Napadeni SYSTEM VOLUME INFORMATION

meresjev · Příspěvek od **meresjev** » čtv 29. čer 2006, 15:20

Dobry den,

antivirovy program AVG hlasi napadeni Rescue Poitu nejakym spywarem. Nedetekuje, co je zac, jen napise Adware.generic v
c:\system volume information\restore ........\RP269\A002163.exe.

Kdyz jsem to projel AD-AWare a Spybotem nic tam nenasli.

Muze to byt falesny poplach?Kdyz ne tak jak na nej?

Dekuji Jirka

matajon · Příspěvek od **matajon** » čtv 29. čer 2006, 15:26

viry.cz píše:Infikovaný soubor je v adresáři System Volume Information nebo _RESTORE
Vypněte funkci Obnova systému. Jakmile bude vypnuta, nebude již infekce z tohoto adresáře hlášena.
Postup pro Windows ME:

Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER) a zvolte z nabídky VLASTNOSTI (PROPERTIES).

Přepněte se do záložky VÝKON (PERFORMANCE) a stiskněte tlačítko SOUBOROVÝ SYSTÉM (FILE SYSTEM).

Zde se přesuňte na záložku PŘI POTÍŽÍCH (TROUBLESHOOTING) a zaškrtněte poslední volbu - ZAKÁZAT OBNOVU SYSTÉMU (DISABLE SYSTEM RESTORE).

Vše potvrďte tlačítkem OK, Windows se restartuje.
Postup pro Windows XP:

Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER).

Zvolte VLASTNOSTI (PROPERTIES) a nalistujte záložku OBNOVENÍ SYSTÉMU (SYSTEM RESTORE).

Zatrhněte volbu VYPNOUT NÁSTROJ OBNOVENÍ SYSTÉMU NA VŠECH JEDNOTKÁCH.

Potvrďte, Windows provede restart.

Doufam, ze to pomuze

meresjev · Příspěvek od **meresjev** » čtv 29. čer 2006, 15:32

Ale kdyz to uplne vypne vypnu, nebudu to moci v budoucnu vyuzivat....
A nekdy se to hodi...

matajon · Příspěvek od **matajon** » čtv 29. čer 2006, 15:50

meresjev píše:Ale kdyz to uplne vypne vypnu, nebudu to moci v budoucnu vyuzivat....
A nekdy se to hodi...

A kdyz to obnoveni systemu vypnes, restartujes PC, a pak ho zase zapnes ... myslis, ze tam ten soubor zustane ?

radekhulan · Příspěvek od **radekhulan** » čtv 29. čer 2006, 22:24

Na přístup (nejen do) System Volume Information pomůže tato miniaturní utilitka:
http://radekhulan.cz/item/superadmin-ve-windows-xp

hypnotic666 · Příspěvek od **hypnotic666** » stř 5. črc 2006, 22:12

Když už je tady řeč o system volume information, tak jsem narazil na problém, který jsem nikdy neměl.. Jsem přihlášený jako administrátor, obnovu systému mám zapnutou. Mno, ale když chci vyčistit složku system volume info na C: tak mi to plácne, že byl přístup odepřen . (prostě na to 2x kliknu a error). Nemůže to být nějaký vir? Body obnovy v systému mám a podle mě i fungují. Jen jsem zvyklý to čas od času mazat a teď to nějak nejde.. Nemůže to být vir? Mám aktualizovaný nod a neprotestuje...

Voloď · Příspěvek od **Voloď** » úte 11. črc 2006, 22:34

aj ked si administrator skontroluj od istoty ci mas prevzate vlastnictvo suborov ( ja som na mojom pc tiez prihlaseny ako administrator a sys. vol. inf. mi otvorit ani menit neslo .... )

Dynalon · Příspěvek od **Dynalon** » stř 12. črc 2006, 08:20

Přístup do složky system volume information nemá standartně žádný běžný uživatelský účet, ani administrátor ne. Nicméně administrátor se tam může dostat tím že převezme vlastnictví složky system volume information, aby bylo možné nastavovat rozšířené možnosti zabezpečení je nutné mít vypnutou volbu zjednodušené sdílení souborů (nebo jak se to jmenuje ...) v možnostech složky. Podrobný postup jak pracovat se zabezpečením složek se již několikrát probíral na tomto fóru, doporučuji použít funkci hledat

hypnotic666

Aha, díky.. Kouknu se po tom.. Mě jen zaráží, že se mi to nikdy nestalo, vždy mi to šlo mazat normálně...

EDIT : Vybordelně! Problém vyřešen, díky moc. Stejně to nechápu, proč to nešlo

kolda1896 · Příspěvek od **kolda1896** » pát 28. črc 2006, 10:30

Jde o to, že se ti možná dostal trojan (nebo adware) do systémové složky a jmenoval se stejně jako nějaký systémový soubor (třeba lsass.exe). Samozžejmě ho při důležité instalaci nebo odiiństalaci zazálohoval jako systémovou soubor, má název axxxxxx.exe Je to jen fragment po bývalém možná napadeném souboru, ale avg tento soubor by měl umět aspoň hodit do koše.