вирус Autorun.inf (Worm.Win32.AutoRun.jw)

NikVE

Заели вирусы! Какие-то траяны. Стоит сетевой TrenD Micro, обнаруживает, но не лечит! Вирусье поселилось в папке System Volume\Restore. Что посоветуете?

balaganoff

NikVE писал(а):Вирусье поселилось в папке System Volume\Restore. Что посоветуете?

можно смело прибить содержимое папки system volume information

на работоспособность системы это никак не повлияет. ну, и поставить более путевый антивирус, например, drweb...

NikVE

Да она чего-то не отображается. Ставлю ссылку, чтобы отображались скрытые папки и файлы, а они не показываются.

Cvolo4yzhka

NikVE писал(а):System Volume\Restore

в этой папке файлы восстановления системы... отключи восстановление системы, в безопасный режи и полный скан диска..

NikVE писал(а):Ставлю ссылку, чтобы отображались скрытые папки и файлы, а они не показываются.

это последствия заражения.... вирус поправил ключи в реесте...

balaganoff писал(а):можно смело прибить содержимое папки system volume information

винда покажет большую, жырную фигу, одназначно...

balaganoff

NikVE писал(а):Ставлю ссылку, чтобы отображались скрытые папки и файлы, а они не показываются.

у товарища таже ситуация была. нашли вирус autorun.inf (вроде бы)

Cvolo4yzhka писал(а):винда покажет большую, жырную фигу, одназначно...

вы неправы, "однозначно". не даст удалить файлы используемые системой, но это пара-тройка файлов в какой-нибудь папке, всё остально удаляется на ура.

balaganoff писал(а):autorun.inf (вроде бы)

Это скорее не сам вирус а просто его автозагрузчик при открытии диска

balaganoff

нет, это вирус, но я ошибся. он не дает доступ к дискам.
NikVE, создайте текстовый файлик, вставьте в него текст:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

неважно как вы его назовёте, но расширение txt замените на reg и запустите.
должно помочь. потом отпишитесь, показываются скрытые файлы и каталоги или нет.

я бы сам файлик сюда приаттачил, да не нашел как это делается.

Cvolo4yzhka

balaganoff писал(а):ы неправы, "однозначно". не даст удалить файлы используемые системой, но это пара-тройка файлов в какой-нибудь папке, всё остально удаляется на ура.

я прав, это в папку

balaganoff писал(а):system volume information

даже войти то не дает....
видимо мы про разные папки...

balaganoff

под рутом войти надо, в смыле под админом.

NikVE писал(а):Да она чего-то не отображается. Ставлю ссылку, чтобы отображались скрытые папки и файлы, а они не показываются.

Там еще должна быть галочка - показывать СИСТЕМНЫЕ файлы

balaganoff писал(а):более путевый антивирус, например, drweb..

Я люблю nod32 и KIS( читай KAV)

balaganoff писал(а):вы неправы, "однозначно". не даст удалить файлы используемые системой, но это пара-тройка файлов в какой-нибудь папке, всё остально удаляется на ура.

Можно и так удалять удобнее тотал коммандером в случае отказа в доступе можно нажать пропустить.

balaganoff

не спросили у человек какая у него операционна система

Mr_Ice писал(а):nod32 и KIS( читай KAV)

угу, одни из лучших.

Mr_Ice писал(а):удобнее тотал коммандером в случае отказа в доступе можно нажать пропустить

работая в тотал коммандере и не имея прав админа- это не прокатит. да и под админом бывает винда не везде пускает, ссылаясь на доступ. дело в том, что ребята из мелкомягких даже админам дали не все права

по умолчанию в винде доступ к system volume information дан только группе system. нужно дать доступ группе administrators. открываем любую папку, нажимаем "сервис", далее "св-ва папки", далее во вкладке "вид" убераем галочку "простой общий доступ к папкам", жмем везде ок. дальше жмем правой кнопкой по system volume information выбираем "свойства", во вкладке "безопасность" жмем "добавить", в появившемся окне жмем "дополнительно", далее в появившемся окне жмем "поиск", в списке найденных польователей и групп выбираем "администраторЫ"(в англ. версии винды будет как "Adminidtrators") и жмем "ок", опять жмем "ок", во вкладке "безопасность" теперь группа Администраторы, выделяем ее и выставляем нужные права доступа в колонке "разрешить"(что бы было меньше вопросов ставим сразу галочку "полный доступ"). жмем "ок".

NikVE

balaganoff писал(а):должно помочь. потом отпишитесь, показываются скрытые файлы и каталоги или нет.

А система не накроется?

balaganoff

не стоит беспокоиться. всё будет нормально.

NikVE

balaganoff писал(а):Windows Registry Editor Version 5.00

Вот эту надпись не нужно удалять в текстовом файле?

SMSha

NikVE

NikVE писал(а):А система не накроется?

Я бы на всякий случай скопировал все важные и нужные документы куда-нибудь в надежное место. И если система накроется - поставил бы "с нуля". Небыстро, но - зато 100% гарантия от вирусов (если их не будет в сохраненных документах, конечно). Я для того себе отдельный винчестер и взял только под систему - ибо самое лучшее лекарство от всех проблем винды - "Format C:" - хотя давно уже не пользовался этим лекарством...

Предпочитаю для защиты компа DrWeb плюс поднятый брандмауэр винды плюс настроенный роутер (отсекающий попытки доступа извне на "слабые" порты).

NikVE

SMSha писал(а):поднятый брандмауэр винды плюс настроенный роутер (отсекающий попытки доступа извне на "слабые" порты).

Для меня это такой же темный лес, как "Номиналистическая критика томизма"! Не понятно, но звучит впечатляюще...

SMSha

NikVE
На самом деле все просто, но надо чтобы кто-то для начала рассказал и показал...

NikVE

NikVE писал(а):balaganoff писал(а):
Windows Registry Editor Version 5.00

Вот эту надпись не нужно удалять в текстовом файле?

Так как?

Cvolo4yzhka

NikVE писал(а):NikVE писал(а):balaganoff писал(а):

Windows Registry Editor Version 5.00
Вот эту надпись не нужно удалять в текстовом файле?
Так как?

эту надпись нужно оставить, с нее должен начинаться файл (вот тебе купюфш во вложении)
правда еще может быть закрыт реестр от пользователя, тогда используем UnHookExec

NikVE

balaganoff писал(а):нашли вирус autorun.inf

Вот такая зараза и прописалась на моем компе!

balaganoff писал(а):system volume information

Все сделал, как указывали. Сначала первый файл, затем второй. Ничего не накрылось, все работает. Затем убрал блокировку, как

balaganoff писал(а):нужно дать доступ группе administrators

советовал. Начал убивать содержимое, а мне в ответ: "невозможно удалить change.log Используется другой программой. Сначала закройте программу и попробуйте снова"
При этом вирусье развлекается на компе! При открытии любой папки начинает какая-то зараза долбиться в дисковод для дискет примерно 10 раз подряд! При этом тот печально хныкает и вздыхает! Уже начинаю закипать! Скоро начну лечить комп кулаками и ботинками...

Cvolo4yzhka

NikVE
еще раз говорю,
1. ОТКЛЮЧИ ВОССТАНОВЛЕНИЕ СИСТЕМЫ, на моей компьютере правой кнопкой > восттановление системы> отключить
2. Обнови базы антивируса
3. ЗАГРУЖАЕМ СИСТЕМУ В БЕЗОПАСНОМ РЕЖИМЕ, при загрузке давим F8, выбираем безопасный режим
4. Делаем полный скан системы
5. удаляем autorun.inf из корня ВСЕХ жестких дисков ручками при помощи Total Commander или FAR, если необходимо

Добавлено спустя 32 минуты 57 секунд:

ну и как вариант, снять винт и к другу, тама вычистить всю дрянь..

SMSha

Cvolo4yzhka

Cvolo4yzhka писал(а):ну и как вариант, снять винт и к другу, тама вычистить всю дрянь

Наверное, лучший вариант. Или, как я писал - сохранить все нужные документы - и переставить все заново, не подключая к сети до тех пор, пока не встанет нормальный антивирус...

Cvolo4yzhka

Кстати еще в догонку, найти в инете описание вируса и почитать как его правильно убить, ктати какой антивирь стоит и как вирус определяет?

NikVE

Касперский 8. Ничего не находит. Переустановить систему тоже нельзя, т.к. нет дров на материнку и видюху. Комп достался в виде переходящего барахла, старого хозяина не найти.

NikVE писал(а): нет дров на материнку и видюху.

Ну так можно в нете качнуть. А что за мать с видюхой?