Skąd wytrzasnąłeś taki Script usuwający?
W tym logu nie widać wcale tego, co było w logu Hijacka - wyparowało?
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d412bb06-e7ea-11dd-9a46-bde8d3689a7b}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
- Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
-
Usuń ręcznie folder C:** Qoobox**.
-
Przejrzyj dolną część tego tematu:
>http://www.searchengines.pl/Infekcje-z-pen…ych-t94761.html
jessi
zrobiłem tak jak mówiłaś ale teraz klikając na dyski otwiera mi się okienko wyszukiwania - czy to jest spowodowane wirusem jakimś ??
Tak, to jest spowodowane właśnie przez tę infekcję z pendrive’a, problem w tym, że jej już nie widać w logu.
jessi
czyli co byś teraz proponowała zrobić
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Folder\shell]
[HKEY_CLASSES_ROOT\Folder\shell\explore]
"BrowserFlags"=dword:00000022
"ExplorerFlags"=dword:00000021
[HKEY_CLASSES_ROOT\Folder\shell\explore\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\
00,25,00,49,00,2c,00,25,00,4c,00,00,00
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]
@="[ExploreFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]
@="[]"
[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]
@="AppProperties"
[HKEY_CLASSES_ROOT\Folder\shell\open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012
[HKEY_CLASSES_ROOT\Folder\shell\open\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\
00,25,00,4c,00,00,00
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]
@="Folders"
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]
@="[]"
[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]
@="AppProperties"
[-HKEY_CLASSES_ROOT\Directory\shell\explore]
[-HKEY_CLASSES_ROOT\Directory\shell\open]
[-HKEY_CLASSES_ROOT\Drive\shell\open]
[HKEY_CLASSES_ROOT\Drive\shell]
@="none"
[HKEY_CLASSES_ROOT\Directory\shell]
@="none"
[HKEY_CLASSES_ROOT\Folder\shell]
@=-
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
- Daj nowy log z ComboFixa, podając także wszystkie partycje/dyski, jakie masz na komputerze.
jessi
taki kod mi wygenerowało
http://www.wklej.eu/index.php?id=67c46e9de3
mam dwie partycje:
C - 39GB
D - 109GB
a nawiasem mówiąc to po zeskanowaniu przez tego ComboFixa teraz mi się dyski już normalnie otwierają
A ja sądzę, ze po użyciu “Fix.Reg”, bo ComboFix niczego nie usuwał.
Log jest czysty.
jessi
dzięki bardzo za pomoc teraz jeszcze tylko kilka pytań ogólnych; rozumiem że wszystkie pliki związane z ComboFixem można usunąć tak; mam wyłączone opcje autoodtwarzania i przywracania systemu - tak może pozostać ?? i co robić aby w przyszłości uniknąć takich wirusów z pendrive’a bo avast chyba nie jest najlepszym rozwiązaniem - używałem go dotychczas
Tak, wszystko związane z ComboFixem możesz już usunąć.
“Przywracanie Systemu” może lepiej teraz włączyć? Zawsze to jakieś wyjście bezpieczeństwa, jeśli jakiś Twój program “narozrabia”. Ale to pozostawiam do Twojej decyzji.
Z moich obserwacji wynika, że żaden Antivirus nie uchroni Cię przed infekcją “pendrivową”, więc nie widzę sensu zmieniania Antivirusa.
Natomiast użyj “Flash Disinfector” link jest w linku, który podałam wcześniej.
jessi
ok tak zrobię jeszcze raz wielkie dzięki i sorki za tyle kłopotu
pozdrawiam