Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nie mogę usunąć wirusów z System Volume Information

14 Gru 2009 11:53 4672 19
  • Poziom 20  
    Witam, walczę z wirusami u kolegi, który wyhodował ich ponad 3 000 większość usunąłem, dysk sformatowałem, ale nie mogę usunąć wirusów z „System Volume Information” za każdym razem avira znajduje tak kilkadziesiąt wirusów i tak się dzieje na każdej partycji, pyzatym na początku skanowania awira wyświetla komunikat taki jak na zdjęciu, ściągnąłem program BOOT sektor repail nagrałem płytę botowałem ale za każdym razem to samo, używałem tez sdfix’a ale nic nie znalazł, może ktoś miał taki przypadek i podpowie coś?
  • Poziom 14  
    Usuwasz te wirusy w zainfekowanym systemie, czy podłączyłeś dysk do innego komputera?
  • Poziom 43  
    Nie męcz się - nie wszystkie programy AV umieją wejść do katalogów chronionych. Najprostszym wyjściem jest wyłączenie i ponowne włączenie przywracania systemu - automatycznie zawartość zostanie wyczyszczona i "goście" usunięci. Za takim rozwiązaniem przemawia i to, że w wypadku usunięcia zainfekowanych plików znajdujących sie w punktach przywracania i tak nie byłoby z takich kopii zapasowych pożytku (stałyby się one tylko zbędnym balastem miejsce zajmującym).
  • Poziom 20  
    ta operacja jest bezpieczna dla plików znajdujących się na dysku? myślisz, że załatwi to sprawę? pierwszy raz się spotykam z takim czymś, ale cóż człowiek uczy się całe życie.. ;)
  • Poziom 14  
    Wyłączenie przywracania systemu nie tylko jest bezpieczne, ale jest konieczne jeśli męczysz się z wirusami w zawirusowanym systemie. Poza tym polecam Ci darmowy program ComboFix, który potrafi czasem usunąć uciążliwych "gości" z dysku. Pomógł mi już nie raz i usunął dziwne wirusy, których inne programy nie ruszały. Skanowanie trwa zazwyczaj nie dłużej niż 10-15 min.
  • Poziom 43  
    Tak samo bezpieczna jak każde usuwanie zbędnych plików czy katalogów - to tylko "kopie".
    Można niby próbować przejmować uprawnienia do SVI, skanować zawartość poszczególnych punktów przywracania i leczyć zainfekowane pliki, ale - w mojej ocenie - szkoda zdrowia i czasu.
    Stąd, w poprzednim poscie wskazałem, że to jest najprostsza metoda.
  • Poziom 20  
    i ta informacja wyświetlana przez avira dotyczyła tych wirusów tak? po prostu nie mógł on ich usunąć?
  • Poziom 43  
    Na pierwszym zrzucie nie ma lokalizacji (zakładam, że tę z tytułu wątku program wskazuje), w drugim jest mowa o bootsektorze, ale czy i na ile jest ona prawdziwa to już tylko Ty sam wiesz.
    Możesz pokusić się o weryfikację jej prawdziwości używając np. jakiegoś skanera on-line.
  • Spec od komputerów
    Przed uzyciem mbr.exe odinstaluj wszystkie programy do emulacji napedow cd/dvd. Warto tez zrobic skan przy pomocy cureit, ktory powinien usunac infekcje z mbr.
  • Poziom 14  
    ComboFix też usuwa rootkity i inne paskudztwa. Jak chcesz to podaję Ci link do programu.
  • Spec od komputerów
    :arrow: klorko
    Combofix nie dziala!

    "Combofix is currently offline until an issue is resolved by the developer."
  • Spec od komputerów
    Po co? Wystarczy otl + gmer, nie trzeba uzywac combofix.
  • Poziom 20  
    MBR zostawił taki log:

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    malicious code @ sector 0x1d1c4581 size 0x1e4 !
    PE file found in sector at 0x01D1C4581 !

    robiłem według instrukcji ale nie potrafił tego usunąć, za każdym razem wpis pozostawiał taki sam, użyłem dr.web wykrył jedną rzecz zrestartował komputer i teraz skanuję od nowa w poszukiwaniu tego. Jestem ciekaw co będzie.
  • Poziom 10  
    Jak pamięć mnie nie myli to folder, gdzie są wykonywane kopie z Przywracanie Systemu. Normalnie dostęp jest do niego zabroniony. Spróbuj uzyskac przez dodanie swojego konta do użytkowników z pełnymi prawami dostepu. Zrób skan folderu i skasuj raz na zawsze tego skurczybyka:)
  • Spec od komputerów
    :arrow: andriej
    Jezeli dalej potrzebujesz pomocy to daj wymagane logi.
  • Poziom 1  
    Też miałem problem z tego typu trojanami które tworzyły sobie punkty przywracania na każdym dysku, a tu masz instrukcje jak ręcznie wszystko pousuwać i uzyskać dostęp, niestety inaczej się u mnie nie dało:
    Narzędzie CACLS w systemie Windows XP Home Edition korzystającym z systemu plików NTFS
    W systemie Windows XP Home Edition z systemem plików NTFS można również użyć narzędzia wiersza polecenia Cacls do wyświetlania lub modyfikowania list kontroli dostępu (ACL) do plików lub folderów. Aby uzyskać więcej informacji dotyczących narzędzia Cacls, użycia i przełączników, wyszukaj słowo kluczowe „cacls” w Centrum pomocy i obsługi technicznej.
    Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd, a następnie kliknij przycisk OK.
    Upewnij się, że bieżącym folderem jest folder główny partycji, na której chcesz uzyskać dostęp do folderu System Volume Information. Na przykład, aby uzyskać dostęp do folderu C:\System Volume Information, upewnij się, że bieżącym folderem jest folder główny dysku C (monit „C:\”).
    Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
    cacls "litera_dysku:\System Volume Information" /E /G nazwa_użytkownika:F
    Wpisz koniecznie znaki cudzysłowów zgodnie z podanym wzorcem. To polecenie dodaje określonego użytkownika do folderu z uprawnieniami Pełna kontrola.
    Kliknij dwukrotnie folder System Volume Information w folderze głównym, aby go otworzyć.
    Jeżeli konieczne jest usunięcie uprawnień po rozwiązywaniu problemów, wpisz następujący wiersz w wierszu polecenia:
    cacls "litera_dysku:\System Volume Information" /E /R nazwa_użytkownika
    To polecenie usuwa wszystkie uprawnienia danego użytkownika.

    Następujące kroki są również skuteczne, jeżeli komputer zostanie ponownie uruchomiony w trybie awaryjnym, ponieważ proste udostępnianie plików jest automatycznie wyłączane, gdy komputer jest uruchomiony w trybie awaryjnym.
    Otwórz okno Mój komputer, kliknij prawym przyciskiem myszy folder System Volume Information, a następnie kliknij polecenie Właściwości.
    Kliknij kartę Zabezpieczenia.
    Kliknij przycisk Dodaj, a następnie wpisz nazwę użytkownika, któremu chcesz udzielić dostępu do folderu. Zazwyczaj jest to konto użyte do logowania.
    Kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.
    Kliknij dwukrotnie folder System Volume Information, aby go otworzyć.
  • Spec od komputerów
    :arrow: marian2069
    Po co to napisales? Wystarczy wylaczyc na chwile przywracanie systemu co juz zostalo napisane i nie trzeba sie bawic.