$AV_ASW — что это за папка?
- Описание
- Разбираемся
- Открываем карантин
- Вывод
Приветствую уважаемые друзья! Будем разбираться с загадочной папкой $AV_ASW, узнаем зачем она нужна, от какой программы.. в общем постараюсь найти информацию и написать все простыми словами! Поехали разбираться))
Описание
$AV_ASW — папка, в которой антивирус Аваст хранит файлы, помещенные в карантин.
Удалять папку нежелательно. Если нужно удалить содержимое — лучше это делать через интерфейс Аваста.
Разбираемся
- Эта папка идет от антивируса Аваст. Может появиться в корне системного диска. На других дисках тоже может быть.
- Папка появляется после того как происходит ложное срабатывание exe-файлов (экран поведения), а также после нажатия кнопки Исправить автоматически.
- Оказывается $AV_ASW — это папка карантина экрана поведения, который пришел из антивируса AVG, в котором карантин также был в директориях $AVG/$VAULT.
- Другими словами в эту папку антивирус помещает файлы, которые потенциально опасные или зараженные, чтобы эти файлы не нанесли вред компьютеру. В самом Авасте можно найти функцию управления карантином и восстановить оттуда файлы, если вы точно уверены что они безопасны.
- Удалять папку $AV_ASW ненужно. Это неправильно. Можно просто очистить содержимое через управление карантином в антивирусе.
Карантин в Авасте
Но как открыть? Я покажу способ. Не знаю подойдет ли он вам, потому что антивирус постоянно обновляется, выходят новые версии… но надеюсь способ рабочий))
Итак господа, сперва откройте антивирус, далее нажмите на Защита и вы увидите карантин — он просто называется Хранилище вирусов:
Но еще более простой и крутой способ — это нажать правой кнопкой по иконке в трее и там выбрать пункт Карантин:
При желании в карантин можно добавить файл — просто нажмите соответствующую кнопку:
Также в Карантине могут быть файлы (по факту они будут в папке $AV_ASW), которые при необходимости можно восстановить, только если вы точно уверены что они неопасны:
Еще может быть такое, что файлы будут хранится не в папке $AV_ASW, а в chest, которая расположена по следующему адресу:
Также у вас может быть версия Аваста, в которой чтобы попасть в карантин нужно открыть главное окно > активировать раздел Защита > Антивирус > нажать внизу нужную кнопку:
Заключение
- $AV_ASW — директория, которая хранит данные карантина антивируса Аваст.
Удачи и добра, до новых встреч друзья!
появилась скрытая папка $AV_ASW
в ней еще одна $VAULT а в ней файл vault.db Windows 8.1 если важно что это такое и можно ли ее удалить?
Лучший ответ
Здравствуйте!
Это легальная папка антивируса avast.
Остальные ответы
а у тебя твои документики и фоточки уже стали с расширение vault ?
Niki LУченик (172) 6 лет назад
АнонимусПрофи (634) 3 года назад
У меня тоже появилась такая папка
Это наверное вирус, удаляй!
PidrosanЗнаток (389) 6 лет назад
обычно это не вирус а папка аваста куда скидываются все подозрительные или заражённые файлы
Саша ЛюбимовУченик (213) 4 года назад
Ору боже, это НАВЕРНОЕ вирус, но ты все равно удали прямо сейчас XD
это папка аваста карантина куда скидываются все заражённые и подозрительные файлы и всё такое . Если на компьютере нету аваста значит ВОЗМОЖНО вирус-шифровальщик (но это не точно). И про удаление если вирус ищи гайды в инете если папка аваста удали аваст и вроде должно удалится и эта папка (я не проверял)
Димарик ЖаворонковЗнаток (327) 2 года назад
хуян! делов не знаешь, не лезь
Димарик Жаворонков, ахаха, хорош
Win32.HLLM.Graz
(Backdoor.Poison.EP, Backdoor:Win32/Shark.E, Trojan.Win32.Patched.ka, Generic Dropper.pm.gen, JS/Feebs.gen.d@MM, TrojanDownloader:JS/Feebs.A, TR/Vundo.Gen, Trojan.Win32.Pincav.addo, Trojan:Win32/Malagent, HTML/Dldr.Age.17507, JS/Feebs.gen.f@MM, Backdoor.Rbot.XLO, Trojan:Win32/Rolnoxo.A.dll, Virus.Win32.Sality.g (v), BDS/Shark.E.3, Worm/Feebs.Gen.E, Trojan-Downloader.JS.Agent.aju, TROJ_HUPIGON.AVY, Trojan.Generic.5046787, Possible_Virus, Win32.Agent.RJZ, New Malware!hta, CoreFlood.dr, Downloader.Generic3.OQP)
Добавлен в вирусную базу Dr.Web: 2005-12-19
Описание добавлено: 2005-12-23
Win32.HLLM.Graz — почтовый червь массовой рассылки.
Распространение
1. По почте как сообщение с приложенным zip-архивом.
Пример текста сообщения:
You have received Protected Mail from MSN.com user.
This message is addressed personally for you.
To decrypt your message use the following details:
ID: 25747
Password: qeopgelhk
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Mail and instruction is attached.
Best Regards,
Protected Mail System,
MSN.com
К сообщению прилагается zip-архив с одним из следующих имен:
msg.zip
message.zip
data.zip
mail.zip
В архиве — файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть «Encrypted», «Protected», «Secure» или «Extended», а вторая — «Mail», «E_Mail», «Message» или «Html».
При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.
2. По ICQ.
Следит за трафиком на зараженной машине и получает UIN и пароль.
Получает список контактов для данного UIN.
Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/. На данной странице пользователю предлагается скачать «универсальный генератор ключей для игр PopCap».
Возможный текст сообщения:
PopCap deluxe games absolutely free
you like PopCap deluxe games?Play them free and no limited
PopCap deluxe games without limit
I see your drive C:
you a hacked, look!
this is your local drives?not a joke:))
3. На зараженной машине создается http-сервер и при попытке скачать с него что-либо отдается тело вируса в формате hta. Может быть запаковано в zip — зависит от типа запрашиваемого файла.
Запуск вируса
При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms. exe и сбрасывает в эту же папку файл ms??32.dll.
Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.
Отслеживает трафик на определенных портах и разбирает передаваемые данные в соответствии с протоколами для извлечения паролей (telnet,smtp,pop3,ftp,icq,irc, . ).
Далее эта информация использует для дальнейшего распространения вируса. Например, рассылка сообщений по ICQ от имени пользователя по всему контактному листу или заражение сайтов которые пользователь имел неосторожность обновить через FTP.
Содержит функцию управления программой WebMoney Keeper.
Блокирует доступ к сайтам, имена которых содержат следующие подстроки:
| fsi | vcatch | feste | norton |
| resplendence | softwin | filseclab | ntivi |
| una | panda | free-av | numentec |
| adware | trojan | freeav | phx.corporate-ir |
| alwil | agnitum | frsirt | secu |
| avg | altn | gdata.de | sina |
| grisoft | antiy | grisoft | skynet |
| bitdef | anvir | iavs | softbase |
| clam | asw | iss | sophos |
| hbedv | atdmt | kasper | spam |
| esafe | atwola | lavasoft | stocona |
| aladdin | avast | mcafee | symantec |
| quickhea | avp | messagel | trendmicro |
| avgate | awaps | microsoft | update |
| tds3 | bitdefender | msn | viru |
| onecare | ca.com | my-etrust | webroot |
| ahnlab | drweb | nai.com | haker |
| vnunet | eset | networkass | spy |
| virdet | vnunet | nod32 | itsafe |
| avinfo | fbi | norman |
Этот же список использует для полного блокирования доступа к сети у приложений по их именам.
Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:
| zonealarm | dpf | spfirewallsvc |
| zapro | xfilter | sppfw |
| ca | leviathantrial | kavpf |
| vsmon | looknstop | sspfwtry2 |
| zlclient | mpftray | keypatrol |
| pavfnsvr | netlimiter | s-wall |
| avgcc | npgui | smc |
| fsdfwd | npfsvice | umxtray |
| dfw | npfmsg | persfw |
| fireballdta | npfc | pccpfw |
| fbtray | ccapp | tzpfw |
| goldtach | ccsetmgr | xeon |
| ipcserver | ccevtmgr | bullguard |
| aws | ccproxy | bgnewsui |
| jammer | symlcsvc | fw |
| armorwall | sndsrvc | fwsrv |
| armor2net | opfsvc | |
| iamapp | opf | |
| iamserv | ipatrol | |
| blackd | spfw |
Подобных списков в вирусе несколько, кроме межсетевых экранов в них входит ряд антивирусов, программ обеспечения безопасности (анти-кейлоггеры, анти-трояны и т.д.), мониторинга сетевых соединений и т.д.
Помещает свои копии в папки, в именах которых есть строки: «download», «upload», «incom», «share» заполняет .zip архивами с именами:
ICQ_2006
winamp_5.2
3dsmax_9_(3D_Studio_Max)
ACDSee_9
Adobe_Photoshop_10_(CS3)
Adobe_Premiere_9_(2.0_pro)
Ahead_Nero_8
DivX_7.0
Internet_Explorer_7
Kazaa_4
Microsoft_Office_2006
Longhorn
которые содержат копию вируса в файле websetup.exe
Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.
Рекомендации по восстановлению системы
1. Загрузить ОС Windows в Безопасном режиме (Safe Mode) ;
2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов — удалить .
Dune HD Prime 3.0
процессор: Sigma Designs 8642; порт eSATA; ОЗУ 512 Мб, Flash память: 1 Гб+, BD-Live: 1 Гб+; файловые системы: FAT16/FAT32 (чтение, запись), EXT2/EXT3 (чтение, запись), NTFS (только чтение); форматы видео файлов: MPEG-TS, MPEG-PS, M2TS, VOB, AVI, MOV, QT, ASF, WMV, Blu-Ray-ISO, BDMV, DVD-ISO, VIDEO_TS; аудио кодеки: LPCM, WMAPro, DTS HD High Resolution Audio, DTS HD Master Audio, multichannel; форматы аудио файлов: MPA, M4A, DTS-WAV; форматы графических файлов: PNG, BMP, GIF; сетевые возможности: браузер сетевых папок (SMB, UPnP), сетевые папки, заданные пользователем (SMB, NFS), ссылки на HTTP медиапотоки, функция NAS, файловый менеджер, встроенный FTP и SMB файловый сервер; поддержка интернет радио, IPTV
Исправный витринный экземпляр. Возможны незначительные дефекты внешнего вида.