в общем такая проблема: после похода к клиенту на съемном винте появилась скрытая папка "runauto..". (у клиента на одном винте на компе то же самое все). при попытке зайти в нее или удалить система ругается, что якобы "путь не найден" или что путь папки ссылается на недоступное место. все бы ничего, но при проверке на вирусы симантик говорит, что в ней лежит троянец. касперский же его не видит вообще.
кто-нибудь сталкивался с таким? как можно это удалить?

Безопасно зайди

Любым дискедитором

(2) чекитом проверяли, ошибок нет

(0) анекдот вспоминается:
Маленький маличик за компом сидит: "Папа,папа, а что такое формат це комплит"?
Чем не выход?

(4) а проще никак? ладно съемный диск не поблема. а у клиента? там на диске С. а это система, софт, бэст и т.д. и т.п... все ставить заново? ;)

А делали, что посоветовали в (1)?

(5) Я подумал, что только съемный интересует... Было у меня подобное оооооочень давно. Из-под доса удалил.

(2)(7) на компах нтфс, (1) щас попробую...

LOL, ответ, скорее всего верный, в 1-ом посте, прошло 20 минут, а его так и не опробовали.
(8) Причем тут нтфс???

(8) А NTFS здесь не при чем. Запуск режима командной строки. Могу ошибаться в формулировке. Ну на крайний случай, подключить к другому ПК и там удалить.

Похоже на:
http://www.precisesecurity.com/computer-virus/vbsra-mar0713.htm
Правда?

(9) LOL, ответ, скорее всего неверный, в 1-ом посте, прошло 20 минут, а в безопасном режиме не удаляется
(1) спасибо, к тебе ответ выше не относится :)
(11) Ром,а по-русски никак? ;)

низашо не поверю что:
VBS.Runauto is a malicious Visual Basic script that spread by copying itself in the root folder of compromised computer and removable media.
не удаляется в безопасном режиме.

собственно вот: http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2002-071813-0943-99&tabid=1

(14)+ это то, что нашел симантек.
кстати, в (0) именно такое имя папки, то есть я его не сокращала

(11) Рома, спасибо, но, видимо, не оно

(0) накрайняк зайти под никсовым загрузочным диском (или всякие norton ghost) и похерить папку под другой (по сути) системой. впрочем в безопасном должно убиваться.

(17) Может и не убиваться на самом деле. Как вариант запущен службой либо драйвер.

(17) не убивается. причем, что интересно, в свойствах папки, даже закладки "безопастность" нет. размер папки нулевой, атрибуты пустые. поменять атрибуты и вообще применить какие-нидь действия к ней никак

(17) эта называется LiveCD - диски с которых можно загрузицца без установки ОС. Не обязательно это никсовый, мелкософт тоже делает такие. Причем тут нортон привидение - ниасилил.
ЗЫ: в аську выйди, а. Дело есть, позвонить не успел/не смог.

(17) Никсовые загрузочные диски вроде бы NTFS только читают, а вот WinPE это вариант.

хм... а может прав на удаление нет ни у кого? проверь

(0)ты открывать и удалять проводником пытаешься?

(18) например? просто думаю как это возможно? порядок был такой: пришел к клиенту со съемным винтом, после работы с ним, попросили посмотреть еще проблемы. запустил антивирус. собственно увидел соответсвующее сообщение о вирусе и пошло безрезультатное дело с удалением папки. пришел на работу, увидел то же самое ужена съемном винте. собственно дома процедура аналогичная не привела к желаемому результату

(19) сидиром есть? Загрузи с него чонить лечащее, или просто дающее работать с файловой системой нтфс, и удали оттудава.

(23) кстати да. +1

(19)Ну что размер нулевой это мелочи, проводник в виндовозе определяет размер только безымянного потока.

(22) права проверяла (такая мысль приходила), там вообще ничего и никак. все пусто
(23) и проводником, и через Мой компьютор и фаром

(19) По ссылке (14) вроде как решение описано. Получилось??
Или по аглицки не читаем принципиально?  :))

"Ну вы, блин, даете"  (с)  :))

(25) а что лечить? (просто уже туплю малость)
(27) про другие потоки тоже мысля была, но утилиты дома не оказалось, надо будет завтра с работы принести, чтоб посмотреть

мне бы ваши проблемы...

Надо бы мистафест по этому поводу собрать...

(28)закрой все окошки проводника, отключи все антивири, потом удаляй каким-нить коммандером....

(29) каюсь... (с поникшей головой) с аглицким у меня проблема :( просто семантик выдает, что вирус найден, но удалить его сам тоже не может, т.к. он находится в папке, которая в принципе не открывается даже

(34) все окна закрыты, антивири отключены, тотал не удаляет...

(35)+ я вообще удивляюсь, как он туда заходит...

(35) 1. Смотрим список запущенных процессов. Убиваем все незнакомое (ненужное).
2. В ветке реестра KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run грохаем запись автозапуска трояна.
3. проверяем машину приличным антивирусом.
4. Все.

Если коротко - висит процесс и не дает грохнуть папку.

"Детский сад. Штаны на лямках"  (с)  :)
Развели ветку на сорок постов.

(29)
Number of Infections: 0 - 49
мои капыта просто умирают со смеху. Думаешь таки его подхватил?

(33) лучше к тебе в больничку после того как Парамонов адрес твой найдет :))

+(38) В диспечере устройст ищем в скрытых утройствах подозрительные и удаляем.

(39) Всяко бывает. :) у народа в запасах такие вещи попадаются, что про них нормальные люди уже и помнить забыли.

Метода удаления от этого не меняется.

(31) ну просто загрузись с сиди и удали папку которая тебе не нравится в (0)

(41) Это уже экзотика, но не тоже не повредит.

(43) Не поможет.

(42) до методы не дошел, каюсь. Копыта раньше померли :))

Экзотика, не экзотика. :) Но и стакими всречался. Хорошо, что не дома. )

(45) как это???
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
или для них Easy - это дискэдитором править?

(38) 1.не знакомых()не нужных процессов нет
2. записи автозапуска нет
3. проверяли антивирусом
4. не все :(

я не админ, я только учусь...

(48) Это где ж ты в (38) про дискедитор-то увидел?

После удаления папки при загрузке папка будет создана вновь.

Кстати, это может быть и не этот троян, а некий наследник. Посто сигнатуры совпадают.

(50) у него в безопасном режиме не удаляется ничем.
Чем еще можно кроме дискэдита?

(49) На какой файл ругнулся антивир в (14)?

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - полный список в студию.

(51) Может мы не папки будем удалять, а причину возникновения этих папок устранять?

Повторяю - висит процесс и блокирует удаление папки.
Что мешает этому процессу грузится в безопасном режиме?

(52)
1.
Trojan.KillAV
2.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"BPDMonitor"="C:\\Program Files\\BiPrint\\BPMonit.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"IAAnotif"="C:\\Program Files\\Intel\\Intel Application Accelerator\\iaanotif.exe"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
"CTHelper"="CTHELPER.EXE"
"CTxfiHlp"="CTXFIHLP.EXE"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"VisualTooltip"="C:\\Programm\\VisualToolTip\\VisualToolTip.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled]
"OutpostFeedBack"="C:\\Program Files\\Agnitum\\Outpost Firewall\\feedback.exe /dump:os_startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

(53) мешает то что безопасный режим

(54) ужос. А можно туда еще и мою рекламу разместить, если уж такой бардак? ;))
Вам уже всёравно, а мне приятно :))

(56) сколько заплатишь?

(54)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE" - это про что?

Trojan.KillAV - был найден в каком-то файле. В каком?

(57) скока заплатили те кто разместил всё то что в (54)?

auturun.pif

(60)+ его я в 54 и искала

(60) Ага. созналась таки. :))

(59) для тебя это будет слишком дорого, не потянешь :)

(62) в чем?

(62) гляди ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ - нет ли там чего похожего.

(64)+ мож я пропустила где про него? ночь уже, что-то могла не увидеть :(

(63) для меня? Судя по тому как Вы тупите с удалением простейшего вируса, то скорее Вы мне заплатите.

(66) Ты реестр гляди  :))

(65) пусто. и в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Disabled by Starter)
и в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
и в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

(67) ай-яй-яй :) а как же просто помочь девушке-новичку? ;)

извините, удаляюсь, мне этот цирк надоел.
Вся необходимая для удаления-восстановления работы/спокойстий предоставлена на первых 20 постах.
Остальное флуд или тупость.

(70) Девушка, в течение этой ветки Вы уже несколько раз пол поменяли.

(72) хорошо, наверное, что только в течение ветки. только какоеэто имеет значение по отношению к (0)?

(69) Однако.
В "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"autorun" =" чего прописано?

(71) "Вся необходимая для удаления-восстановления работы/спокойстий предоставлена на первых 20 постах." - точнее в (11) и (14).

(74) 1. там такой строки вообще нет

(75)+ задала поиск по всему реестру "autorun.pif"? ничего не найдено

(76) Зайдем с другого боку - папку "runauto.." попробуй переименовать в (1).

(77) http://zlava.livejournal.com/232202.html - от тут камрады с мест подробно освещают вопрос.

Как выяснилось, все не так тупо и просто. а где-то даже наоборот.

(77) толку 0
(78) щас гляну

(0) стоял касперский 7, снес и поставил Панду - итог обнаружил пять Троянов

(78) спасибо огромное! с меня пиво по любому :)
правда работа по ссылке это уже завтра, т.к. процедура долгая...
одно приятно, что таки я не совсем тупая :)

(79) Там какой-то ужас тихий описан.
Хорошо что у меня Windows только для игр и коммуникационных возможностей лишен навсегда. :)

(80) привет :) касперский его не видит вообще...
(82) кстати, ауторан на машине у нас отключен в принципе. давно и надолго...

(83)привет

(81) Да мне-то вроде и не за что.  :)
Спасибо Гуглу и камрадам с мест.

О результатах отпишись. Думается мне что модификации этого "сщастья" расплодятся скоро со страшной скоростью.

(85) это да. поэтому тем более рада, что ветку создала. по крайней мере народ узнает об этой проблеме и смлжет ее решить

(86)+ отпишусь обязательно :) кстати, мож ветку в КЗ кинуть?

(87) Так ты попробуй, потом отпишись, а то може какой другой зверь. А уж потом... :)
Ладно. удачи и спокойной ночи.  :)

(88) спасибо :) тебе тоже :)

Хороший вирус, прекрасно лечится касперским (с позавчерашним базами точно ;)
ЗЫ: папка прекрасно удаляется в старом добром Norton Commandere 5 версии, запущенном прям из под Хрюнделя...

(90) а версия касперского какая?
ЗЫ: хм... нортоном сто лет не пользуюсь... но за совет спасибо :) учту :)

спасибо поржал

(92) рада за тебя

(78)ребята там фигней страдают не по-детски... Уж сколько раз твердили миру не работать под админом....

(94) в каком смысле?

собственно проблема решилась (еще раз спасибо Reliz в (78)).
итак порядок действий по вирусу:
1. Установка SAV
2. При проверке он кое-что убивает
3.Загрузка в безопастном режиме - убийство каталога и чистка реестра
4 Все...

(96)+ да и еще обязательно на NTFS системе должна быть включена поддержка имен в формате 8.3, а имеено только в нем можно этот каталог убить