Решена На съемных носителях появляются подозрительные файлы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем vavun, 25 дек 2015.

Статус темы:
Закрыта.
  1. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    Доброго времени суток :)

    Не знаю как давно, но стали появляться на некоторых флешках файлы вида
    G:\System Volume Information\WPSettings.dat

    Самостоятельно ничего не нашел, так что хотелось бы провериться.
    Заранее благодарю
     

    Вложения:

  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Код (Text):
    C:\Users\Vavun\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\delay.vbs
    Этот файл вам знаком?
    Вероятно файл с настройками от WordPress.
     
  3. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    delay.vbs - мой.

    Если бы не тот факт, что WordPress у меня нигде быть не может, тем более почему он прячется в папках System Volume Information ?
     
  4. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    System Volume Informationэто папка системы, в которой хранятся файлы для её восстановления.
    В любом случае это не исполняемый файл и к вирусам ни какого отношения не имеет.
     
  5. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    И да, эти папки не флешках не удаляются, при переименовывании исчезают и возникают снова.
    На некоторых флешках есть, на некоторых нет.
    Флешки были отформатирвоаны в другие компы не включались.
    В какой момент файлы появляются определить не удается. Но явно не сразу после подключения
    --- Объединённое сообщение, 25 дек 2015 ---
    Да, но раньше то их не было на флешках никогда.
    Скрытые и системные файлы у меня отображаются почти постоянно, так что заметил бы
     
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    При NTFS-формате съемных носителей, доступ к данным папкам заблокирован, и удалить их содержимое стандартным способом не получится.
    Отключите временно восстановление системы и папки System Volume Information перестанут создаваться.
     
    Kиpилл нравится это.
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.980
    Это результат работы легитимных сервисов,отключается через групповые политики.
    Переживать не стоит.
     
    vavun нравится это.
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
    Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
    vavun и Kиpилл нравится это.
  9. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    shestale, таки фат32 :(

    Снимок.PNG


    Koza Nozdri, а какая именно политика за это отвечает не подскажете ?

    SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
    WebSite: www.safezone.cc
    DateLog: 25.12.2015 20:53:29
    Path starting: C:\Users\Vavun\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Vavun
    VersionXML: 2.20is-21.12.2015
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
    Дата установки ОС: 04.09.2015 13:41:51
    Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files\Pale Moon\palemoon.exe
    Системный диск: C: ФС: [NTFS] Емкость: [55.7 Гб] Занято: [22.4 Гб] Свободно: [33.3 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.18124
    Контроль учётных записей пользователя включен
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2015-12-08 22:27:57
    Центр обновления Windows (wuauserv) - Служба остановлена
    Центр обеспечения безопасности (wscsvc) - Служба остановлена
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба остановлена
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (включен и обновлен)
    -------------------------- [ SecurityUtilities ] --------------------------
    VirusTotal Uploader 2.2
    --------------------------- [ OtherUtilities ] ----------------------------
    7-Zip 15.12 (x64) v.15.12
    WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
    7-Zip 9.20 (x64 edition) v.9.20.00.0
    Oracle VM VirtualBox 5.0.0 v.5.0.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 6.16 v.6.16.105 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.1.30740 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 20 ActiveX v.20.0.0.228
    Adobe Flash Player 20 NPAPI v.20.0.0.235
    Adobe Flash Player 20 PPAPI v.20.0.0.228
    Adobe Reader XI (11.0.13) - Russian v.11.0.13
    ------------------------------- [ Browser ] -------------------------------
    Pale Moon 25.7.0 (x64 en-US) v.25.7.0
    ----------------------------- [ EmailClient ] -----------------------------
    Mozilla Thunderbird 24.4.0 (x86 ru) v.24.4.0 Внимание! Скачать обновления
    ----------------------------- [ End of Log ] ------------------------------


    --- Объединённое сообщение, 25 дек 2015 ---
    Оу. А у меня уторрент 1.8.2 установлен.
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Попробуйте так: кликаем по папке "system volume information" правой кнопкой мыши и выбираем «Свойства». Переходим во вкладку «Безопасность» и жмем кнопку «Добавить». Добавляем пользователя. Жмем «ОК».
    Теперь должен появиться доступ в папку.
    +
    Выполните рекомендации после лечения
     
    vavun нравится это.
  11. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    У меня и так есть доступ в папку. Как бы я узнал о её содержимом тогда ?
     
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    У вас должна появиться возможность удалять из этих папок.
    +
    Так пробовали?
     
    vavun нравится это.
  13. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    Это не помогло, а вот отключение восстановления системы помогло. Удалось удалить это безобразие с флешек. Понаблюдаю не будут ли появляться с выключенным восстановлением.
    Благодарю :)
     
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Не будет однозначно. Но вот отключать его насовсем я бы вам не рекомендовал.
    Удачи и с наступающим НГ!
     
    vavun нравится это.
  15. vavun
    Оффлайн

    vavun Активный пользователь

    Сообщения:
    80
    Симпатии:
    32
    shestale, благодарю, и вас с наступающим :)
    --- Объединённое сообщение, 26 дек 2015 ---
    Я понял откуда это безобразие.

    У меня в виртуалке с windows xp диск G добавлен, как носитель. Тестировал кое что.
    Потому не понятно было, почему на одних флешках есть, а на других нету + по этому не удавалось словить момент, когда оно появлялось.
    А восстановление системы хостовой ОС, видимо, принимала эту System Volume Information за своего и потому не давала удалить до отключения.
     
    Kиpилл и shestale нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей