Стал разбираться с одним ХР, куда ушло всё свободное место. И по пути windows/system32/ нашёл это приложение - wincreate.exe, которое весит аж 14 гиг. Удалить боюсь, запустить тоже :) Что это такое?

Antonij, Это скорее всего вирус...)Чаще всего распространяемый из Китая.Прогоните систему антивирусом.

Antonij,

описание wincreate.exe (http://www.spycheck.ru/genera.php?processfile=wincreate.exe&dir=w&pag=33)

Infostealer.Lineage [Symantec] (http://www.threatexpert.com/threats/infostealer-lineage.html)

Antonij, тема перенесена, сделайте полную проверку и логи (http://forum.oszone.net/thread-98169.html).

Прошу прощения за столь длительный перерыв в теме, компьютер всё это время не работал. Сейчас вновь починил, теперь решею эту проблему. Протестил по второму пункту, а также spycheck-ом - как вирус это приложение не выявилось. Но вот логи:

Ничего плохого не увидел

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите JavaRE (http://www.java.com/ru/download/manual.jsp)

С обновлениями понял. А как же с этим приложением быть? Оно занимает 3/4 моего жётского диска :) Если это не распознаваемоый антивирусами вирус, может, его просто удалить как удаляется обычный фаил?

Впервые слышу о вирусе в 14 гигов. Такое вряд ли возможно

В свойствах файла винда прописывает именно такой размер. Да и по общему объёму харда, соотношения занимаемого всеми остальными файлами места и оставшегося свободным этот размер тоже подтверждается...

Господа, вы хотя бы скажите, можно ли эту фигню удалить, не повлияет ли отрицательно её удаление на работу операционки? Не важно, вирус это или нет, но свободное место моего маленького харда она душит конкретно...

Antonij, Давайте попробуем сделать так. Вы этот файл wincreate.exe переименовываете в wincreate.exe.bak и мониторите работу компьютера, если работа проходит 3-4 дня нормально, можете этот файл удалять, если же по каким-то причинам что-то не будет работать, вы вернёте всё на место.

И ещё, сначала, перед переименованием сделайте лог SDFix
• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

А расширение bak на конце отключает приложение?
Вот лог:

А расширение bak на конце отключает приложение? »Если не в даваться в принципиальности, то, да, отключает. Просто .bak не является приложением и следовательно не будет выполняться.

Один троянчик удалён.
C:\WINDOWS\system32\shell31.dll - Deleted

Antonij, Теперь сделайте такие логи по порядку.

1. Скачайте архив MGtools.rar (http://forum.oszone.net/attachment.php?attachmentid=39102&d=1265111395) (~ 2 МБ), распакуйте его и запустите файл MGtools.exe, дождитесь окончания работы утилиты, после чего в директории C: у вас появится архив MGlogs.zip (C:\MGlogs.zip) прикрепите его к следующему сообщению

2. Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Переименовал. Пока никаких изменений...
Если позволите, а почему всё-таки bak? Ведь так можно в конце любое слово из трёх написать, оно тоже не будет выполняться :)

Переименовал. Пока никаких изменений... »
Никаих изменений в какую сторону? :) В худшую - проблема осталась? Или в лучшую - никаких проблем? :)
Если позволите, а почему всё-таки bak? Ведь так можно в конце любое слово из трёх написать, оно тоже не будет выполняться »Абсолютно верно. :up: Просто если писать любое, то можно забыть, а .bak это сокращённо от backup - бэкап. Просто по стандарту.

Вот последние логи. При тесте первой прогой выдалось сообщение о какой-то ошибке...

Никаих изменений в какую сторону? » Да вот ни в какую :) Хуже не стало - всё работает так же, но и лучше тоже - приложение по-прежнему мешается своими размерами :)

Antonij, По логам ничего не увидел. Это я так понял у вас диск на 20 ГБ и из них сейчас свободно 1.87 ГБ.
Диск C:
Описание Локальный жесткий диск
Сжатый Нет
Файловая система NTFS
Размер 19,15 ГБ (20 563 165 184 байт)
Свободно 1,87 ГБ (2 004 942 848 байт)Попробуем gmer ?

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Это я так понял у вас диск на 20 ГБ и из них сейчас свободно 1.87 ГБ. »
Да, причём он единственный на компутере, потому и воюю за место :)
Вот лог:

В логе чисто