# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Как удалить вирус

## roms

Подскажите кто знает. Проблема в том, что при глубоком анализе антивирус nod32 обнаруживает 4 вируса и предлагает всего одно действие, скопировать в карантин. Пробовал очищать лог, очищал папку -infekted- но при следующем запуске всё опять повторяется. Короче не удаляется. Вот что пишет антивирус D:\RECYCLER\S-1-5-21-725345543-448539723-2146934677-1004\Dd116.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение
D:\System Volume Information\_restore{E9290DA7-AFAA-4300-9B8C-7E1E9F15F39A}\RP34\A0008211.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение
D:\System Volume Information\_restore{E9290DA7-AFAA-4300-9B8C-7E1E9F15F39A}\RP49\A0014114.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение
D:\System Volume Information\_restore{E9290DA7-AFAA-4300-9B8C-7E1E9F15F39A}\RP59\A0029529.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение. И ещё таких файлов на диске D я не могу найти. Подскажите что это такое и как с этим бороться, чем это опасно. Спасибо!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## TANUKI

Все что нужно сделать, это отключить восстановление системы (правая кнопка мыши на иконку "Мой компьютер", затем "Свойства", затем вкладка "Восстановление системы". Потом перезагружаешь компьютер, снова включаешь "Восстановление системы и все  :Smiley:  
System Volume Information - папка с временными файлами  :Smiley: 
У меня вообще выключено "восстанволение системы" и эта папка всегда чистая  :Wink:

----------


## AndreyKa

D:\RECYCLER\...
Это место, где хранятся файлы, попавшие после удаления в Корзину (для диска D).
Очистите Корзину и они будут удалены.

----------


## TANUKI

А помоему, даже после удаления из корзины эти файлы будут там!

----------


## AndreyKa

Да, могут, если файл с трояном был удален другим пользователем.

----------


## SuperBrat

> Да, могут, если файл с трояном был удален другим пользователем.


Не только. Есть вирус который маскируется в корзине, а на запуск идет через autorun.inf в корне диска.

----------


## roms

> Все что нужно сделать, это отключить восстановление системы (правая кнопка мыши на иконку "Мой компьютер", затем "Свойства", затем вкладка "Восстановление системы". Потом перезагружаешь компьютер, снова включаешь "Восстановление системы и все  
> System Volume Information - папка с временными файлами 
> У меня вообще выключено "восстанволение системы" и эта папка всегда чистая


Спсибо! :Smiley:  Всё сделал, как было сказанно. Файлы D:\System Volume Information пропали, трёх вирусов нет. А при включении системы восстановления вирусы появяться снова или нет? :Huh: .  А файл D:\RECYCLER\S-1-5-21-725345543-448539723-2146934677-1004\Dd116.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение остался. Не хочет зараза уходить. А чем этот вирус может навредить системе?

*Добавлено через 11 минут*

То что посоветовал *TANUKI* реально сработало, огромное ему спасибо, :Smiley:  (а при включении восстановления системы вирусов уже не будет?) :Huh:  А что делать с этой заразой D:\RECYCLER\S-1-5-21-725345543-448539723-2146934677-1004\Dd116.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение? После удаления вирусов нужно восстанавливать систему утилитой avz?

----------


## drongo

нужно выполнить правила : http://virusinfo.info/showthread.php?t=1235 , самый быстрый вариант  :Wink:

----------


## roms

> нужно выполнить правила : http://virusinfo.info/showthread.php?t=1235 , самый быстрый вариант


 
Извиняте, поторопился! :Smiley:

----------


## TANUKI

> То что посоветовал *TANUKI* реально сработало, огромное ему спасибо, (а при включении восстановления системы вирусов уже не будет?) А что делать с этой заразой D:\RECYCLER\S-1-5-21-725345543-448539723-2146934677-1004\Dd116.exe »RAR »Toolbar.exe - модифицированный Win32/AdInstaller приложение? После удаления вирусов нужно восстанавливать систему утилитой avz?


Рад, что смог помочь  :Smiley:  По идее вирусы снова не появятся, те, которые уже исчезли. А что делать с двумя оставшимися - действительно выполни правила "Помощи" и у тебя все получится  :Smiley:

----------


## roms

> нужно выполнить правила : http://virusinfo.info/showthread.php?t=1235 , самый быстрый вариант


Спасибо, всё сделал как написанно в правилах, всё вирусов нет, ещё раз большое спасибо! :Cheesy:

----------


## Aramon

> Все что нужно сделать, это отключить восстановление системы (правая кнопка мыши на иконку "Мой компьютер", затем "Свойства", затем вкладка "Восстановление системы". Потом перезагружаешь компьютер, снова включаешь "Восстановление системы и все  
> System Volume Information - папка с временными файлами 
> У меня вообще выключено "восстанволение системы" и эта папка всегда чистая


Эта папка почему-то напрямую не открывается. Пишет, что отказано в доступе.
И еще почему-то не отображаются скрытые папки. Ну ладно доступ не дают, но почему скрытые папки не отображаются?

----------


## rubin

> Эта папка почему-то напрямую не открывается. Пишет, что отказано в доступе.


Так и должно быть




> не отображаются скрытые папки.


Это следствие заражения... Вам сюда - http://helpme.virusinfo.info

----------


## Rezia

Помогите! пожалуста подскажите как удалить вирус 
Variant of the Trojan.Win32.Obfuscated.gx

----------


## AndreyKa

> Помогите! пожалуста подскажите как удалить вирус 
> Variant of the Trojan.Win32.Obfuscated.gx


Правила, они для всех одни:
http://helpme.virusinfo.info

----------


## Друг форума

Друзья, подскажите как можно удалить каталог [runauto..], имеет атрибуты hs.
Копируется на флешку вместе с файлом autorun.inf, содержимое этого файла таково:
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=ґтїЄ(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=дЇАА(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
Никак не удаляется гад, только через формат флэшки.
Этот зловред свирепствует у нас в городе, очень часто приносят заражённые флэшки, Касперский убивает что-то зловредное(к сожалению сейчас не мготов сказать что), находящееся на флэшке, файл autorun.inf удаляю вручную а вот каталог [runauto..] никак удалить не могу, подскажите как с ним бороться, как его уничтожить, не прибегая к форматированию флэшки.

----------


## AlexGOMEL

Зарегистрироваться и http://helpme.virusinfo.info

----------


## Друг форума

Зачем мне регистрироваться и выполнять правила, зловред не на моём системнике, просто приходят люди с флэшками, а у них это чудо сидит уже. Просто не могу удалить этот каталог, спрашиваю помощи у Вас на этом чудесном форуме, наверняка хелперы встречались с этим зловредом.

----------


## Shu_b

FAR вам в помощь... http://www.farmanager.com и удаляйте сколько угодно!

----------


## Друг форума

Уважаемый Shu_b, Far это конечно хороший менеджер, но не всё так просто как Вы думаете. В Total Commandere - каталог [runauto..] выделяется, нажимается F8, выходит сообщение, что каталог содержит файлы и подкаталоги, удалять их ? Конечно же соглашаемся, а дальше ничего не происходит, каталог остаётся на месте, жив здоров. Что ещё посоветуете?

----------


## AndreyKa

Каталог сам по себе не может быть опасен. Вредно только то, что внутри него.
Попробуйте скрипт AVZ


```
Begin
 DeleteFileMask('X:\RUNAUT~1', '*.*', true);
 DeleteDirectory('X:\RUNAUT~1');
end.
```

Вместо X: нужно подставлять диск флешки.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Друг форума

> Каталог сам по себе не может быть опасен. Вредно только то, что внутри него.


Да я понял, что там ничего опасного уже нет, просто интересно, почему каталог так и нельзя удалить. Как так зловред делает, что каталог нельзя с флэшки удалить? 
Скрипт выполнил, каталог на месте.

----------


## Shu_b

> ..., но не всё так просто как Вы думаете. В Total Commandere - ....


 Жись вообще сложная штука.... незнаю как в тотале... Я чищу far'ом и всё удаляется без проблем ;-)

ps скрипт не удалял каталог, а удалял автораны на флешке, после чего данный каталог не должен блокироваться системой.

*Добавлено через 2 минуты*

pps И всё таки очень рекомендуется проверить вам и свою машинку по правилам форума.

----------


## AndreyKa

> скрипт не удалял каталог, а удалял автораны на флешке





> После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.


http://z-oleg.com/secur/avz_doc/scri...tefilemask.htm

*Добавлено через 4 минуты*

Проверил, действительно папка не удаляется.  :Sad: 
Добавил в скрипт отдельную команду.

----------


## AlexGOMEL

> ...зловред не на моём системнике, просто приходят люди с флэшками, а у них это чудо сидит уже. Просто не могу удалить этот каталог...


Уважаемые гуру, по моему, если в памяти нет активных зловредов- папка должна удаляться средствами ОС без проблем. Разве только Тотал пару раз попросит подтверждений.

----------


## borka

> Уважаемые гуру, по моему, если в памяти нет активных зловредов- папка должна удаляться средствами ОС без проблем. Разве только Тотал пару раз попросит подтверждений.


Думается, зависит от причины невозможности удаления. Либо "Sharing violation", либо "Access denied". Например, папка может быть открыта в Проводнике, тогда ни ФАР, ни Тотал ее не удалят. Или наоборот.

----------


## ISO

> Каталог сам по себе не может быть опасен. Вредно только то, что внутри него.
> Попробуйте скрипт AVZ
> 
> 
> ```
> Begin
>  DeleteFileMask('X:\RUNAUT~1', '*.*', true);
>  DeleteDirectory('X:\RUNAUT~1');
> end.
> ...


У меня тоже подобная проблема была, никак не мог удалить этот каталог [runauto..], скрипт выполнил, всё удалилось. Средствами ОС каталог никак не хотел удаляться, из тотала тоже.

----------


## AndreyKa

> Думается, зависит от причины невозможности удаления.


Причина в том, что имя у папки (длинное) не корректно. Попробуйте сами создать папку у которой две точки на конце.
Удалять надо по имени DOS (короткому).

----------


## borka

> Причина в том, что имя у папки (длинное) не корректно. Попробуйте сами создать папку у которой две точки на конце.


А просто так ее не создашь. 




> Удалять надо по имени DOS (короткому).


Если так, то dir /x поможет его увидеть.

----------

