Как удалить троян
Antares0401
Специалист
2/23/2008, 3:50:58 PM
На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?
Правда
Грандмастер
2/23/2008, 4:09:39 PM
Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
-=DRON=-
Любитель
2/23/2008, 5:56:28 PM
(Antares0401 @ 23.02.2008 - время: 11:50) На диске D в скрытой папке system volume inf... антивирус обнаружил downloader troyan,который удалить не может,папку тоже невозможно открыть чтоб удалить самому. Подскажите как его убрать. Кстати что это за зверь,на что влияет?
<System Volume Information> хорошо чистит Касперский антивирус 6 или7 или бесплатная утилита AVZ. Если там вирус, значит включена функция <Восстановление системы> - советую отключить.
<System Volume Information> хорошо чистит Касперский антивирус 6 или7 или бесплатная утилита AVZ. Если там вирус, значит включена функция <Восстановление системы> - советую отключить.
do-do
Мастер
2/23/2008, 9:05:39 PM
Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)
Antares0401
Специалист
2/24/2008, 3:29:37 PM
(Правда @ 23.02.2008 - время: 13:09) Какой антивирус,какой троян....
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
Антивирус NOD 32 лог прилагаю в конце лога инфо о вирусах
Воспользуйтесь для начала этим,результаты прикрепите к своему посту...
Антивирус NOD 32 лог прилагаю в конце лога инфо о вирусах
Antares0401
Специалист
2/24/2008, 3:31:37 PM
(do-do @ 23.02.2008 - время: 18:05) Запускай Любой :) Файловый Менеджер с правами SYSTEM тогда откроется :)
У меня тотал командер-он не открывает увы
Вот вирусы:
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057982.exe »NSIS »rle.dll - вероятно модифицированный Win32/TrojanDownloader.Obfuscated троян
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057984.exe - вероятно модифицированный Win32/TrojanClicker.Agent троян
У меня тотал командер-он не открывает увы
Вот вирусы:
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057982.exe »NSIS »rle.dll - вероятно модифицированный Win32/TrojanDownloader.Obfuscated троян
D:\System Volume Information\_restore{15DDAB9B-90C4-4E0D-9B8D-6CEEBCB320C3}\RP88\A0057984.exe - вероятно модифицированный Win32/TrojanClicker.Agent троян
Бродяга...
Специалист
2/24/2008, 4:41:20 PM
Far manager попробуй он точно должен открыть.
Antares0401
Специалист
2/24/2008, 11:44:12 PM
(Бродяга... @ 24.02.2008 - время: 13:41) Far manager попробуй он точно должен открыть.
Тоже не открывает-нет доступа говорит
Тоже не открывает-нет доступа говорит
Бродяга...
Специалист
2/25/2008, 12:43:09 AM
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.
Vertigo
Мастер
2/25/2008, 12:56:59 AM
Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.
За такие советы у нас и предупреждение можно получить.
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
За такие советы у нас и предупреждение можно получить.
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
DELETED
Акула пера
2/25/2008, 2:20:22 AM
И лучше для начала загрузитсячерез клавишу F8 (безопастный режим)
Antares0401
Специалист
2/25/2008, 1:21:07 PM
(Бродяга... @ 24.02.2008 - время: 21:43) Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.
Спасибо.До этого я и сам додумался,однако 100 гигов информации.
Спасибо.До этого я и сам додумался,однако 100 гигов информации.
Antares0401
Специалист
2/25/2008, 1:31:57 PM
(Vertigo @ 24.02.2008 - время: 21:56)
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
Папки той вообще нет,она скрытая и не отображается,поэтому выбрать не могу
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
Папки той вообще нет,она скрытая и не отображается,поэтому выбрать не могу
do-do
Мастер
2/25/2008, 3:41:54 PM
LiveCD :)
System Volume Information - к ней имеет доступ только пользователь из группы SYSTEM
Админом открываем свойства папки System Volume Information и добавляем возможность работы пользователя с другими атрибутами.
TotalCommander (он покажет скрытый файл) правая мыша - свойство ну и добавляем разрешение.
НО Более правильно конечно LiveCD и проверка из него
System Volume Information - к ней имеет доступ только пользователь из группы SYSTEM
Админом открываем свойства папки System Volume Information и добавляем возможность работы пользователя с другими атрибутами.
TotalCommander (он покажет скрытый файл) правая мыша - свойство ну и добавляем разрешение.
НО Более правильно конечно LiveCD и проверка из него
DELETED
Акула пера
2/25/2008, 4:52:11 PM
(Antares0401 @ 25.02.2008 - время: 10:21) (Бродяга... @ 24.02.2008 - время: 21:43) Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.
Спасибо.До этого я и сам додумался,однако 100 гигов информации.
А у тебя что все физическое пространство под один диск отдано?Всяко наверное пара локальных дисков есть.По мне, иногда лучше пару тройку часов на формат диска потратить, чем неделю в нете выискивать решение проблемы, и не факт что тебе это поможет.А формат
Чистый комп, чистая совесть
Спасибо.До этого я и сам додумался,однако 100 гигов информации.
А у тебя что все физическое пространство под один диск отдано?Всяко наверное пара локальных дисков есть.По мне, иногда лучше пару тройку часов на формат диска потратить, чем неделю в нете выискивать решение проблемы, и не факт что тебе это поможет.А формат
Чистый комп, чистая совесть Бродяга...
Специалист
2/25/2008, 5:44:23 PM
(Vertigo @ 24.02.2008 - время: 21:56) Format тебе поможет. Запиши важные данные и форматни шоб не мучатся.
За такие советы у нас и предупреждение можно получить.
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
Прошу прощенья.
За такие советы у нас и предупреждение можно получить.
Лог чистый. Попробуйте открыть HiJack, в правом нижнем углу Config, далее вверху Misc Tools, далее Delete a File on Reboot и выберите нужные файлы.
Прошу прощенья.
do-do
Мастер
2/25/2008, 6:38:36 PM
(Бродяга... @ 25.02.2008 - время: 14:44)
Прошу прощенья.
?
Совет имеет смысл, да и слова про бэкап были....
а то шо Перебдевают тут слишком - ну дык прими это как фон
Прошу прощенья.
?
Совет имеет смысл, да и слова про бэкап были....
а то шо Перебдевают тут слишком - ну дык прими это как фон
DELETED
Акула пера
2/25/2008, 6:57:49 PM
Достал уже всех это троян 
Чтите
rojan-Downloader.Win32.Small.bab («Лаборатория Касперского») также известен как: MultiDropper-NF (McAfee), Download.Trojan (Symantec), Trojan.Fakealert (Doctor Web), Trojan.Downloader.Small-632 (ClamAV), Adware/PsGuard (Panda), Win32/TrojanDownloader.Small.BAB (Eset)
Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8192 байта.
Инсталляция
При запуске троянец выводит на экран компьютера следующее сообщение:
Ахтунг!!!You computer isnfected.........
и проч., что не особо важно
Затем копирует свой исполняемый файл следующим образом:
%System%\drivers\services.exe
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
Также троянец создает ключ реестра:
В нем содержится ссылка на исполняемый троянский файл.
Деструктивная активность
Троянец скачивает файл по следующей ссылке:
https://*****dapfeed.com/x.exe
(На момент создания описания ссылка не работала.)
Скачанный файл сохраняется во временный каталог текущего пользователя Windows («%Temp%») с временным именем, после чего запускается на исполнение.
Также троянец несанкционированно открывает следующие URL при помощи интернет-браузера:
https://psguard.com/download/***
https://psguard.com/?aff***
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
4. Удалить ключ системного реестра:
5. Удалить файл:
%System%\drivers\services.exe
6. Очистить папку «%Temp%».
Чтите rojan-Downloader.Win32.Small.bab («Лаборатория Касперского») также известен как: MultiDropper-NF (McAfee), Download.Trojan (Symantec), Trojan.Fakealert (Doctor Web), Trojan.Downloader.Small-632 (ClamAV), Adware/PsGuard (Panda), Win32/TrojanDownloader.Small.BAB (Eset)
Троянская программа, которая несанкционированно загружает из сети Интернет на компьютер пользователя другие файлы и запускает их на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 8192 байта.
Инсталляция
При запуске троянец выводит на экран компьютера следующее сообщение:
Ахтунг!!!You computer isnfected.........
и проч., что не особо важно
Затем копирует свой исполняемый файл следующим образом:
%System%\drivers\services.exe
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
Также троянец создает ключ реестра:
В нем содержится ссылка на исполняемый троянский файл.
Деструктивная активность
Троянец скачивает файл по следующей ссылке:
https://*****dapfeed.com/x.exe
(На момент создания описания ссылка не работала.)
Скачанный файл сохраняется во временный каталог текущего пользователя Windows («%Temp%») с временным именем, после чего запускается на исполнение.
Также троянец несанкционированно открывает следующие URL при помощи интернет-браузера:
https://psguard.com/download/***
https://psguard.com/?aff***
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:
"{357AA41A-B7A8-4632-A27D-5B980B25CF43}" = "%System%\drivers\services.exe"
4. Удалить ключ системного реестра:
5. Удалить файл:
%System%\drivers\services.exe
6. Очистить папку «%Temp%».
Antares0401
Специалист
2/25/2008, 7:45:30 PM
Спасибо всем,папку открыл,удалил троян,в реестре никаких ключей не оказалось.
DELETED
Акула пера
2/25/2008, 9:33:21 PM
Вместо удалить очень помогает "переименовать".
В большинстве случаев блокировка просто через аналоги LoadLibrary, CreateProcess и прочие аналоги. :)
В большинстве случаев блокировка просто через аналоги LoadLibrary, CreateProcess и прочие аналоги. :)