа была занесена в "черный список" из-за чрезмерных ложных срабатываний и вводящей в заблуждение, агрессивной саморекламы).

[Erekle]

Очень не хочется говорить ещё - много и во многих местах ругал эту программу - но должен повторить: другой "антишпионский" продукт этой компании сказал мне об одной библиотеке от МС, что её поставила одна программа для контроля детей родителями (тоже легально ведь), и в "доказательство" принёс аргумент, что функционирование этой программы (т. е. "подглядывать" за кем-то) описана на каком-то файловом сайте (к примеру, к таким общесодержательным сайтам можно отнести и soft.oszone). Однозначный вывод: авторы "антишпиона" просто рыщут по инету и собирают сведения о таких - легальных - программах, а потом заносят в "чёрный список" и все файлы, имеющие отношение к таким программам, автоматически становятся "объектами с высоким риском". И XoftSpy, проходящий весь диск за минуту-другую, конечно же, не сканирует файлы, а просто сверяет их названия и ключи реестра со своим "чёрным листом"
Это уже не просто ложные сообщения, а мошенничество.