Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
| QUOTE (Antares0401 @ 23.02.2008 - время: 11:50) |
| На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет? |
<System Volume Information> хорошо чистит Касперский антивирус 6 или7 или бесплатная утилита AVZ. Если там вирус, значит включена функция <Восстановление системы> - советую отключить.
| QUOTE (Правда @ 23.02.2008 - время: 13:09) |
| Какой антивирус,какой троян.... Воспользуйтесь для начала этим,результаты прикрепите к своему посту... |
| QUOTE (do-do @ 23.02.2008 - время: 18:05) |
| Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :) |
У меня тотал командер-он не открывает увы
Вот вирусы:
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057982.exe »NSIS »rle.dll - вероятно модифицированный Win32/TrojanDownloader.Obfuscated троян
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057984.exe - вероятно модифицированный Win32/TrojanClicker.Agent троян
| QUOTE (Бродяга... @ 24.02.2008 - время: 13:41) |
| Far manager попробуй он точно должен открыть. |
Тоже не открывает-нет доступа говорит
Это сообщение отредактировал Бродяга... - 24-02-2008 - 22:44
| QUOTE |
| Format тебе поможет. Запиши важные данные и форматни шоб не мучатся. |
За такие советы у нас и предупреждение можно получить.
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
| QUOTE (Бродяга... @ 24.02.2008 - время: 21:43) |
| Format тебе поможет. Запиши важные данные и форматни шоб не мучатся. |
Спасибо.До этого я и сам додумался,однако 100 гигов информации.
| QUOTE (Vertigo @ 24.02.2008 - время: 21:56) |
| Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы. |
Папки той вообще нет,она скрытая и не отображается,поэтому выбрать не могу
System Volume Information - к ней имеет доступ только пользователь из группы SYSTEM
Админом открываем свойства папки System Volume Information и добавляем возможность работы пользователя с другими атрибутами.
TotalCommander (он покажет скрытый файл) правая мыша - свойство ну и добавляем разрешение.
НО Более правильно конечно LiveCD и проверка из него
| QUOTE (Antares0401 @ 25.02.2008 - время: 10:21) | ||
Спасибо.До этого я и сам додумался,однако 100 гигов информации. |
А у тебя что все физическое пространство под один диск отдано?Всяко наверное пара локальных дисков есть.По мне, иногда лучше пару тройку часов на формат диска потратить, чем неделю в нете выискивать решение проблемы, и не факт что тебе это поможет.А формат
Чистый комп, чистая совесть
| QUOTE (Vertigo @ 24.02.2008 - время: 21:56) | ||
За такие советы у нас и предупреждение можно получить. Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы. |
Прошу прощенья.
| QUOTE (Бродяга... @ 25.02.2008 - время: 14:44) |
| Прошу прощенья. |
?
Совет имеет смысл, да и слова про бэкап были....
а то шо Перебдевают тут слишком - ну дык прими это как фон
Чтите rojan-Downloader.Win32.Small.bab («Лаборатория Касперского») также известен как: MultiDropper-NF (McAfee), Download.Trojan (Symantec), Trojan.Fakealert (Doctor Web), Trojan.Downloader.Small-632 (ClamAV), Adware/PsGuard (Panda), Win32/TrojanDownloader.Small.BAB (Eset)
Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8192 байта.
Инсталляция
При запуске троянец выводит на экран компьютера следующее сообщение:
Ахтунг!!!You computer isnfected.........
и проч., что не особо важно
Затем копирует свой исполняемый файл следующим образом:
%System%\drivers\services.exe
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
Также троянец создает ключ реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]
В нем содержится ссылка на исполняемый троянский файл.
Деструктивная активность
Троянец скачивает файл по следующей ссылке:
http://*****dapfeed.com/x.exe
(На момент создания описания ссылка не работала.)
Скачанный файл сохраняется во временный каталог текущего пользователя Windows («%Temp%») с временным именем, после чего запускается на исполнение.
Также троянец несанкционированно открывает следующие URL при помощи интернет-браузера:
http://psguard.com/download/***
http://psguard.com/?aff***
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
4. Удалить ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]
5. Удалить файл:
%System%\drivers\services.exe
6. Очистить папку «%Temp%».
Это сообщение отредактировал omut - 25-02-2008 - 16:58
В большинстве случаев блокировка просто через аналоги LoadLibrary, CreateProcess и прочие аналоги. :)
Только что проверил - признала хозяна "System Volume Information"
впустила!Еще одна тема похожая топик: Доступ к файлам диска
Это сообщение отредактировал -=DRON=- - 25-02-2008 - 22:10
| QUOTE (Skorpion2058 @ 22.03.2008 - время: 16:02) |
| люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит |
Запускаем File Security Manager, выбираем нужный диск и папку (System Volume Information) - кнопка "Permissions" - Add... - окошко "Local Accounts names:" - Find - Администраторы - ОК - Full control [ставим галку] - ОК - Применить - ОК. Все, можем делать с файлами в папке все, что захочем(осторожно!наверное "MountPointManagerRemoteDatabase" удалять не стОит). После того, как сделали свои дела в папке "System Volume Information", вертаем все взад(удаляем "Администраторы" из "Permissions"). Вроде все.
1. вот скрины моих дисков, что можна удалить тут?
Получить код этого изображения
Получить код этого изображения
2. и что дальше делать после удаления вирусяки?
| QUOTE (Skorpion2058 @ 28.03.2008 - время: 19:18) |
| 1. вот скрины моих дисков, что можна удалить тут? 2. и что дальше делать после удаления вирусяки? |
1. Удалить все папки начинающиеся с _restore(Удалятся все точки восстановления!!!). Или просто отключить Восстановление системы [Панель управления - Система - Восстановление системы - Отключить восстановление системы на всех дисках [поставить галочку] ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.
2. Проверить все диски программой DrWEB CureIt,
. Поставить хороший антивирус. (тут советы давать сложно, на вкус и на цвет... ))) Это сообщение отредактировал -=DRON=- - 29-03-2008 - 13:04
па поводу антивира, стоит нод32 и нортен оба сразу, так можно?
| QUOTE |
| па поводу антивира, стоит нод32 и нортен оба сразу, так можно? |
Если только по очереди включать, но вообще не желательно. Рекомендую оставить Нод.
так у меня след проблемс ))))
удалил что смог _restore, но остались на двух дисках по папке никак не уходят...
Получить код этого изображения
| QUOTE (Skorpion2058 @ 29.03.2008 - время: 21:04) |
| удалил что смог _restore, но остались на двух дисках по папке никак не уходят... |
Хм, файл(ы) используются другой программой. А как на счет
| QUOTE (29.03.2008 - время: 10:59) |
| отключить Восстановление системы [Панель управления - Система - Восстановление системы - Отключить восстановление системы на всех дисках [поставить галочку] ] Позже, после перезагрузки например, убрать, если воccтановление необходимо. |
всеж наверное неправильно вот так хозяйничать в системной папке... Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.
Это сообщение отредактировал -=DRON=- - 30-03-2008 - 01:00
| QUOTE (-=DRON=- @ 29.03.2008 - время: 23:04) |
| Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое. |
ой, не эт за гранью моего понимания! )))))
alkid.live.cd.iso
Очень хороший Live CD - небольшой, хорошие инструменты имеет
убрал восстановить систему, папка System Volume Information почистилась, появилась папка RECYCLER она как, нормальная?
по поводу антивира, нортен ни вкакую не хочет удаляться, все что смог удалил, а остальное тупо слил в корзину
| QUOTE (Skorpion2058 @ 30.03.2008 - время: 13:18) |
| RECYCLER |
Это корзина (куды мусор стираешь) - нормально ЭТО :)
Кстати - попробуй онлайновые сканеры (через и-нет тестит компы) Нортон нортоном, но лучше попробовать несколько прожек
http://www.bitdefender.com/scan8/ie.html
www.avp.ru
http://www.pcpitstop.com/freescan/
http://www.trojanscan.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://housecall.trendmicro.com/
Уязвимость утилиты HijackThis
| QUOTE |
Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий. Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования. Примеры параметров: Ignore4 = "O15 - Trusted Zone: *.energy-factor.com" Ignore7 = "O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe" ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm. Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования. в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом. |