Дмитровский Форум V2

**МегаVольт** » Сб май 26, 2007 14:57 pm

Вот и снова настало время обратиться за помощью.Давно не сканировал Нодом комп, а тут вдруг приспичило-Нод наковырял кучу вирусов и троянов но не удалил,пришлось поработать ручками.И вручную их повырубал...но не тут-то было:
C:\System Volume Information\_restore{23ECE382-6F4F-4F75-AA22-04A5DE0F2250}\RP88\A0035033.exe - модифицированный Win32/Adware.WhenU.SaveNow приложение

Как его удалить оттуда?Их там несколько.В доступе отказано.

**rudy** » Сб май 26, 2007 19:02 pm

попробуй загрузится с лив сд и поудалять их оттуда.

**tchikow** » Сб май 26, 2007 19:06 pm

В проводнике клик правой кнопкой мышки по папке.
Далее свойства, вкладка безопасность, открыть себе полный доступ, удалить папку целиком, очистить корзину и перезагрузить компьютер. После перезагрузки появится новая папка.

**МегаVольт** » Сб май 26, 2007 20:05 pm

...В проводнике клик правой кнопкой мышки по папке...
По какой папке?
...попробуй загрузится с лив сд и поудалять их оттуда...
Нету к сожаленью такового...

**tchikow** » Сб май 26, 2007 21:33 pm

По папке System Volume Information.
Далее если во вкладке "безопасность" из пользователей только "System"? то нажать кнопку добавить и добавить в список свой логин или группу "все",
установить разрешение на полный доступ, а далее как в предидущем посте.
Удалять целиком папку System Volume Information можно не боятся.
Система сама восстановит ее с нужными параметрами при перезагрузке.

**МегаVольт** » Вс май 27, 2007 22:26 pm

Извиняюсь но я в проводнике не могу найти папку System Volume Information на диске C.

**Garikk** » Вс май 27, 2007 22:39 pm

Потомучто она скрыта, сделай "Отображать скрытые файлы" в настройках...

**МегаVольт** » Пн май 28, 2007 0:58 am

Извиняюсь,но объясните пожалуста по действиям в каких настройках надо открыть обзор так как в свойствах паки выставил показывать скрытые папки и файлы а в итоге один хрен не нашел желаемой папки.Ламмерам это простительно :wink:

**tchikow** » Пн май 28, 2007 1:31 am

Проводник Меню "Сервис", "Свойства папки.." вкладка "Вид"
Снять галку с "Скрывать защищенные системные файлы и папки"
И далее выставить "Показывать скрытые файлы и папки".
Затем нажать кнопку наверху "Применить ко всем папкам"
Затем "ОК".
Папка в проводнике появится.

**МегаVольт** » Пн май 28, 2007 20:31 pm

Огромное спасибо-комп чист как огурчик!!!

**МегаVольт** » Ср май 30, 2007 21:04 pm

Недолго я радовался.Опять на комп зараза закралась-незаметно так,где-то в уголке компа сидит и ее не видно.Ни Нод ни Антишпион навороченный ее не находят,диагноз-Сперва файрвол сообщил об изменении компонентов интернет эксплорера.Потом оключился Интернет кроме локалки.При повторной попытке установить соединение,увидел вместо IP-адреса сервера доступа...международный огромный номер.Видать эта зараза ориентируется на модемное подключение подумал я, удалил подключение и создал новое впн с правильными координатами.Интернет включился но ненадолго.Интернет отрубился и та же история.Теперь регулярно приходится удалять подключение и создавать новое впн.Все левые попытки связи давно блокировал файрволом.Где искать заразу не знаю...но она есть...может кто-нибудь подскажет что делать?

**МегаVольт** » Ср май 30, 2007 22:01 pm

Кажется одолел....с помощью контрольной точки восстановления.Ура.

**UAZtank** » Чт май 31, 2007 0:08 am

МегаVольт писал(а):Кажется одолел....с помощью контрольной точки восстановления.Ура.

На долго ли?

**МегаVольт** » Чт май 31, 2007 0:58 am

ЭЭээ не знаю.С моим длинным носом все возможно)

**tchikow** » Чт май 31, 2007 15:04 pm

Все очень просто. Надо ставить хороший антивирус. Большинство современных вирусов при неправильном или неполном лечении восстанавливают себя на компе после первого же подключения к инету - просто при инфицировании компа на нем появляются не только зараженные файлы, но и хитрые записи в реестре. Например выше названный вирус записывает в реестр примерно следующее:
Keys Added:

HKEY_CLASSES_ROOT\WUSN.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\SaveNow
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\WUSV
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood

Values Added:

HKEY_CLASSES_ROOT\WUSN.1 "WUSN_Id"
Data: 8C, 87, 99, 6D, E8, 88, 1D, 4C, AE, 12, 22, A5, FC, 13, 8B, 27

NOTE: The WUSN_Id value may vary from one installation to the next.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WhenUSave"
Data: C:\Program Files\Save\Save.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "DisplayIcon"
Data: C:\Program Files\Save\Save.exe,1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "DisplayName"
Data: SaveNow

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "DisplayVersion"
Data: 2.60

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "HelpLink"
Data: www.whenu.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "Publisher"
Data: WhenU.com, Inc.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "UninstallString"
Data: "C:\Program Files\Save\SaveUninst.exe" /rWUSV /kSaveNow /dSaveNow

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SaveNow "UrlInfoAbout"
Data: www.whenu.com

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "db_script_update"
Data: 1002500002

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "extra_url"
Data: http://spweb.whenu.com/extra.exe

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "extraver_url"
Data: http://spweb.whenu.com/extraver.html

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "FullDBTime"
Data: N

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "InstallDir"
Data: C:\Program Files\Save

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "InstallTime"
Data: 20050125141743

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "LastPartner"
Data: SNOW0702

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "newuser_rs"
Data: Y

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "Partner"
Data: SNOW0702

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "PartnerB"
Data: WUSV

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "PartnerDesc"
Data: SaveNow

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "PartnerParam"
Data: dt=Save Now!,q=,i=1

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "pat_chunks_url"
Data: http://akapp.whenu.com/DataChunksGZ

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "pats_url"
Data: http://akapp.whenu.com/OffersDataGZ

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "script_url"
Data: http://akdwl.whenu.com/offscript2.html

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "SetupCmdLine"
Data: http://app.whenu.com/Offers?url=SNOW0702&cpartners=0

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "TotalPartner"
Data: 1

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "update_url"
Data: http://akdwl.whenu.com/saveupdate.exe

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "ver_url"
Data: http://www.whenu.com/versions.html

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "Version"
Data: 2.60

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave "ziptomsa_url"
Data: http://spapp.whenu.com/ziptomsa

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\WUSV "InstallTime"
Data: 20050125141742

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\WUSV "Partner"
Data: SNOW0702

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\WUSV "PartnerDesc"
Data: SaveNow

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave\Partners\WUSV "PartnerParam"
Data: dt=Save Now!,q=,i=1

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SaveNow" = "C:\Program Files\SaveNow\SaveNow.exe"

Если внимательно посмотреть, то можно увидеть, что удаление только зараженных файлов ничего не даст.

**tchikow** » Чт май 31, 2007 15:07 pm

Черт!!! Реестровые записи на форуме прописались URL ссылками.
Огромная просьба на эти ссылки не нажимать!!!!!
Можно получить на своем компе проблему Мегавольта!!!!!!

**МегаVольт** » Чт май 31, 2007 19:55 pm

Спасибо за информацию...Нод хорошо находит вирусы и защищает от них.Но слишком мягко работает.И если не удалит вирус, то найти по логам его директорию очень муторно.черт знает-все советуют ставить Каспера.Да, он хорош.Но томозит жутко, как и продукты компании Симантек, которые решают все за тебя.Ну и что из двух зол выбрать?

Сапасибо, кстати, за полезную инфу.

**tchikow** » Чт май 31, 2007 22:27 pm

Я, допустим, посоветую поставить Каспера только злейшему врагу, да и то наверное жалко его станет. В свое время был куплен лицензионный Каспер - серверный вариант. На замедление работы сервака и рабочих станций я старался внимания не обращать, успокаивая себя лицензионной русскоязычной поддержкой. Затем появились проблемы типа "Файл заражен - лечить?" - "Да" - "Вылечить не могу. Удалить?" - "Да" - "Удалить не могу. Файл занят виндовс. Вылечить файл?" - и так до бесконечности. Но вершиной Каспера стало его поведение 29 февраля. Сервер и несколько рабочих станций, на которые я успел его поставить просто умерли. Служба поддержки ответила что-то типа "Об этой ошибке в программе мы уже знаем. Переустанавливайте ПО". Как я вычищал Каспера из машин - это вообще отдельный разговор.
Затем были проверены по очереди Панда и Симантек. Стояли неплохо, хотя проблемы всеже были.
Случайно обнаружил компанию McAfee. Почему-то в России он очень мало известен, а в 2002 году про него вообще почти ничего не было.
В итоге с 2002 года сеть на работе и мои компы защищены лицензионным McAfee Total Protection for Enterprise, а домашние компы и ноутбуки шефов McAfee Internet Security. Результат - за пять лет ни одного заражения вирусами не происходило, а куда только с этих машин не лазили.

Дмитровский Форум V2

Не долго музыка играла...

Не долго музыка играла...

Кто сейчас на конференции