Что за приложение wincreate.exe ?
 

Стал разбираться с одним ХР, куда ушло всё свободное место. И по пути windows/system32/ нашёл это приложение - wincreate.exe, которое весит аж 14 гиг. Удалить боюсь, запустить тоже :) Что это такое?

Antonij, Это скорее всего вирус...)Чаще всего распространяемый из Китая.Прогоните систему антивирусом.

Antonij,

описание wincreate.exe

Infostealer.Lineage [Symantec]

Antonij, тема перенесена, сделайте полную проверку и логи.

Прошу прощения за столь длительный перерыв в теме, компьютер всё это время не работал. Сейчас вновь починил, теперь решею эту проблему. Протестил по второму пункту, а также spycheck-ом - как вирус это приложение не выявилось. Но вот логи:

Ничего плохого не увидел

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите JavaRE

С обновлениями понял. А как же с этим приложением быть? Оно занимает 3/4 моего жётского диска :) Если это не распознаваемоый антивирусами вирус, может, его просто удалить как удаляется обычный фаил?

Впервые слышу о вирусе в 14 гигов. Такое вряд ли возможно

В свойствах файла винда прописывает именно такой размер. Да и по общему объёму харда, соотношения занимаемого всеми остальными файлами места и оставшегося свободным этот размер тоже подтверждается...

Господа, вы хотя бы скажите, можно ли эту фигню удалить, не повлияет ли отрицательно её удаление на работу операционки? Не важно, вирус это или нет, но свободное место моего маленького харда она душит конкретно...

Antonij, Давайте попробуем сделать так. Вы этот файл wincreate.exe переименовываете в wincreate.exe.bak и мониторите работу компьютера, если работа проходит 3-4 дня нормально, можете этот файл удалять, если же по каким-то причинам что-то не будет работать, вы вернёте всё на место.

И ещё, сначала, перед переименованием сделайте лог SDFix
• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

А расширение bak на конце отключает приложение?
Вот лог:

Если не в даваться в принципиальности, то, да, отключает. Просто .bak не является приложением и следовательно не будет выполняться.

Один троянчик удалён.
Antonij, Теперь сделайте такие логи по порядку.

1. Скачайте архив MGtools.rar (~ 2 МБ), распакуйте его и запустите файл MGtools.exe, дождитесь окончания работы утилиты, после чего в директории C: у вас появится архив MGlogs.zip (C:\MGlogs.zip) прикрепите его к следующему сообщению

2. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Переименовал. Пока никаких изменений...
Если позволите, а почему всё-таки bak? Ведь так можно в конце любое слово из трёх написать, оно тоже не будет выполняться :)

Никаих изменений в какую сторону? :) В худшую - проблема осталась? Или в лучшую - никаких проблем? :)
Абсолютно верно. :up: Просто если писать любое, то можно забыть, а .bak это сокращённо от backup - бэкап. Просто по стандарту.

Вот последние логи. При тесте первой прогой выдалось сообщение о какой-то ошибке...

Да вот ни в какую :) Хуже не стало - всё работает так же, но и лучше тоже - приложение по-прежнему мешается своими размерами :)

Antonij, По логам ничего не увидел. Это я так понял у вас диск на 20 ГБ и из них сейчас свободно 1.87 ГБ.
Попробуем gmer ?

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Да, причём он единственный на компутере, потому и воюю за место :)
Вот лог:

В логе чисто

Antonij, Если удалить этот файл, он создаётся заново?

Удалил. Не восстанавливается. Наверно, битва с ним завершена :)
Однако не совсем понятно, если это вирус, то почему его не увидел ни один антивирус, и каким образом он смог закачаться в компутер?

Возможно потому что его ещё нет в антивирусной базе. Или это было результатом сбоя какой-либо программы. Помониторьте систему недельку-другую, запуская все программы и наблюдая за размером и их поведением.
Да хотя бы файл мог закачаться нулевым размером и создаваться уже непосредственно на компьютере.

Всё ясно. Спасибо за помощь! :)