Самопроизвольное удаление mp3 файлов
 

Здравствуйте. Вопрос глупый до безобразия. На компьютере установлена Windows 7 Ultimate. К нему подключено сетевое хранилище Synology. На компе создаю папку с любым именем. В нее помещаю mp3 файлы. Эти файлы нужны ребенку для записи на mp3 плеер. После этого делаю архив этой папки. Помещаю архив на сетевое хранилище Synology. Для контроля за папкой поставил программу Простой наблюдатель 1.6. Она показывает изменения происходящие в данной папки.Через какое то время эта папка исчезает. Причем удаление происходит и с сетевого хранилища Synology архива этой папки. пытался делать копии папки и разбрасывать их в разные места, бесполезно, они тоже удаляются через какое то время. Причем я могу не заходить в те папки некогда. Удаление происходит бессистемно, то есть файлы могут удалиться и через день, и через неделю. Больше недели обычно не живут. Причем оригинальные файлы, папка откуда скачиваю большую часть файлов, остаюся нетронутыми. Не беру оттуда файлы, потому, что докидываю некоторые песни для ребенка из нэта. Программа Простой наблюдатель говорит, что файлы были удалены, но какой программой, не показывает. Пробовал менять винду, стояла лицензия, ставил пиратки. проверял Live Cd антивирусов Касперского и доктор Веба. Ставил их и на чистую ситему и так. Ставил другие антивирусы Nod, Norton и многие другие. Все говорят вирусов нету. Другие файлы не пропадают, только вновь созданная. Как можно узнать, кто удаляет папку с файлами? Посоветуйте какой нибудь способ или прогу, чтоб отловить процесс или вирус неизвестный. Заранее спасибо за помощь

Сделай проверку диска Synology.

По журналу аудита увидел, что удаление происходит через explorer.exe. Вот ниже привожу сообщение аудита
Выполнена попытка получения доступа к объекту.

Субъект:
ИД безопасности: Flex1PK\Flex1
Имя учетной записи: Flex1
Домен учетной записи: Flex1PK
Код входа: 0x29503

Объект:
Сервер объекта: Security
Тип объекта: File
Имя объекта: E:\$RECYCLE.BIN\S-1-5-21-2076948443-3459350233-3667173131-1000\$RKS50M2\154 КОРОБКА С КАРАНДАШАМИ.mp3
Код дескриптора: 0x480

Сведения о процессе:
Идентификатор процесса: 0x870
Имя процесса: C:\Windows\explorer.exe

Сведения о запросе на доступ:
Операции доступа: DELETE

Вопрос в следующем, как узнать почему это происходит? Если это вирус, то почему не один из известных крупных антивирусов, таких как dr. web. Nodd 32, касперский не могут его найти, даже используя live cd ил установку винды чистой без софта вообще с удалением всех данных ? Как дальше вычислить причину удаления файлов? Очень надеюсь на Вашу помощь

А ребенок их удалить не может? Можно его спросить, но это может не дать результата. Вникать в мотивы не советую. Поставьте какое нибудь ПО для снятия видео с экрана, чтобы запускалось с виндой и снимало в плохом качестве (настолько, чтобы можно было прочитать экранные шрифты) постоянно. Для этого может подойти Snagit, но она платная.

Просмотрите логи антивируса. Если мр3 вы качаете с одного и того же ресурса, есть вариант, что они заражены и удаляются антивирусом. Этим и бессистемность удаления можно объяснить.

Еще я не знаю настройки программы Простой наблюдатель 1.6. Она не может удалять файлы автоматически? Ну например если ими долго не пользоваться.

Я не знаю как настроено ваше сетевое хранилище. Есть ли возможность того, что после удаления файлов из локальной папки, бэкап обновляется, а так как папка пуста - удаляется из хранилища?

Попробуйте создать еще одного пользователя в системе с паролем. Дайте ему полные права на проблемные папки. А вот у учетной записи Flex1 оставьте только права на чтение. Это удаление головной боли топором, но все же.

За компом сижу только я, ребенок-инвалид и не может работать за компом. Программу Простой наблюдатель 1.6. поставил после начала удаления файлов, чтобы увидеть, что с ним происходит. После назначения аудита, эту прогу я удалил, за ненадобностью. Фалы mp3 я не качаю с нэта. Я взял диск Лучшие детские песни, взял музыку находящуюся на компе, создал отдельную папку и скопировал туда все. Удаляется именно эта папка, где бы я ее не делал. Причем музыка взятая с компа нормально лежит без проблем В хранилище не настроено резервирование этой папки, за ненадобностью. Антивирусом пользуюсь ли лицензионным Dr. Web. При создании папки с файлами его не отключаю. После делаю проверку на вирусы, результат нулевой. Смотрел логи, чисто. Сейчас поставил программу Folder Guard и выставил только чтение атрибут, чтобы хоть как то попробовать закрыть удаление. Спасибо за Ваши советы

Это файл в "Корзине".
Похоже, папка сначала была перенесена в "Корзину", но это событие не попало в лог. Чтобы попало, придется на время выяснения обстоятельств включить флажок "Уничтожать файлы сразу после удаления, не помещая их в корзину".

хорошо, я включил флажок "Уничтожать файлы сразу после удаления, не помещая их в корзину". Как только произойдет удаление, привдеу лог здесь. примерно через 3-4 дня. Обычно через это время происходит удаление

Еще попробуйте установить пароль на вашу текущую учетку. Есть одно подозрение, но пока не буду его озвучивать. Скажете о результате.

))) пароль это первое, что делал. дошло до паранойи и я ставил проги фиксации всех действий на компе. Но как я и писал раньше, кроме меня за компом никто не работает, что и подтвердили все проги. Если бы меня кто спросил, почему исчезает, я сказал бы, что вирус. Но я проверял всеми известными мне антивирусами и они сказали, что вирусов нету. Спасибо за совет

Может Вы пользуетесь какими-то чистильщиками системы? Или она (они) работают в автоматическом режиме.

Повторюсь еще раз. Ставим чистую систему и антивирус. Все, больше вообще ничего. даже дрова не ставлю. Через несколько дней файлы исчезают. Ставил и лицензию и сборки разные, результат одинаковый. поэтому чистильщики нафиг ненужны. Спасибо за совет

Flex1, такое впечатление, что вы нарочно это написали, чтобы мы поломали голову. Может у вас домовой завелся в компе? :)

Даже не знаю что это может быть. Как там дела с логами без корзины?
Есть ли на компе другие учетки с правами администратора? Или учетка гостя включена (не помню, имеют ли гости права на удаление файлов)?
Очень подозрительно, что файлы сначала удаляются в корзину. Я не видел ни одного приложения, которое бы перемещало файлы в корзину, а потом очищало ее. Это больше похоже на действие злоумышленников, которые могли бы иметь доступ к вашему компу удаленно.

А где именно на компе вы создаете папку с любым именем?

Каким образом вы делаете архив папки?

Папка исчезает полностью или только содержимое? Если полностью, то попробуйте выставить в безопасном режиме на папку запрет на удаление (может и не в безопасном, не помню, как там в семерке, но в ХР точно приходилось зайти в безопасный, чтобы менять расширенные настройки доступа). Потом проверьте, удаляется ли содержимое папки.

Попробуйте создать на том же диске (Е: по моему) другую папку. Не с музыкой, а с документами, картинками, фильмами... Убедитесь, что эту папку не ожидает такая же участь. Не знаю, чем поможет эта информация в данный момент, но, может, что-либо прояснит в дальнейшем.

Вам то смешно, а мне не очень, потому что не знаю почему пропадает папка. Разницы в каком месте я создаю папку нету, я пробовал и на системном диске и на дополнительном на sysnologe на удаление происходит вместе с содержимым. На том диске с музыкой есть другие папки, и они не удаляются. Гость выключен, учетка одна и с паролем, пароль известен тока мне. Папка исчезает полностью вместе с содержимым. Причем создавал сначала ее в том месте, где хранится вся музыка, потом она стала пропадать, а сама музыка нет. Подумал мало ли, вдруг сам удаляю. Решил создавать на другом диске . Я просто помню в ранних версиях семерки, еще бэта был такой глюк с удалением mp3. Тока незнаю как его решили или просто вышла бэтка поновее и убрали этот глюк. Пака пока на месте, жду удаления. Просто может есть какие нибудь проги для отслеживании перемещений файлов, не обязательно средствами винды. Ведь, что вызывает запуск explorer для перемещения в корзину. Кстати какой Event ID удаления из корзины, чтобы весь лог не смотреть. Я готов предоставить любые логи, мне просто хочется понять куда и почему пропадают файлы.

Видишь ли, удаление происходит средствами эксплорера, это легко отследить. А вот чем он запускается - это уже вопрос сложно решаемый. Хоть сам прогу пиши, не знаю кто умеет такое логировать. Есть только проги, которые могут в реальном времени отслеживать связи процессов (какой от чего запущен), но логи подробные они не ведут, а поэтому в данном случае бесполезны. А если бы даже и вели, действия процессов они все равно не отслеживают. Единственное - совместить логи аудита и логи диспетчеров процессов. Тогда по времени удаления можно чего то понять.И тем не менее. Я так понял после переустановки винды вы просто вернули все старые папки обратно. Или вообще не форматировали диск, а просто поставили новую винду поверх старой. Поэтому старые папки пусть лежат, нам они не интересны. Создайте новую папку с иним содержимым (не музыкой).

Когда я менял винду, я форматировал винт при переустановки. поверх старой не ставил. Когда делал папку для ребенка с музыкой, то вместе с ней создавал папку еще одну, куда кидал несколько песен, думал, что вместо копирования нажимаю вырезать и поэтому исчезает папка. Та папка исчезала вместе с папкой ребенка, хотя я в нее даже не заходил и нечего не копировал. Щас создал в том месте еще одну папку с картинками. В папке музыки создал папку с картинками. посмотреть действия. Прошло 3 дня пока не исчезло ничего. Вопрос глупый, может расширение на написанное большими буквами вызывать удаление? В винде регистр не должен вроде влиять, просто некоторые песни имеют написание расширения большими буквами. Понимаю глупо, но нужно что то предпологать

Свершилось так сказать. За компом сидел я, зашел на диск, папки нету. В ней была другая с фотками, ее тоже нету. Другая папка ново созданная с фотками осталась.
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 11.08.2013 14:39:00
Код события: 4663
Категория задачи:Файловая система
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Flex1PK
Описание:
Выполнена попытка получения доступа к объекту.

Субъект:
ИД безопасности: Flex1PK\Flex1
Имя учетной записи: Flex1
Домен учетной записи: Flex1PK
Код входа: 0x2b1fc

Объект:
Сервер объекта: Security
Тип объекта: File
Имя объекта: E:\1
Код дескриптора: 0x5f0

Сведения о процессе:
Идентификатор процесса: 0x884
Имя процесса: C:\Windows\explorer.exe

Сведения о запросе на доступ:
Операции доступа: DELETE

Маска доступа: 0x10000



Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 11.08.2013 14:39:00
Код события: 4663
Категория задачи:Файловая система
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Flex1PK
Описание:
Выполнена попытка получения доступа к объекту.

Субъект:
ИД безопасности: Flex1PK\Flex1
Имя учетной записи: Flex1
Домен учетной записи: Flex1PK
Код входа: 0x2b1fc

Объект:
Сервер объекта: Security
Тип объекта: File
Имя объекта: E:\1\011 ПЕСНЯ БАБЫ-ЯГИ.mp3
Код дескриптора: 0x5f0

Сведения о процессе:
Идентификатор процесса: 0x884
Имя процесса: C:\Windows\explorer.exe

Сведения о запросе на доступ:
Операции доступа: DELETE

Маска доступа: 0x10000
Что еще можно сделать? Защищенная папка осталась

А может ли быть такое, что данную операцию выполняет вирус? Проверялась ли система на вирусы? Может я и ошибаюсь, но вполне возможно, что где-то на локальном диске с музыкой есть вирусняк и творит такие чудеса. И после полноценной переустановки винды, он её взял под контроль и что хочет, то и делает.

Извините пожалуйста за бестактность, но как я уже писал ранее ПРОВЕРКА НА ВИРУСЫ выполнялась и под виндой и с live cd собранных производителями антивирусов

Flex1, антивирус тут не поможет. Тут можно еще проверить чем нибудь, типа Malware. Попробуйте. Это последнее, что могу предложить.

И да, регистр тут не при чем.

Хм. Можно попробовать натравить ProcessMonitor. Заранее настроить его на слежение только за файловой системой (кнопка в главном окне Show File System Activity) и только за целевой папкой (при запуске вылезет окно фильтров, сделать там Path -> contains -> вписать начало пути к целевой папке, например C:\Music
Размер файла подкачки желательно увеличить или оставить по выбору системы, программа пишет логи туда и часто падает от нехватки памяти.
Можно ещё настроить фильтр на событие "удаление" в заданной папке, но сейчас не вспомню, как это задать, можете поискать самостоятельно.
Далее, когда обнаружится процесс, удаляющий файлы/папки, жмете на него правой мышью - Properties - Process - Parent PID - это идентификатор родительского процесса. В самом ProcessMonitor сбрасываете все фильтры и устанавливаете новый по признаку PID - is - вводите ID родительского процесса.

В качестве тычка пальцем в небо - изучите планировщик заданий винды.

Извините, а как нибудь делать логи с помощью ProcessMonitor можно? Просто удаление происходит не в строго определенное время, а раз в несколько дней и сидеть днями наблюдать за процессами согласитесь глуповато. Планировщик я смотрел, думал может там кто то прописался, но к сожалению там пусто. Пока борюсь блокировкой папки от удаления с помощью сторонних программ, вроде помогает

эмм... тоже заинтересовало дело. Но, разве все эти "чудеса" не связаны с работой этого самого Synology? Весьма смутно представляю как это работает, но... Может, настройки особые-индивидуальные кривые, синхронизация там, ещё чего...
Почему этот подозреваемый не проверяется в первую очередь?

Как бы, очевидно, что при всех произведённых манипуляциях, неизменным в данных условиях остаётся только Synology>>>>
ну, я уж не думаю, что антивирус вы настраиваете особыми эзотерически-мистическими правилами....

Flex1, malware так и не попробовали?

Synology не причем, потому что софта для работы с ним нету на компе. И подключался он к компу только для переноса вручную архивной папки. Он к телику все время подключен, не к компу. Настройки антивируса дефолтные. Malware пробовал, ничего не нашел. Пока спасаюсь защитой папки от удаления с помощью сторонних программ

Можно.

Process Monitor: как отследить приложение, записывающее непонятные файлы на диск
Для сохранения лога в файл нажмите сочетание клавиш CTRL+B и укажите имя и желаемое расположение файла.
Изменения вступают в силу после перезапуска захвата активности. Теперь можно смело оставить Process Monitor включенным на длительное время, не опасаясь за лимит дискового пространства.

Flex1, выложите логи RSIT.

логи RSIT

Есть:
Хотя непонятно, почему папки/файлы удаляет сам проводник (explorer.exe). Под вашей учетной записью (Flex1). Но без вашего участия.

Да, софт поставил сейчас весь что мог.Кстати пропадание файлов началось за 3 месяца до покупки Synology. Под чистой виндой без всего сидеть надоело. Буду ставить мониторинг как писали выше. Может там, что выйдет