Как удалить троян
-=DRON=-
Любитель
2/25/2008, 11:59:24 PM
А по поводу доступа к папке... была уже темка подобная... и програмка хорошая для решения проблемы была выложена File Security Manager 1.8
Только что проверил - признала хозяна "System Volume Information"
впустила!
Еще одна тема похожая топик: Доступ к файлам диска
Только что проверил - признала хозяна "System Volume Information"
впустила!Еще одна тема похожая топик: Доступ к файлам диска
YuraX
Новичок
3/16/2008, 12:17:23 AM
использую-Unlocker-расскрывает процесс и убивает все,что захочешь!
Skorpion2058
Профессионал
3/22/2008, 8:02:50 PM
люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит
-=DRON=-
Любитель
3/26/2008, 5:01:45 AM
(Skorpion2058 @ 22.03.2008 - время: 16:02) люди, объясните по русски, для белого человека как попасть System Volume Information" и что там удалить, через File Security Manager 1.8 не выходит
Запускаем File Security Manager, выбираем нужный диск и папку (System Volume Information) - кнопка "Permissions" - Add... - окошко "Local Accounts names:" - Find - Администраторы - ОК - Full control - ОК - Применить - ОК. Все, можем делать с файлами в папке все, что захочем(осторожно!наверное "MountPointManagerRemoteDatabase" удалять не стОит). После того, как сделали свои дела в папке "System Volume Information", вертаем все взад(удаляем "Администраторы" из "Permissions"). Вроде все.
Запускаем File Security Manager, выбираем нужный диск и папку (System Volume Information) - кнопка "Permissions" - Add... - окошко "Local Accounts names:" - Find - Администраторы - ОК - Full control - ОК - Применить - ОК. Все, можем делать с файлами в папке все, что захочем(осторожно!наверное "MountPointManagerRemoteDatabase" удалять не стОит). После того, как сделали свои дела в папке "System Volume Information", вертаем все взад(удаляем "Администраторы" из "Permissions"). Вроде все.
Skorpion2058
Профессионал
3/28/2008, 11:18:37 PM
-=DRON=-, большое спасибо, папка открылась, но теперь у меня 2 вопроса:
1. вот скрины моих дисков, что можна удалить тут?
Получить код этого изображения
Получить код этого изображения
2. и что дальше делать после удаления вирусяки?
1. вот скрины моих дисков, что можна удалить тут?
Получить код этого изображения
Получить код этого изображения
2. и что дальше делать после удаления вирусяки?
-=DRON=-
Любитель
3/29/2008, 2:59:17 PM
(Skorpion2058 @ 28.03.2008 - время: 19:18) 1. вот скрины моих дисков, что можна удалить тут?
2. и что дальше делать после удаления вирусяки?
1. Удалить все папки начинающиеся с _restore(Удалятся все точки восстановления!!!). Или просто отключить Восстановление системы ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.
2. Проверить все диски программой DrWEB CureIt, https://www.backbook.me/go/?id=1&d=&f=/files/76272309/avz4.zip%20(avz4.zip. Поставить хороший антивирус. (тут советы давать сложно, на вкус и на цвет... )))
2. и что дальше делать после удаления вирусяки?
1. Удалить все папки начинающиеся с _restore(Удалятся все точки восстановления!!!). Или просто отключить Восстановление системы ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.
2. Проверить все диски программой DrWEB CureIt, https://www.backbook.me/go/?id=1&d=&f=/files/76272309/avz4.zip%20(avz4.zip. Поставить хороший антивирус. (тут советы давать сложно, на вкус и на цвет... )))
Skorpion2058
Профессионал
3/29/2008, 11:34:16 PM
ок, пасиб большое!!!! реально выручили!
па поводу антивира, стоит нод32 и нортен оба сразу, так можно?
па поводу антивира, стоит нод32 и нортен оба сразу, так можно?
Vertigo
Мастер
3/30/2008, 12:13:53 AM
па поводу антивира, стоит нод32 и нортен оба сразу, так можно?
Если только по очереди включать, но вообще не желательно. Рекомендую оставить Нод.
Если только по очереди включать, но вообще не желательно. Рекомендую оставить Нод.
Skorpion2058
Профессионал
3/30/2008, 1:04:19 AM
ок, пасиб ))
так у меня след проблемс ))))
удалил что смог _restore, но остались на двух дисках по папке никак не уходят...
Получить код этого изображения
так у меня след проблемс ))))
удалил что смог _restore, но остались на двух дисках по папке никак не уходят...
Получить код этого изображения
-=DRON=-
Любитель
3/30/2008, 3:04:00 AM
(Skorpion2058 @ 29.03.2008 - время: 21:04) удалил что смог _restore, но остались на двух дисках по папке никак не уходят...
Хм, файл(ы) используются другой программой. А как на счет
(29.03.2008 - время: 10:59)отключить Восстановление системы ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.
всеж наверное неправильно вот так хозяйничать в системной папке... Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.
Хм, файл(ы) используются другой программой. А как на счет
(29.03.2008 - время: 10:59)отключить Восстановление системы ] Позже, после перезагрузки например, убрать, если воccтановление необходимо.
всеж наверное неправильно вот так хозяйничать в системной папке... Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.
Skorpion2058
Профессионал
3/30/2008, 11:44:37 AM
(-=DRON=- @ 29.03.2008 - время: 23:04) Но если ОЧЕНЬ нужно, то загрузиться с какого нибудь Windows XP LiveCD (такой диск можно и самому склепать, используя pebuilder3110a.exe - 3,3 Мб и установочный диск Windows XP) и сделать желаемое.
ой, не эт за гранью моего понимания! )))))
ой, не эт за гранью моего понимания! )))))
do-do
Мастер
3/30/2008, 2:01:18 PM
Поищи в сети
alkid.live.cd.iso
Очень хороший Live CD - небольшой, хорошие инструменты имеет
alkid.live.cd.iso
Очень хороший Live CD - небольшой, хорошие инструменты имеет
Skorpion2058
Профессионал
3/30/2008, 6:18:50 PM
последние события с полей сражения с трояна:
убрал восстановить систему, папка System Volume Information почистилась, появилась папка RECYCLER она как, нормальная?
по поводу антивира, нортен ни вкакую не хочет удаляться, все что смог удалил, а остальное тупо слил в корзину
убрал восстановить систему, папка System Volume Information почистилась, появилась папка RECYCLER она как, нормальная?
по поводу антивира, нортен ни вкакую не хочет удаляться, все что смог удалил, а остальное тупо слил в корзину
do-do
Мастер
3/30/2008, 6:50:57 PM
(Skorpion2058 @ 30.03.2008 - время: 13:18) RECYCLER
Это корзина (куды мусор стираешь) - нормально ЭТО :)
Кстати - попробуй онлайновые сканеры (через и-нет тестит компы) Нортон нортоном, но лучше попробовать несколько прожек
https://www.bitdefender.com/scan8/ie.html
www.avp.ru
https://www.pcpitstop.com/freescan/
https://www.trojanscan.com/
https://www.pandasoftware.com/activescan/
https://www.ravantivirus.com/scan/
https://housecall.trendmicro.com/
Это корзина (куды мусор стираешь) - нормально ЭТО :)
Кстати - попробуй онлайновые сканеры (через и-нет тестит компы) Нортон нортоном, но лучше попробовать несколько прожек
https://www.bitdefender.com/scan8/ie.html
www.avp.ru
https://www.pcpitstop.com/freescan/
https://www.trojanscan.com/
https://www.pandasoftware.com/activescan/
https://www.ravantivirus.com/scan/
https://housecall.trendmicro.com/
do-do
Мастер
3/30/2008, 7:30:24 PM
Кстати уж интересная информация от Олега Зайцева (автора avz)
Уязвимость утилиты HijackThis
Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий.
Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования.
Примеры параметров:
Ignore4 = "O15 - Trusted Zone: *.energy-factor.com"
Ignore7 = "O4 - HKLM\..\Run: C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe"
ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm.
Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования.
в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.
Уязвимость утилиты HijackThis
Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий.
Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования.
Примеры параметров:
Ignore4 = "O15 - Trusted Zone: *.energy-factor.com"
Ignore7 = "O4 - HKLM\..\Run: C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe"
ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm.
Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования.
в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.
Skorpion2058
Профессионал
4/1/2008, 12:34:52 AM
всем большое спасибо за помощ, вроде все чисто, папка заветная пуста ))) уря ))))
а где еще они могут быть, я об вирусах?
а где еще они могут быть, я об вирусах?
-=DRON=-
Любитель
4/1/2008, 4:50:53 AM
(Skorpion2058 @ 31.03.2008 - время: 19:34) а где еще они могут быть, я об вирусах?
Могли остаться в архивах, если что-то из *.exe заRARивалось/заZIPивалось во время хозяьничанья вируса. -> Полная проверка компа(всех дисков!!!) NOD-ом/DrWEB CureIt-ом. Для лечения в архивах рекомендовал бы Касперского 7.0.0.125 (можно поставить без ключа, полечить и деинсталировать), только перед установкой придется деинсталировать NOD32.
Могли остаться в архивах, если что-то из *.exe заRARивалось/заZIPивалось во время хозяьничанья вируса. -> Полная проверка компа(всех дисков!!!) NOD-ом/DrWEB CureIt-ом. Для лечения в архивах рекомендовал бы Касперского 7.0.0.125 (можно поставить без ключа, полечить и деинсталировать), только перед установкой придется деинсталировать NOD32.