[Erekle]

Цитата:

С логом тебе лучше сюда.

Ну так Виталий брал консултацию у одного из экспертов ВирусИнфо, но на другом форуме.
(Кстати, там же кто-то от нужды болтать языком впустую посоветовал ему "формат диска С" Он и сделал...)

Упомянутый уважаемый эксперт сказал, что по логу АВЗ признаков заражения нет, что это ошибка распаковки, и если бы там что-то было, он бы сказал.
Когда это говорит не кто-нибудь, а сам NickGolovko, я (да и большинство имеющих касание с компьютером) должен молчать в тряпочку. Но что АВЗ будет детектировать 100 % - гарантию этого никто не давал и не даст. И сказанное - просто расшифровка того, что означает запись в прямом смысле, - а не оценка содержимого файла (тем более, если файл не был раскрыт - я не знаю, раскрывается ли он или нет, если такая запись в логе).

Я, конечно, тоже не знакомился с содержимым (сказал же: телепатически + поиск). Но логичные подозрения, как могли увидеть по поиску и после ознакомления с материалами по всем ссылкам, согласитесь, имеются. К тому же, одной точкой восстановления меньше - от этого система не рухнет. Вы же даже формат делали?
Давайте, загрузите этот файл на www.virustotal.com - пусть проверят комплексно.

(что вирусы поражают файлы в папке восстановления системы, потому что доступ туда для антивируса закрыт - это правильно, но это - резерв (к тому же, они будут попадать туда после запуска и автоматически, даже без установки оседать там). Не встречал упоминания, что активная зараза действовала с этой папки. Хотя могу ошибаться.)

[XXXler]

Erekle, если мне не изменяет память, имена файлов в точках восстановления всегда генерируются автоматически для избежания совпадений, поэтому вероятность что это вирус из-за названия файла невелика..

В принципе исходя из заголовка темы, автору следует вначале ознакомится с какой-либо статьей по "безопасной" работе в интернет и сравнительными обзорами антивирусов\фаерволлов. Как вариант, ознакомившись с этой статьей перестать боятся злобных хакеров, в качестве антивируса использовать DrWeb\KAV\AntiVir\Avast\Nod32(в связке со сканером DrWeb), в качестве фаерволла - Outpost\ZoneAlarm\Sunbelt Personal Firewall\входящий в состав антивируса(?), antispyware на ваш вкус. Ищется все в гугле, помощь по настройке там-же. Также неплохо бы обновить используемое п\о, драйвера и.т.д.

[Erekle]

XXXler, да... Но семизначный номер... а по поиску все результаты одинаковы, и картина такая же.
Можно ведь зайти в эту папку и просмотреть информацию в окошке подсказки у каждого файла, или в Свойствах.
Если предположение окажется верным, потом можно искать оригинал за пределами папки, и одним дело может не ограничиться (или же проверить той программой, которая хорошо их распознаёт).

[XXXler]

Цитата:

XXXler, да... Но семизначный номер... а по поиску все результаты одинаковы

абсолютно от фени прибавляем единичку к номеру файла и получаем новый вирус

[Erekle]

Да что в этом поиске относится к определению "файл", то же (НЕ кликать!) самое и есть.
И по ссылкам с предыдущего поиска можно увидеть, что эта семизначка = троян, и что он часто находится в списке собратьев по принципу +1, скопированных с какой-то программы, - которая, очевидно, с завидной прилежностью реинкарнировалась. Почему-то думается, что нормальные программы так не поступают.
Не стоит, впрочем, зацикливаться. Это неактивный файл, и может только помочь в поиске.

[XXXler]

Erekle, вы несколько преувеличиваете, либо недопонимаете алгоритм работы System Restore в WinXP. Постараюсь обосновать.

Восстановление системы ставит хук на события создание\дозапись\удаление файлов и создание\удаление каталогов, и пользуясь фильтром по расширению отслеживает операции с ними. Так-же гдето раз в сутки выполняется полное резервное копирование новых\измененных, относительно предыдущей рабочей точки восстановления, файлов, также возможен вызов через собственное API. Следовательно вирусы попадают туда весьма естественным путем .

В пределах точки восстановления идет сквозная номерация файлов в формате Axxxxxxx (7 - значный счетчик), оригинальным остается только расширение, соотвествие имя файла_в_точке_восстановления -> его_расположение_на_диске заносится в файл change.log точки восстановления.

Точки восстановления откатываются либо вручную, либо вызовом через собственное API. Также следует различать действия System Restore, резервирования конфигурации оборудования (создает дубль ветки реестра HKLM\SYSTEM\CurrentControlxxx автоматом при удачном запуске Win) и System File Check (SFC, следит за фиксированным списком системных файлов проверяя их по цифровым подписям и восстанавливая в случае необходимости)

Следовательно гадание гуглом на имени файла в точке восстановления - весьма туманное и безрезультатное занятие.

[Erekle]

XXXler - спасибо.
Сквозная номерация файлов в формате Axxxxxxx (7 - значный счетчик) - теперь дошло. "Наш" номер умещается в четырёхзначных. Тогда следует удивляться совпадению.
Но во внутренности мы всё-таки не заглядывали.

[StoRoj]

Извините, я здесь в первый раз...Строго не судите...
Я так и не понял, была ли проведена полная проверка компьютера пострадавшим?
В его логе мне не понравилось одно место, связанное с C:\WINDOWS\system32\svchost.exe
Похоже на трояна, с которым я недавно боролся.
Он хорошо отлавливается КAV/ КIS 6.0 , которые определяют его, как активную угрозу (то есть, как я понимаю, процесс, внедрившийся в автозапуск).
Хотелось бы узнать, чем это всё закончилось, так как, к сожалению с подобными вещами приходится сталкиваться раз по 10 на дню. К сожалению, такие трояны хорошо переносятся через флешку по USB.
Еще у него один из признаков - не работает автозапуск при вставке нового носителя информации... Есть ли такое у пострадавшего?

[Erekle]

Проверял двумя антивирусами и hijackthis.
У него нет C:\WINDOWS\system32\svchost.exe в автозагрузке, только в процессах. А почему похож на трояна?
О расстройстве автозапуска при вставке нового носителя информации не видно. Но оно, в первую очередь, может быть связано с настройкой действия при вставке флешки.