avz (папка карантин)
 

Почему, помещенные в карантин и затем удаленные вместе с папкой, подозрительные файлы при сканировании avz восстанавливаются заново? (настройки: типы файлов – все файлы; параметры поиска – максимум эвристика, расширенный анализ, поиск портов tcp/udp; методы лечения – выполнять лечение, копировать в карантин)
фрагмент лога:
C:\System Volume Information\_restore{50726E3C-C2AC-4BCE-AF61-0FEF7BAC6419}\RP302\A0038894.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Файл "C:\System Volume Information\_restore{50726E3C-C2AC-4BCE-AF61-0FEF7BAC6419}\RP302\A0038894.exe" успешно помещен в карантин
C:\System Volume Information\_restore{50726E3C-C2AC-4BCE-AF61-0FEF7BAC6419}\RP302\A0039118.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл "C:\System Volume Information\_restore{50726E3C-C2AC-4BCE-AF61-0FEF7BAC6419}\RP302\A0039118.com" успешно помещен в карантин

P.S. Неделю назад AVG7 нашел и удалил Trojan-PSW (при том, что молчали nod, ad-aware, spybot) Сегодня снова находит PSW (новый или прежний?), вместе с этим, аvz находит удаленные неделю назад файлы (фрагмент лога)

:( Каким образом избавиться от проблемы, и как поступить с папкой Quarantine\avz на этот раз?

( еще вопрос не по теме: что нужно сделать, чтобы окно "Вход в службу Windows Live ID" не появлялось, когда я захожу в папки Documents and Settings ? Появилось сегодня...)

perchinka
В C:\System Volume Information содержатся точки восстановления системы. Одна или несколько точек были созданы с трояном внутри. Чтобы избежать восстановления к зараженному состоянию, необходимо удалить все точки. Сделать это можно отключив и снова включив восстановление системы в окне Win + Pause на вкладке "Восстановление системы"



Установить флажок отключения, применить, снять флажок, применить.

Vadikan, да, это окно исчезло, но есть последствия. После проделанных вышеуказанных действий, фаервол предупредил о подключении Windows Explorer к Интернет (?) разрешила подключение, и окно "Вход в службу Windows Live ID" появилось снова. Заново отключила-включила восстановление системы, на вс.сл. перезагрузила комп, и запретила фаерволу соединение, - появилась "ошибка подключения к Интернету службы Windows Live ID": оповещение об ошибке подключения к Интернету службы Windows Live ID: Не удается найти службу Windows Live ID, или она не отвечает. Это связано с техническими неполадками, или требуется настройка параметров сети. Любой из предложенных вариантов действия для этого окна: Повтор-Отмена, не убирают его, а принудительное закрытие не спасает, теперь оно появляется в папке Documents and Settings.

Есть такой прикол - вирусы, которые АВП удаляет, винда заботливо складывает в резервную папочку :)
Я, обычно, на время лечения машины отключаю восстановление на всех дисках (это заодно стирает все точки), проверяю АВП и потом включаю восстановление.

Скриншот можно? И информацию из журнала событий.

CyberDaemon, так и сделала, отключила систему восстановления, удалила папку avz/карантин, снова включила, запустила avz – лог чист. Спасибо за подсказку.

Vadikan, скриншоты, информация из журнала

http://keep4u.ru/full/070505/b2693236f9c8d956b5/jpg
http://keep4u.ru/full/070505/b0c4e712cb8fce4a74/jpg


(05.05.2007)

Тип события: Уведомление
Источник события: ServiceLayer
Категория события: Отсутствует
Код события: 0
Дата: 05.05.2007
Время: 0:15:36
Пользователь: Н/Д
Компьютер: YOUR-DC5F6BEF55
Описание:
Не найдено описание для события с кодом ( 0 ) в источнике ( ServiceLayer ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: Service started.

(04.05.2007)

Тип события: Предупреждение
Источник события: MSSQL$VAIO_VEDB
Категория события: (8)
Код события: 19011
Дата: 04.05.2007
Время: 5:02:48
Пользователь: Н/Д
Компьютер: YOUR-DC5F6BEF55
Описание:
Не найдено описание для события с кодом ( 19011 ) в источнике ( MSSQL$VAIO_VEDB ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: (SpnRegister) : Error 1355.

Скриншот окна можно все-таки? :) С журналом событий все ясно... И что это у вас за учетная запись такая, 234? Да, и что в папке Local Settings собственно нужно?

:) сейчас сделаю этот скрин (для этого, мне нужно разрешить подключение, а на дан. момент стоит запрет на подключение. Ок, через неск. мин. выложу)

http://keep4u.ru/full/070505/76685cdc1a37edc6ad/jpg

234 - да, у меня такая вот учетная запись, я ...шифруюсь :), нет, мне не удалось переименовать эту папку (кажется:) )
В папке Local Settings, собственно, ничего не нужно, так...

perchinka
А в папке Nethood нету такой штуки: "My web sites on MSN" или типа того? Удалить надо, если есть.

В принципе, проблему можно решить, откатившись к контрольной точке, поскольку Само по себе такое вряд ли появляется. Предположу, что были установлены обновления ОС или какие-то программы. Их можно было бы по одному удалять...

Да, в папке Nethood такая папка есть - Мои веб-узлы сети MSN. Удаляю.

Проверю, что было установлено, попробую сделать откат.
Если это все пожелания, то спасибо за помощь :)

:) удалила папку, перезагрузила ноут, - проблема исчезла! :)