Что за вирус?

[centavr]

Проверял намедни комп, вчера, Каспер засёк какой-то вирус - mail bomb, если не ошибаюсь в Macromedia Fireworks, ну это не важно... Вообщем, что это за вирус? Стоит ли его удалить?

Ещё в карантин попал какой-то объект -"возможно заражён", с надписью D:\System Volume Information\_restore{цифры и буквы_____-_____-____-____-_______}\цифры и буквы\AO132239.exe.

Найти его я не смог. Стоит ли удалить?

И ещё...

У меня в папке Windows, сидит папка Downloaded Installations, а там сидят проги - Macromedia Fireworks 8, Macromedia Dreamweaver 8, CuteFTP 6 Professional, ACDsee 8, itunes, вроде. Они там должны сидеть? Вроде как, они у меня в другой папке, я их просто устанавливал в своё время, ну кроме ACDsee 8. Как попали туда не знаю. Кстати, эту прогу можно распаковать прямо из папки Windows, ничего не случится (имеется ввиду Acdsee 8).

[Wlad]

centavr:

Найти его я не смог. Стоит ли удалить?

Файл ты не смог найти, потому что у тебя нет прав доступа к папке System Volume Information (свойства папки - безопасность - добавляешь своего пользователя и даешь ему полный доступ).

У меня в папке Windows, сидит папка Downloaded Installations, а там сидят проги - Macromedia Fireworks 8, Macromedia Dreamweaver 8, CuteFTP 6 Professional, ACDsee 8, itunes, вроде.

Это установщики программ, я разок удалил их все оттуда - пара программок отказались запускаться, поэтому лучче не надо удалять их, пусть лежат, они никому там не мешают.

[centavr]

А где лежит эта папка? Там файл начинается с D:\ и сразу System information. Она где-то в папке Windows?

[VanGog]

Типы Mail Bomb

Первый тип бомбы

Это pаспаковка пустого PKT файла pазмеpом около гигабайта, в аpхиве он занимает что-то около 5 килобайт. Или аpхиватоp pаспаковывает весь пакет на диск, после чего ессно станция пеpестает пpинимать почту, да и тообще последствий куча.

Второй тип бомбы

Завешивание PKUNZIP-а пpи pаспаковке. (Hа яолуосевый PKUNZIP это не влияет) Достигается пpавкой заголовка в ZIP аpхиве. (делается ссылка на один и тот же файл. После такого издевательства PKUNZIP меpтво виснет.

Третий тип бомбы

Это очень опасный тип. (Запуск .exe файла на станции). Пишется какая-нить гадкая пpогpамма, называется PKUNZIP.EXE, закидывается на станцию, а инбаунд каталог у тоссеpов всегда "текущий" , и вместо ноpмального аpхиватоpа ессно пеpвым запустится эта пpога. А уж что эта пpога захочет сделать, никому не известно.

[Wlad]

centavr:

А где лежит эта папка?

Там и лежит - D:\System Volume Information, ты ж в первом посте сам указал точный путь

На каждом диске такая папка есть.

ЗЫ: она скрытая, поэтому нужно включить показ скрытых файлов...

ЗЗЫ: набери в поиске по форуму System Volume Information - многие вопросы отпадут сами....

[VanGog]

А где лежит эта папка? Там файл начинается с D:\ и сразу System information. Она где-то в папке Windows?

Если ты не видишь папку D:\System Volume Information\ то включи отображение скрытых файлов, она появится (в окне эксплорера меню сервис-свойства папки - вид - убрать галку с "скрывать системные файлы" и поставить " отображать скрытые файлы и папки"

[centavr]

Vangog, то есть, в любом случае лучше удалить эту гадость, к какому бы типу бомбы она не относилась...

[R&K]

Если ты не видишь папку D:\System Volume Information\ то включи отображение скрытых файлов, она появится (в окне эксплорера меню сервис-свойства папки - вид - убрать галку с "скрывать системные файлы" и поставить " отображать скрытые файлы и папки"

Таким способом он ее не увидит, там надо где-то еще ставить галочку, не помню где! Все эти файлы отображаються в Тотал Командере!

[Wlad]

R&K:

Таким способом он ее не увидит,

Увидит, просто зайти не сможет в неё. А как сделать, чтоб зайти можно было, я описал.

[VanGog]

Vangog, то есть, в любом случае лучше удалить эту гадость, к какому бы типу бомбы она не относилась...

Если не собираешься ее на ком нибудь применять то конечно удалить))

[centavr]

Всё получилось, вошёл, всё увидел, как говорил Vangog. :) Однако, творятся какие-то странные вещи. Три цифры, после номера D:\System Volume Information\_restore{цифры и буквы_____-_____-____-____-_______}\RP336- обозначены в Каспере\AO132239.exe. А в этой папке всё начнинается с RP4.. То есть, все папки начинаются с четвёрки. Это как???... :D

[VanGog]

Так ты же написал

Ещё в карантин попал какой-то объект -"возможно заражён"

, тоесть каспер удалил его из

System Volume Information и поместил в карантин. Если хочешь его обозреть то восстанови в какую нибудь папку из касперского и посмотри. Только придется либо отключать касперский, так как он опять его удалит, либо восстанавливать туда где его нету.

[centavr]

Понятно. Удалять его вообще, или нет, даже не знаю, ведь как никак файл то системный, аль как бы не произошло чего. Восстанавливать, и правда, если придёться, то в какую-нибудь другую папку, вот только есть ли в том нужда не знаю. Ведь всё равно "возможно заражён". Если Каспер засёк, значит что-то с ним не так, хотя, вроде могут быть и исключения. ты думаешь стоит удалить, ничего не повредится в самой системе?

[centavr]

Только что, вновь проверил весь комп. Он обнаружил это вирус - AO132239.exe, и пометил его, как вирус - Mail Bomb, чего в первый раз я даже не заметил... Я его вновь восстановил в папку Systen Volume Information. Мне кажется, что он относится именно к Macromedia Fireworks, к чему относится и тот вирус, который Каспер тоже обозначил как Mail Bomb.

[Wlad]

centavr:

В принципе, ты можешь удалить всё из папки System Volume Information, на работе системы это не отразится, просто ты не сможешь восстанавливать предыдущие состояния системы, а ты это и так сделать не сможешь, т. к. у тебя там вирус сидит. И уж тем более не вижу смысла перемещать вирус обратно в эту папку... :D Ну разве что для коллекции...

[VanGog]

Если у тебя такие сомнения оставить или нет, то пройдись еще каким нибудь антивирусником для надежности. Например сканером DrWeb-Cure IT. Если ты точно знаешь что файл от Macromedia Fireworks и она не паленая, то я думаю что каспер перестраховывается.

[centavr]

DrWeb у меня оказался на сменном диске. Установил, но система но операционка начала тормозить. :D Не идёть. Ладно, пока оставлю всё как есть.

Мне, в разделе Интернет, не ответили на самое главное, как можно переустановить полностью убитый IE6. :( Здох совсем, пользуюсь Mozilla, но нужен старый, добрый Эксплорер. 7 версия не проходит инициализацию, видать не лицензионное ПО даёт о себе знать. Наверное, сейчас последует предупреждение от модератора. Заранее, извиняюсь. :D

[Saule]

Наверное, сейчас последует предупреждение от модератора. Заранее, извиняюсь. :)

:)

Чтобы переустановить IE6, вам нужно скачать с сайта microsoft.com файл его инсталляции (Internet Explorer 6) и перед его установкой, чтобы Windows позволила начать процесс инсталляции, изменить следующим образом параметр в реестре:

Start > Run (Пуск > Выполнить)

Вписываем

regedit

Нажимаем OK или ENTER.

Откроется редактор реестра (Registry Editor).

Находим следующий раздер:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}

Нажимаем двойным кликом на параметр

IsInstalled

.

И изменяем его значение с

1

на

0

.

Нажимаем ОК и закрываем редактор реестра.

[centavr]

Скачал, изменил в реестре, но вышел облом. Пишет, что есть более новая версия, чем IE 5.0 :(, посему устанавливать он её не будет...

[VanGog]

Скачал, изменил в реестре, но вышел облом. Пишет, что есть более новая версия, чем IE 5.0 :(, посему устанавливать он её не будет...

1. Проверь ту ли ветку вы изменили.

2. Попробуйте восстановить системные файлы командой sfc /scannow

Если не поможет есть программка XPLite, она позволяет удалять из системы все что вам придет в голову, так же можно удалить и internet explorer, а затем заново поставить.

ПС. За работоспособность последнего способа не ручаюсь(удалится это точно, но вот поставится ли?), все действия на свой страх и риск.