PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Vir v Sys. Volume Information

https://pc-help.cnews.cz/viewtopic.php?f=47&t=12545

Stránka 1 z 2

Vir v Sys. Volume Information

Napsal: 25 úno 2007 09:33
od Doktor 1
Ahoj pánové potřebuji poradit.Avast mi našel vir v System Volume Information a nezvládá ho odstranit. Chtěl jsem ho tedy odstranit manuálně. Složka hlásí že je prázdná a nejde ani otevřít -,, přístup byl odepřen" Co tedy s tím ? Zkoušel jsem Unlocker a také nic. :mad:

Napsal: 25 úno 2007 09:46
od fredik
Vypni obnovu systému restartuj Pc a pak ji zapni zpět tím by se měl odstranit ale přijdeš o všechny body obnov.
Nebo zkus na to pustit Mwav pokud máš nějakou starší verzi tak si stáhni novější (9.1.*) pak spusť prohlídku přes tlačítko Scan & Clean ta by ho mohla odstranit z uvedené složky pokud by i přesto zůstal tak budeš muset udělat první část.

Napsal: 25 úno 2007 09:52
od Doktor 1
MWav jsem zkoušel a do složky se nedostane.

A Avast to nezvádá otevřít nebo tak něco. Myslíš že když tu obnovu, tak se k tomu dostane ?

Napsal: 25 úno 2007 09:55
od fredik
Tak musíš vypnout tu obnovu systému, ale jestli se dobře pamatuji dokonce Mwav by ti měl vyhodit v angličtině návod jak se dá toho zbavit. :smile:
VIRUSES FOUND IN _RESTORE FOLDER:

*******************************************************************
How to clean files in C:\System Volume Information\_restore folder
on Windows XP?
*******************************************************************

1. Right-click on the My Computer icon on your desktop and choose
the "Properties" option.

2. In the System Properties window, click on the System Restore
tab and then put a check in the box next to the
"Turn off System Restore" option and hit the "OK" button.

3. Click "Yes" in the resulting confirmation box. You may
experience a slight delay as your change is applied;
the Properties window will close automatically when
the operation is complete.

4. Run another full scan with MWAV program to verify that
your system is clean.

5. Turn On System Restore option (by following step 2).

*******************************************************************
How to clean files in C:\_restore folder on Windows ME?
*******************************************************************

1. Click Start, point to Settings, and then click Control Panel.

2. Double-click System, and then click the Performance tab.

3. Click File System, and then click the Troubleshooting tab.

4. Click to select the Disable System Restore check box, click
Apply, click to clear the Disable System Restore check box,
click Apply, and then click OK.

5. Restart the computer when you are prompted to do so. When the
computer restarts, the data store is purged and the System
Restore feature begins monitoring the system again.

MicroWorld Technologies Inc.
http://www.mwti.net

Napsal: 25 úno 2007 10:11
od Doktor 1
MWav v Sys. V. I našel jednu položku a čistou. Navíc když jsem dal kontrolu kompletní trvala asi 20 minut místo obvylých 40 minut.

Jo k té hlášce jestli ji hodí v antgličtině tak jsem tam kde sem byl :oops:

Napsal: 25 úno 2007 10:18
od Doktor 1
Dávám sem ještě log jestli se tam něco náhodou nenajde.

Logfile of HijackThis v1.99.1
Scan saved at 9:15:47, on 25.2.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe
C:\Program Files\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Seznam Lištička - {B71B15CE-3093-459C-B764-AEB2486F2273} - C:\Program Files\Seznam\Listicka\Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinPatrol System Monitor] "C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Přelož do češtiny - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5034
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hledej v &Seznamu - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5033
O8 - Extra context menu item: Hledej v Seznam &Fulltextu - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5035
O8 - Extra context menu item: Převést cíl vazby do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést cíl vazby do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Převést do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Převést vybrané vazby do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Převést vybrané vazby do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Převést výběr do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Převést výběr do existujícího PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - http://www.listicka.cz/toolbar.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4391980812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0668224890
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



PS. Jdu tak na 3 hoďky pryč.

Napsal: 25 úno 2007 10:40
od fredik
V podstatě je tam napsané co jsem už psal že je potřeba vypnout obnovu systému ale s návodem jak to udělat.

Kdyby jsi nevěděl jak na to:
Klikni pravým tlačítkem myši na Tento počítač -> Vlastnosti otevře se ti okno Vlastnosti systému tam zvol záložku Obnovení systému a v ní vypneš obnovu systému (zatrhneš tu volbu a dáš Ano nebo Ok teď přesně nevím co je tam za variantu). Pak bych restartoval Pc to tam sice není zmíněno ale pro jistotu. Můžeš si to pak zkontrolovat avastem ale adresář budu už v pohodě. A pak si opačným způsobem můžeš zapnout obnovu zpět.

V HJT můžeš fixnou tyto drobnosti:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O11 - Options group: [INTERNATIONAL] International*

jen taková drobnost v procesech ti běží Windows Defender a máš tam Spyware Terminátor tak se zkus podívat do WD a zkus ho vypnout (rezident. štít pokud není) aby ti se ST nedělali problémy.

Napsal: 25 úno 2007 18:21
od Doktor 1
Tak ten Defender mám real time prot. vypnuto ale něco tam prostě startuje nevím co.

No a k tomu viru nepomohlo to a je tam stále.
"C:\System Volume Information\_restore{4970C608-8595-44DA-8A14-CDA5F64E6D56}\RP1\A0000004.msi\Data1.cab\sunthreatfilename.sdb1".
"C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}\Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1"

Tak mám tam dva které tam zůstaly a Avast hlásí :Operace není pro tento typ archivu podporována
:? :mad: :evil:

Napsal: 26 úno 2007 10:22
od lestat2
A proč tak blbě??Na co rušit obnovu systému. Já bych teda zrušil jednoduchí sdílení ve windows, dal bych si zobrazit skryté systémové soubory a pak bych si nastavil u složky system volume information plné práva, to znamená, že mám nejen možnost číst,ale zapisovat a mazat. Pokud povolím tyto práva pro svůj účet, tak aantivir má právo v tomto adresáři mazat. Je sice pravda že v obnově systému, tedy v jeho adresáři system volume information se nejvíce vyskytují viry,ale taky je pravda že mě obnova systému už několikrát zachránila.

Napsal: 26 úno 2007 10:35
od lestat2
jednoduché sdílení zrušíš, pokud si otevřeš tento počítač-prostě průzkumníka a dáš nástroje kde pak přejdeš na položku zobrazení a odškrtneš pole "použít zjednodušené sdílení souborů(doporučeno). Po té by si měl, pokud máš povolené na stejné záložce "zobrazovat skryté soubory a složky" možnost vidět v kořenovém adresáři tvého disku, evidentně C adresář "system Volume Information".Menší připomňka, používej na to total commandet, aby si tento adresář viděl. Dále pak zobraz vlastnosti tohoto adresáře a přejdi na záložku "zabezpečení" kde stiskneš talčítko upřesnit. V okně které se ti zobrazi na záložce " oprávnění " stiskneš tlačítko přidat. V následujícím okně tlačítko upřesnit a zadáš část názvu tvého účtu a necháš ho vyhledat kliknutím políčka najít.Na ten název účtu pak poklikáš a dáš OK. Pak se dostaneš do okna kde určuješ oprávnění tohoto učtu pro adresář system volume information a zde zašktneš úplné řízení a dáš OK. Pak můžeš všechna předešla okna ukončit pomocí tlačítka OK.Teď je pro tvůj účet aspoň v total commanderu tento adresář viditlený a může v něm číst i mazat, Teď pokud zapneš antivir, tak by měl být schopen smazat vir v tomto adresáři, ale pokud kontrola probíha pod zvoleným účtem.

Napsal: 27 úno 2007 00:49
od Doktor 1
To zjeddnodušené už jsem zkoušel, pak jsem načal to zabezpečení, ale nedostal jsem se k těm možnostem, protože jsem už měl zase nějakou práci. No nikdy jsem to nedělal a tak bych to musel povyzkošet až dokonce, ale když jsi mi to sem takto naservíroval šel jsem najisto. :bigups:
Je to dobré už to vidím, tak ještě testnu ten antivirák. Už mě to začalo pěkně :evil: :evil: že se něco děje za mojimi zády a já tam nemohu strčit nos. :D Zatím díky . :wink:

Napsal: 27 úno 2007 00:58
od Doktor 1
Tak radost byla trochu předčasná. Zase mi Avast hlásí to samé ,,Operace není......... podporována. :mad:
Časové pásmo: UTC+02:00
Stránka 1 z 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/