Błędy przy otwieraniu dysku - prośba o sprawdzenie loga


(Damian Cekcyn) #1

http://wklej.eu/index.php?id=dee8d2c781


(jessica) #2

Infekcja z pendrive'a.

Daj log z -->ComboFix.

jessi


(Damian Cekcyn) #3

oto log wygenerowany przez ComboFixa:

http://www.wklej.eu/index.php?id=1bc121ccb4


(jessica) #4

Skąd wytrzasnąłeś taki Script usuwający?

W tym logu nie widać wcale tego, co było w logu Hijacka - wyparowało?

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d412bb06-e7ea-11dd-9a46-bde8d3689a7b}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

1) Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

2) Usuń ręcznie folder C:**** Qoobox.

3) Przejrzyj dolną część tego tematu:

>http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html

jessi


(Damian Cekcyn) #5

zrobiłem tak jak mówiłaś ale teraz klikając na dyski otwiera mi się okienko wyszukiwania - czy to jest spowodowane wirusem jakimś ??


(jessica) #6

Tak, to jest spowodowane właśnie przez tę infekcję z pendrive'a, problem w tym, że jej już nie widać w logu.

jessi


(Damian Cekcyn) #7

czyli co byś teraz proponowała zrobić


(jessica) #8

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\Folder\shell]


[HKEY_CLASSES_ROOT\Folder\shell\explore]

"BrowserFlags"=dword:00000022

"ExplorerFlags"=dword:00000021


[HKEY_CLASSES_ROOT\Folder\shell\explore\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\

  00,25,00,49,00,2c,00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]

@="[ExploreFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]

@="AppProperties"


[HKEY_CLASSES_ROOT\Folder\shell\open]

"BrowserFlags"=dword:00000010

"ExplorerFlags"=dword:00000012


[HKEY_CLASSES_ROOT\Folder\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\

  00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]

@="[ViewFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]

@="AppProperties"


[-HKEY_CLASSES_ROOT\Directory\shell\explore]


[-HKEY_CLASSES_ROOT\Directory\shell\open]


[-HKEY_CLASSES_ROOT\Drive\shell\open]


[HKEY_CLASSES_ROOT\Drive\shell]

@="none"


[HKEY_CLASSES_ROOT\Directory\shell]

@="none"


[HKEY_CLASSES_ROOT\Folder\shell]

@=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

2) Daj nowy log z ComboFixa, podając także wszystkie partycje/dyski, jakie masz na komputerze.

jessi


(Damian Cekcyn) #9

taki kod mi wygenerowało

http://www.wklej.eu/index.php?id=67c46e9de3

mam dwie partycje:

C - 39GB

D - 109GB

a nawiasem mówiąc to po zeskanowaniu przez tego ComboFixa teraz mi się dyski już normalnie otwierają


(jessica) #10

A ja sądzę, ze po użyciu "Fix.Reg", bo ComboFix niczego nie usuwał.

Log jest czysty.

jessi


(Damian Cekcyn) #11

dzięki bardzo za pomoc :slight_smile: teraz jeszcze tylko kilka pytań ogólnych; rozumiem że wszystkie pliki związane z ComboFixem można usunąć tak; mam wyłączone opcje autoodtwarzania i przywracania systemu - tak może pozostać ?? i co robić aby w przyszłości uniknąć takich wirusów z pendrive'a bo avast chyba nie jest najlepszym rozwiązaniem - używałem go dotychczas


(jessica) #12

Tak, wszystko związane z ComboFixem możesz już usunąć.

"Przywracanie Systemu" może lepiej teraz włączyć? Zawsze to jakieś wyjście bezpieczeństwa, jeśli jakiś Twój program "narozrabia". Ale to pozostawiam do Twojej decyzji.

Z moich obserwacji wynika, że żaden Antivirus nie uchroni Cię przed infekcją "pendrivową", więc nie widzę sensu zmieniania Antivirusa.

Natomiast użyj "Flash Disinfector" link jest w linku, który podałam wcześniej.

jessi


(Damian Cekcyn) #13

ok tak zrobię :smiley: jeszcze raz wielkie dzięki i sorki za tyle kłopotu :slight_smile:

pozdrawiam