Взрослая социальная сеть
Текстовая версия форума
Знакомства для секса Регистрация


Как удалить троян

Текстовая версия форума: Архив компьютерного форума



Полная версия топика:
Как удалить троян -> Архив компьютерного форума


Страницы: [1]2

Antares0401
На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?
Правда
Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
-=DRON=-
QUOTE (Antares0401 @ 23.02.2008 - время: 11:50)
На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?

<System Volume Information> хорошо чистит Касперский антивирус 6 или7 или бесплатная утилита AVZ. Если там вирус, значит включена функция <Восстановление системы> - советую отключить.
do-do
Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)
Antares0401
QUOTE (Правда @ 23.02.2008 - время: 13:09)
Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...

Антивирус NOD 32 лог прилагаю в конце лога инфо о вирусах

Присоединённый файл
Присоединённый файл  hijackthis.log
Antares0401
QUOTE (do-do @ 23.02.2008 - время: 18:05)
Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)

У меня тотал командер-он не открывает увы

Вот вирусы:
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057982.exe »NSIS »rle.dll - вероятно модифицированный Win32/TrojanDownloader.Obfuscated троян
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057984.exe - вероятно модифицированный Win32/TrojanClicker.Agent троян
Бродяга...
Far manager попробуй он точно должен открыть.
Antares0401
QUOTE (Бродяга... @ 24.02.2008 - время: 13:41)
Far manager попробуй он точно должен открыть.

Тоже не открывает-нет доступа говорит
Бродяга...
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Это сообщение отредактировал Бродяга... - 24-02-2008 - 22:44
Vertigo
QUOTE
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

За такие советы у нас и предупреждение можно получить.

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
omut
И лучше для начала загрузитсячерез клавишу F8 (безопастный режим)
Antares0401
QUOTE (Бродяга... @ 24.02.2008 - время: 21:43)
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Спасибо.До этого я и сам додумался,однако 100 гигов информации.
Antares0401
QUOTE (Vertigo @ 24.02.2008 - время: 21:56)

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.

Папки той вообще нет,она скрытая и не отображается,поэтому выбрать не могу
do-do
LiveCD :)


System Volume Information - к ней имеет доступ только пользователь из группы SYSTEM

Админом открываем свойства папки System Volume Information и добавляем возможность работы пользователя с другими атрибутами.

TotalCommander (он покажет скрытый файл) правая мыша - свойство ну и добавляем разрешение.

НО Более правильно конечно LiveCD и проверка из него
omut
QUOTE (Antares0401 @ 25.02.2008 - время: 10:21)
QUOTE (Бродяга... @ 24.02.2008 - время: 21:43)
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Спасибо.До этого я и сам додумался,однако 100 гигов информации.

А у тебя что все физическое пространство под один диск отдано?Всяко наверное пара локальных дисков есть.По мне, иногда лучше пару тройку часов на формат диска потратить, чем неделю в нете выискивать решение проблемы, и не факт что тебе это поможет.А формат wink.gif Чистый комп, чистая совесть wink.gif
Бродяга...
QUOTE (Vertigo @ 24.02.2008 - время: 21:56)
QUOTE
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

За такие советы у нас и предупреждение можно получить.

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.

Прошу прощенья. rolleyes.gif
do-do
QUOTE (Бродяга... @ 25.02.2008 - время: 14:44)

Прошу прощенья.

?
Совет имеет смысл, да и слова про бэкап были....

а то шо Перебдевают тут слишком - ну дык прими это как фон
omut
Достал уже всех это троян biggrin.gif Чтите wink.gif

rojan-Downloader.Win32.Small.bab («Лаборатория Касперского») также известен как: MultiDropper-NF (McAfee), Download.Trojan (Symantec), Trojan.Fakealert (Doctor Web), Trojan.Downloader.Small-632 (ClamAV), Adware/PsGuard (Panda), Win32/TrojanDownloader.Small.BAB (Eset)


Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8192 байта.
Инсталляция

При запуске троянец выводит на экран компьютера следующее сообщение:

Ахтунг!!!You computer isnfected.........
и проч., что не особо важно

Затем копирует свой исполняемый файл следующим образом:
%System%\drivers\services.exe

С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"

Также троянец создает ключ реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]

В нем содержится ссылка на исполняемый троянский файл.
Деструктивная активность
Троянец скачивает файл по следующей ссылке:
http://*****dapfeed.com/x.exe
(На момент создания описания ссылка не работала.)
Скачанный файл сохраняется во временный каталог текущего пользователя Windows («%Temp%») с временным именем, после чего запускается на исполнение.
Также троянец несанкционированно открывает следующие URL при помощи интернет-браузера:
http://psguard.com/download/***
http://psguard.com/?aff***

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"

4. Удалить ключ системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]

5. Удалить файл:

%System%\drivers\services.exe

6. Очистить папку «%Temp%».

Это сообщение отредактировал omut - 25-02-2008 - 16:58
Antares0401
Спасибо всем,папку открыл,удалил троян,в реестре никаких ключей не оказалось.
JeyLo
Вместо удалить очень помогает "переименовать".
В большинстве случаев блокировка просто через аналоги LoadLibrary, CreateProcess и прочие аналоги. :)
-=DRON=-
А по поводу доступа к папке... была уже темка подобная... и програмка хорошая для решения проблемы была выложена File Security Manager 1.8
Только что проверил - признала хозяна "System Volume Information" wink.gif впустила!
Еще одна тема похожая топик: Доступ к файлам диска

Это сообщение отредактировал -=DRON=- - 25-02-2008 - 22:10
YuraX
использую-Unlocker-расскрывает процесс и убивает все,что захочешь!
Skorpion2058
люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит
-=DRON=-
QUOTE (Skorpion2058 @ 22.03.2008 - время: 16:02)
люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит

Запускаем File Security Manager, выбираем нужный диск и папку (System Volume Information) - кнопка "Permissions" - Add... - окошко "Local Accounts names:" - Find - Администраторы - ОК - Full control [ставим галку] - ОК - Применить - ОК. Все, можем делать с файлами в папке все, что захочем(осторожно!наверное "MountPointManagerRemoteDatabase" удалять не стОит). После того, как сделали свои дела в папке "System Volume Information", вертаем все взад(удаляем "Администраторы" из "Permissions"). Вроде все.
Skorpion2058
-=DRON=-, большое спасибо, папка открылась, но теперь у меня 2 вопроса:
1. вот скрины моих дисков, что можна удалить тут?

Получить код этого изображения
Как удалить троян

Получить код этого изображения
Как удалить троян

2. и что дальше делать после удаления вирусяки?
-=DRON=-
QUOTE (Skorpion2058 @ 28.03.2008 - время: 19:18)
1. вот скрины моих дисков, что можна удалить тут?

2. и что дальше делать после удаления вирусяки?

1. Удалить все папки начинающиеся с _restore(Удалятся все точки восстановления!!!). Или просто отключить Восстановление системы [Панель управления - Система - Восстановление системы - Отключить восстановление системы на всех дисках [поставить галочку] ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.

2. Проверить все диски программой DrWEB CureIt, . Поставить хороший антивирус. (тут советы давать сложно, на вкус и на цвет... )))

Это сообщение отредактировал -=DRON=- - 29-03-2008 - 13:04
Skorpion2058
ок, пасиб большое!!!! реально выручили!

па поводу антивира, стоит нод32 и нортен оба сразу, так можно?
Vertigo
QUOTE
па поводу антивира, стоит нод32 и нортен оба сразу, так можно?

Если только по очереди включать, но вообще не желательно. Рекомендую оставить Нод.
Skorpion2058
ок, пасиб ))

так у меня след проблемс ))))
удалил что смог _restore, но остались на двух дисках по папке никак не уходят...

Получить код этого изображения
Как удалить троян
-=DRON=-
QUOTE (Skorpion2058 @ 29.03.2008 - время: 21:04)
удалил что смог _restore, но остались на двух дисках по  папке никак не уходят...

Хм, файл(ы) используются другой программой. А как на счет
QUOTE (29.03.2008 - время: 10:59)
отключить Восстановление системы [Панель управления - Система - Восстановление системы - Отключить восстановление системы на всех дисках [поставить галочку] ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.

всеж наверное неправильно вот так хозяйничать в системной папке... Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.

Это сообщение отредактировал -=DRON=- - 30-03-2008 - 01:00
Skorpion2058
QUOTE (-=DRON=- @ 29.03.2008 - время: 23:04)
Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.

ой, не эт за гранью моего понимания! )))))
do-do
Поищи в сети
alkid.live.cd.iso
Очень хороший Live CD - небольшой, хорошие инструменты имеет
Skorpion2058
последние события с полей сражения с трояна:
убрал восстановить систему, папка System Volume Information почистилась, появилась папка RECYCLER она как, нормальная?

по поводу антивира, нортен ни вкакую не хочет удаляться, все что смог удалил, а остальное тупо слил в корзину rolleyes.gif
do-do
QUOTE (Skorpion2058 @ 30.03.2008 - время: 13:18)
RECYCLER

Это корзина (куды мусор стираешь) - нормально ЭТО :)
Кстати - попробуй онлайновые сканеры (через и-нет тестит компы) Нортон нортоном, но лучше попробовать несколько прожек

http://www.bitdefender.com/scan8/ie.html
www.avp.ru
http://www.pcpitstop.com/freescan/
http://www.trojanscan.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://housecall.trendmicro.com/

do-do
Кстати уж интересная информация от Олега Зайцева (автора avz)

Уязвимость утилиты HijackThis
QUOTE

Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий.
Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования.
Примеры параметров:
Ignore4 = "O15 - Trusted Zone: *.energy-factor.com"
Ignore7 = "O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe"
ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm.
Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования.

в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.

Страницы: [1]2

Архив компьютерного форума -> Как удалить троян





Проститутки Киева | индивидуалки Москвы | Эротический массаж в Москве | Проститутки-индивидуалки Москва