Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » NTFS имитирует вирусное поведение, сама удаяляя файлы

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

oshizelly



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Столкнулся с очень странным глюком файловой (???) системы, никогда ничего подобного не слышал. Опишу по шагам:
 
1. Заходим в папку D:\Incoming, там куча файлов.
  (В других папках, в том числе её дочерних, этого не происходит.)
 
2. Копируем сюда либо переименовываем уже имеющийся здесь любой файл или папку, чтобы они начинались с любого символа кириллицы, например, так: бвгдж test.jpg.
 (Если кириллица не в начале имени, то ничего не происходит.)
 
3. Я вижу собственными глазами, как в папке появляется новый файл. Но... после паузы в 1-2 секунды файл на моих глазах исчезает из папки. Вот он тольчо был - и вот его уже нет. Утащили
 
Но дальше ещё интереснее.
 
4. Пробуем ещё один файл скопировать или переименовать под тем же именем бвгдж test.jpg. Получаем стандартный запрос на подтверждение перезаписи файла, уже существующего под тем же именем в этой папке. В запросе указаны вполне правильные размер и дата "имеющегося" старого файла бвгдж test.jpg Это поведение воспроизводится каждый раз при использовании любого (из 4-х проверенных) файлового менеджера.
Первая мысль была, что файл получает какой-то хитрый атрибут и просто перестаёт отображаться, хотя показ скрытых и системных файлов включён. Но версия не подтверждается, можно легко убедиться, что "пропавшего" файла на самом деле нет в этой в папке: переименовываем любой большой файл и сравниваем общий размер видимых файлов в папке с полным размером самой папки.  
 
5. В папке наших переименованных файлов нет, но где-то на диске они скапливаются. Это видно из того, что по мере экспериментов свободное пространство на диске уменьшается точно на размер "украденных" системой файлов.
 
 
Вроде бы больше всего это похоже на вирус. НО я проверял свою систему 3-мя антивирусными сканерами и выслал снимки спецам по вирусной безопасности. Все в один голос твердят, что всё чисто.  
Также было подозрение, что, наоброт, выкипели мозги у антивируса. Отключил. Не помогло...
 
Уже не знаю, куда копать. Может, есть какой-то способ установить, какое именно приложение или системный процесс забирает себе эти файлы?
 
Спасибо!
Всего записей: 6524 | Зарегистр. 18-09-2004 | Отправлено: 03:14 13-09-2013 | Исправлено: oshizelly, 10:04 13-09-2013
dfine2K9



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я бы попробовал использовать Process Monitor, задав в фильтре только действия с файлом (например "бвгдж test.jpg"), может быть удастся узнать, какой процесс его удаляет
Всего записей: 39 | Зарегистр. 17-08-2009 | Отправлено: 08:23 13-09-2013 | Исправлено: dfine2K9, 08:24 13-09-2013
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проверить ФС на ошибки (chkdsk) не пробовал?
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 09:17 13-09-2013
oshizelly



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dfine2K9 07:23 13-09-2013  
Цитата:
Я бы попробовал использовать Process Monitor, задав в фильтре только действия с файлом (например "бвгдж test.jpg"

А как это сделать в Process Monitor?
У вас не опечатка, случайно? Может, имеется в виду File Monitor от Sysinternals / MS?
С File Monitor уже пробовал (не стал подробно описывать все свои пляски, так как тогда и страницы не хватило бы). По логу отчётливо видно, что с файлом соприкасался только сам файловый менеджер, в котором файл создавался или переименовывался.  
 
9285 08:17 13-09-2013
Цитата:
Проверить ФС на ошибки (chkdsk) не пробовал?

Пробовал. Собственно, система сама недавно проверяла этот самый диск на наличие ошибок при очередном перезапуске, так как что-то ей показалось странным. Нашла и исправила несколько ошибок файловой таблицы. Говорит, что больше нет...
 
А сбой таблицы может проявляться таким вот причудливым образом, что проблема только с файлами, чьи имена начинаются с кириллицы? И чтобы файл сначала создавался, а потом исчезал из папки?
Всего записей: 6524 | Зарегистр. 18-09-2004 | Отправлено: 10:17 13-09-2013
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oshizelly
Любой сбой может приводить к различным, в том числе непредсказуемых, последствиям.
Поэтому то и надо исключть различные ошибки.
Вот ещё вспомнил - может быть повреждён какой то системный файл, например отвечающий за работу с кирилицей (это я просто пофантазировал) или с той же ФС.
Поэтому и проверка системных файлов лишней не будет.
PS. Что то я сомневаюсь что это вирус.
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 10:54 13-09-2013
dfine2K9



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
oshizelly

Цитата:
У вас не опечатка, случайно? Может, имеется в виду File Monitor от Sysinternals / MS?  

 
Именно Process Monitor от Sysinternals/MS - он заменяет устаревшие FileMon и RegMon.
 
Примерно так:
 
Открываете Process Monitor (далее PM),
первым появляется окно фильтра. В этом окне нажимаем кнопку Reset,
далее создаем новый фильтр:
Path > contains > имя_искомого_файла > then > include
 
   
 
нажимаем Add, затем OK.
 
Если Capture не включен, включаем (кнопка "лупа" в панели инструменов)
 
Создаем свой файл бвгдж test.jpg и смотрим, какие процессы к нему будут обращаться.
 
То есть то же самое, что бы делали с FileMon, но PM всё-таки обновляется, его функции перехвата более совершенны. Вдруг это поможет
Всего записей: 39 | Зарегистр. 17-08-2009 | Отправлено: 22:15 13-09-2013 | Исправлено: dfine2K9, 22:17 13-09-2013
Seduxen



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oshizelly
In+Come+Ing => Входящий. Откуда взялась папка Incoming в корне диска D Права на  папку?
Если скопировать по Вашему методу файл гигов в десять - находится ли он поиском? Удаляется ли сама папка? Ось какая, наконец?
Если это от eMule, можно поискать во временных файлах.
 
Всего записей: 784 | Зарегистр. 03-07-2004 | Отправлено: 22:20 13-09-2013
oshizelly



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разобрался. Это всё-таки был какой-то глюк файловой системы NTFS. После очередной перезагрузки системы с проверкой диска было получено куча сообщений об ошибках записи ФС $130 в файле/папке 40 (что-то в таком роде) для файла такого-то и их исправлении. Я наблюдал процесс исправления и грустно думал, что накрылись все мои кириллические имена, получу на выходе что-нибудь вроде ~htfjkl.jpg и т.д. Однако был приятно удивлён, когда зашёл в проблемную папку, и все файлы с кириллицей в имени сохранили свои правильные имена. Как мало иногда нужно для счастья
Даже те файлы и папки, которые я создавал в ходе экспериментов, все вернулись обратно, удалил из вручную.
 
9285, dfine2K9 и всем остальным большое спасибо за идеи и моральную поддержку!
Всего записей: 6524 | Зарегистр. 18-09-2004 | Отправлено: 12:18 14-09-2013
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » NTFS имитирует вирусное поведение, сама удаяляя файлы


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru