Reply to this topicStart new topicStart Poll

Страницы: (2) 1 2 
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?
Правда
дата: [ i ]
  • Group Icon
  • Грандмастер
  • Репутация: 2862
  • Статус:
  • Member OfflineЖенщинаЗамужем
Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
-=DRON=-
дата: [ i ]
  • *
  • Любитель
  • Репутация: 61
  • Статус: .
  • Member OfflineМужчинаСвободен
QUOTE (Antares0401 @ 23.02.2008 - время: 11:50)
На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?

<System Volume Information> хорошо чистит Касперский антивирус 6 или7 или бесплатная утилита AVZ. Если там вирус, значит включена функция <Восстановление системы> - советую отключить.
do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
QUOTE (Правда @ 23.02.2008 - время: 13:09)
Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...

Антивирус NOD 32 лог прилагаю в конце лога инфо о вирусах
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
QUOTE (do-do @ 23.02.2008 - время: 18:05)
Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)

У меня тотал командер-он не открывает увы

Вот вирусы:
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057982.exe »NSIS »rle.dll - вероятно модифицированный Win32/TrojanDownloader.Obfuscated троян
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057984.exe - вероятно модифицированный Win32/TrojanClicker.Agent троян

Бродяга...
дата: [ i ]
  • *
  • Профессионал
  • Репутация: 210
  • Статус: Системный администратор
  • Member OfflineМужчинаСвободен
Far manager попробуй он точно должен открыть.
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
QUOTE (Бродяга... @ 24.02.2008 - время: 13:41)
Far manager попробуй он точно должен открыть.

Тоже не открывает-нет доступа говорит
Бродяга...
дата: [ i ]
  • *
  • Профессионал
  • Репутация: 210
  • Статус: Системный администратор
  • Member OfflineМужчинаСвободен
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Это сообщение отредактировал Бродяга... - 24-02-2008 - 22:44
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
QUOTE
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

За такие советы у нас и предупреждение можно получить.

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
И лучше для начала загрузитсячерез клавишу F8 (безопастный режим)
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
QUOTE (Бродяга... @ 24.02.2008 - время: 21:43)
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Спасибо.До этого я и сам додумался,однако 100 гигов информации.
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
QUOTE (Vertigo @ 24.02.2008 - время: 21:56)

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.

Папки той вообще нет,она скрытая и не отображается,поэтому выбрать не могу
do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
LiveCD :)


System Volume Information - к ней имеет доступ только пользователь из группы SYSTEM

Админом открываем свойства папки System Volume Information и добавляем возможность работы пользователя с другими атрибутами.

TotalCommander (он покажет скрытый файл) правая мыша - свойство ну и добавляем разрешение.

НО Более правильно конечно LiveCD и проверка из него
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
QUOTE (Antares0401 @ 25.02.2008 - время: 10:21)
QUOTE (Бродяга... @ 24.02.2008 - время: 21:43)
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

Спасибо.До этого я и сам додумался,однако 100 гигов информации.

А у тебя что все физическое пространство под один диск отдано?Всяко наверное пара локальных дисков есть.По мне, иногда лучше пару тройку часов на формат диска потратить, чем неделю в нете выискивать решение проблемы, и не факт что тебе это поможет.А формат wink.gif Чистый комп, чистая совесть wink.gif
Бродяга...
дата: [ i ]
  • *
  • Профессионал
  • Репутация: 210
  • Статус: Системный администратор
  • Member OfflineМужчинаСвободен
QUOTE (Vertigo @ 24.02.2008 - время: 21:56)
QUOTE
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.

За такие советы у нас и предупреждение можно получить.

Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.

Прошу прощенья. rolleyes.gif
do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
QUOTE (Бродяга... @ 25.02.2008 - время: 14:44)

Прошу прощенья.

?
Совет имеет смысл, да и слова про бэкап были....

а то шо Перебдевают тут слишком - ну дык прими это как фон
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Достал уже всех это троян biggrin.gif Чтите wink.gif

rojan-Downloader.Win32.Small.bab («Лаборатория Касперского») также известен как: MultiDropper-NF (McAfee), Download.Trojan (Symantec), Trojan.Fakealert (Doctor Web), Trojan.Downloader.Small-632 (ClamAV), Adware/PsGuard (Panda), Win32/TrojanDownloader.Small.BAB (Eset)


Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8192 байта.
Инсталляция

При запуске троянец выводит на экран компьютера следующее сообщение:

Ахтунг!!!You computer isnfected.........
и проч., что не особо важно

Затем копирует свой исполняемый файл следующим образом:
%System%\drivers\services.exe

С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"

Также троянец создает ключ реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]

В нем содержится ссылка на исполняемый троянский файл.
Деструктивная активность
Троянец скачивает файл по следующей ссылке:
http://*****dapfeed.com/x.exe
(На момент создания описания ссылка не работала.)
Скачанный файл сохраняется во временный каталог текущего пользователя Windows («%Temp%») с временным именем, после чего запускается на исполнение.
Также троянец несанкционированно открывает следующие URL при помощи интернет-браузера:
http://psguard.com/download/***
http://psguard.com/?aff***

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"

4. Удалить ключ системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Update]

5. Удалить файл:

%System%\drivers\services.exe

6. Очистить папку «%Temp%».

Это сообщение отредактировал omut - 25-02-2008 - 16:58
Antares0401
дата: [ i ]
  • *
  • Специалист
  • Репутация: 27
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаЖенат
Спасибо всем,папку открыл,удалил троян,в реестре никаких ключей не оказалось.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Вместо удалить очень помогает "переименовать".
В большинстве случаев блокировка просто через аналоги LoadLibrary, CreateProcess и прочие аналоги. :)
-=DRON=-
дата: [ i ]
  • *
  • Любитель
  • Репутация: 61
  • Статус: .
  • Member OfflineМужчинаСвободен
А по поводу доступа к папке... была уже темка подобная... и програмка хорошая для решения проблемы была выложена File Security Manager 1.8
Только что проверил - признала хозяна "System Volume Information" wink.gif впустила!
Еще одна тема похожая топик: Доступ к файлам диска

Это сообщение отредактировал -=DRON=- - 25-02-2008 - 22:10
YuraX
дата: [ i ]
  • *
  • Новичок
  • Репутация: 1
  • Статус: Давай пообщаемся!
  • Member OfflineСвободен
использую-Unlocker-расскрывает процесс и убивает все,что захочешь!
Skorpion2058
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 937
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит
-=DRON=-
дата: [ i ]
  • *
  • Любитель
  • Репутация: 61
  • Статус: .
  • Member OfflineМужчинаСвободен
QUOTE (Skorpion2058 @ 22.03.2008 - время: 16:02)
люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит

Запускаем File Security Manager, выбираем нужный диск и папку (System Volume Information) - кнопка "Permissions" - Add... - окошко "Local Accounts names:" - Find - Администраторы - ОК - Full control [ставим галку] - ОК - Применить - ОК. Все, можем делать с файлами в папке все, что захочем(осторожно!наверное "MountPointManagerRemoteDatabase" удалять не стОит). После того, как сделали свои дела в папке "System Volume Information", вертаем все взад(удаляем "Администраторы" из "Permissions"). Вроде все.
Skorpion2058
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 937
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
-=DRON=-, большое спасибо, папка открылась, но теперь у меня 2 вопроса:
1. вот скрины моих дисков, что можна удалить тут?

Получить код этого изображения
Как удалить троян

Получить код этого изображения
Как удалить троян

2. и что дальше делать после удаления вирусяки?
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

Страницы: (2) 1 2

Reply to this topic Fast ReplyStart new topicStart Poll0


Рекомендуем почитать также топики:

Вопрос к спецам :)

Софт для отправки СМС

Помогите найти прогу

Техподдержка

Сервер на дому...




>