вирус System Volume Information

[al1k]

Одолел вирус, Касперский Кристал распознает зловреда как вредоносное прог обеспечение, однако удалить его не может, то и с прогой Curelt. 5 Вирусов
С:\System Volume Information\_restore(676F6863-B77C-48D5-8AC2-45E8C87167F5}\RP103\A0045570.EXE, A0045584.EXE,A0056835.EXE,A0061750.EXE,A0061768.EX E
Копируется с е диска и проходит по всем находит системный и потом каспер ловит not-a-virus:RemoteAdmin.Win32.RAdmin.ic.

Благодарю за Ваш труд.

[Info_bot]

Уважаемый(ая) al1k, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Отключите и заново включите восстановление системы

[al1k]

проблема в том что на диске Е нет точек восстановления, а он расползается именно от туда по всем дискам.

- - - Добавлено - - -

мне нужно вылечить 2 диска а Системный я снесу

[mrak74]

Что педставляет собой папка System Volume Information\_restore? - всё что там, неактивно, активируется только при откате на точку восстановления когда было заражение.
Обычно, штатные антивирусы при полной проверке самостоятельно удаляют из System Volume Information вредоносов.

потом каспер ловит not-a-virus:RemoteAdmin.Win32.RAdmin.ic.

= чаще всего Radmin - программа удалённого доступа Если не сами устанавливали и не используете, удалите через установку/удаление, если там нет, отключите в службах.

Лог Curelt запакуйте в zip архив и прикрепите к следующему сообщению.

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

[al1k]

ОС новая еще не ставил ничего RAdmin в том числе, не может быть там никаких служб этой программы !

С D E диски и в каждом по зловреду

RemoteAdmin.Win32.RAdmin.ic. Состоит из серверной и клиентской части.

Серверная часть — приложение размером 150-200КБ. При загрузке обычно выдает свое присутствие иконкой в трее, однако при определенных параметрах конфигурации может отображаться только в списке активных процессов.

Основное приложение клиентской части имеет размер примерно 1МБ и предоставляет графический интерфейс для управления компьютерами, на которых установлена серверная часть Remote Administrator.

Злоумышленник, используя клиентскую часть программы, может подключиться к серверу и получить доступ к компьютеру. Он может видеть экран удаленного компьютера и все происходящие изменения на нем, с клавиатуры и с помощью мыши он может давать команды компьютеру, к которому подключен.

Зафиксированы случаи скрытной установки серверной части Radmin с целью получения полного удаленного доступа к компьютеру. касперский форум

[mrak74]

TeamViewer - кто Вам устанавливал ?

Cureit по окончанию сканирования, эти файлы:

C:\System Volume Information\_restore{676F6863-B77C-48D5-8AC2-45E8C87187F5}\RP103\A0045570.exe - quarantined
D:\System Volume Information\_restore{676F6863-B77C-48D5-8AC2-45E8C87187F5}\RP103\A0045584.exe - quarantined
E:\System Volume Information\_restore{676F6863-B77C-48D5-8AC2-45E8C87187F5}\RP113\A0056835.exe - quarantined
E:\System Volume Information\_restore{676F6863-B77C-48D5-8AC2-45E8C87187F5}\RP117\A0061750.exe - quarantined
E:\System Volume Information\_restore{676F6863-B77C-48D5-8AC2-45E8C87187F5}\RP117\A0061768.exe - quarantined

Не предлагал удалить ?

Смените пароли на всех учетных записях на компьютере. Напоминаю, в Правилах есть пункт

* Обязательно нужно запускать данные программы с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому необходимо нажать правой кнопкой на программу, выбрать пункт "Запустить от имени администратора" (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку "OK".

применять при использовании абсолютно всех лечащих утилит, в том числе и cureit.

Сделайте полный образ автозапуска uVS

[al1k]

TeamViewer установил я, но значительно позднее появления вируса (3-5 дней).

Cureit предложил удалить лишь последний файл из списка все остальные он лечил.

1 учетка пароль сменил

[mrak74]

мне нужно вылечить 2 диска а Системный я снесу

Кажется Вы собирались сносить ОС, несмотря на то что она новая, ОС сильно захламлена, но не вирусами, возможно её снос будет идеальным вариантом.

Для очистки контрольных точек на всех разделах HDD, Выполните скрипт в uVS Как выполнить скрипт в uVS

Код:

;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

regt 23
restart

Рекомендация не пользуйтесь пиратскими ОС, в ее дистрибутив создатель изначально может разместить что угодно, в том числе и RAdmin.

[al1k]

Я не против лицензионного ПО, однако не стоит забывать где мы живем, когда цены на продукцию становятся выше европейских аналогов, а оплата труда приближается к странам малоразвитым от 600$. Речь не идет уже о лицензионном ПО, хватило б на самое необходимое(

[mrak74]

Образ который прикрепили "битый", ну не может в 1,5 кб ничего поместится. Если скрипт прошел удачно, то ни на одном из разделов не должно было остаться контрольных точек, чего собственно и добивались. Можете переустанавливать ОС. По поводу оригинальных лицензий, электронную ОЕМ, брать выгоднее.

[al1k]

вот другой

[mrak74]

Cureit-ом проверяли, в контрольных точках он что нибудь находит ?