Добрый день!

Образовался у меня файл, который не могу удалить.

Разрешения на него — Full Access. На всякий случай снял у него все разрешения и поставил себе FullAccess и больше никому ничего.

Unlocker — говорит, что не может найти блокирующий дескриптор.

LockHunter (http://lockhunter.com/downloadnow.htm) говорит тоже. что файл не блокирован.

А удалить его не могу. Access Denied.

Вот что показывает Process Monitor, когда я из FAR пытаюсь его удалить. FAR, конечно, запущен с правами администратора.



Что бы это могло значить ?

Файл мне не нравится. У него заголовок MZ, как бы не вирус я подцепил.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Образовался у меня файл, который не могу удалить.

а) Сделай проверку диска
б) Попробуй удалить из безопасного режима
в) Может это вирус какой — можно просканировать антивирусом с Live CD/USB (есть на сайтах Kaspersky, ESET, Dr.Web).

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Файл мне не нравится. У него заголовок MZ, как бы не вирус я подцепил.

Можешь загрузить его сюда: https://virustotal.com/

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Образовался у меня файл, который не могу удалить.

Два предложения:

1. Перегрузить в safe mode, попробовать удалить

2. MoveFileEx(szDstFile, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);

Здравствуйте, VladFein, Вы писали:


VF>1. Перегрузить в safe mode, попробовать удалить

VF>2. MoveFileEx(szDstFile, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);

За идеи спасибо. Первая, увы, пока не проходит — я через RDP работаю. Вторая, думаю, сработает, собственно, Unlocker мне это и предлагает сделать.

Меня не столько файл интересует , сколько что это значит. Файл не блокирован, права есть, удалить нельзя. Что это такое ?

Поискал имя папки (GUID) в реестре и нашел вот что в PendingFileRenameOperations

\??\C:\Users\dvorkin\AppData\Local\Temp\784F.tmp
\??\C:\Program Files (x86)\Google\Chrome
\Device\HarddiskVolume3\Users\dvorkin\AppData\Local\Temp\236F7CD06.sys
\??\C:\Users\dvorkin\AppData\Local\Temp\DEL3CAD.tmp
\??\C:\Users\dvorkin\AppData\Local\Temp\DEL3CBD.tmp
\??\C:\Users\dvorkin\AppData\Local\Temp\DEL3CCE.tmp
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\0NRlaJJDui
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\1gRWdOrr0GxEN
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\1p5n9V5EszfnrF1
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\235a32338.sys.4b3d5a
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\2Uq5EOgv32
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\3ca2shyi2Ui3aCh
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\4J4883T5Znhk4u
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\6zIibcz7yEkKmFg
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\7eQXEHXjPi2H
\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\9KM71ev6Z2zTMQ

и т.д, еще несколько десятков таких же строк

А потом нашел вот такое в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\Doctor Web\Dr.Web Engine EventMessageFile

C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\X9f4STf2bD5ho.exe

Похоже, шутки DrWeb CureIt, который я запускал. Хотя все равно не совсем понятно.

Здравствуйте, Evgeny.Panasyuk, Вы писали:

EP>Можешь загрузить его сюда: https://virustotal.com/

Да, спасибо, проверил. Чисто.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Unlocker — говорит, что не может найти блокирующий дескриптор.
А что Process Hacker говорит?

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Похоже, шутки DrWeb CureIt, который я запускал. Хотя все равно не совсем понятно.

Он же драйвер свой грузит, временный. Видимо это он.

Здравствуйте, Vain, Вы писали:

V>А что Process Hacker говорит?

Не пробовал.

PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\0NRlaJJDui
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\1gRWdOrr0GxEN
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\1p5n9V5EszfnrF1
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\235a32338.sys.4b3d5a
Чья подпись у этого файла?

PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\2Uq5EOgv32
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\3ca2shyi2Ui3aCh
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\4J4883T5Znhk4u
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\6zIibcz7yEkKmFg
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\7eQXEHXjPi2H
PD>\??\C:\Users\dvorkin\AppData\Local\Temp\5A5B1556-3F9D380-474EFCDD-FED2EEE3\9KM71ev6Z2zTMQ
PD>и т.д, еще несколько десятков таких же строк
Стремно как-то. Адекватный производитель антивиря из темпа грузить драйвера не станет. Выложите несколького ехешников (полагаю тут таковые есть) и драйвер куданить, будет время — гляну в IDA на что оно ваще похоже.

Здравствуйте, ononim, Вы писали:

O>Стремно как-то. Адекватный производитель антивиря из темпа грузить драйвера не станет.

А EXE запускать из темпа будет ? Вот такое сейчас есть. VirusTotal по нему дает 0/56

https://social.technet.microsoft.com/Forums/ru-RU/06c2984f-60b1-423f-86d0-5d80172774e3/-dismhostexe-?forum=windows7ru


>Выложите несколького ехешников (полагаю тут таковые есть) и драйвер куданить, будет время — гляну в IDA на что оно ваще похоже.

Увы, нет уже их больше. CureIt удалил.