Dziwna funkcja "Open(0)" w menu dysku


(Krzysztofnawrot) #1

Cześć. Włączam komputer, klikam PPM na jedną z partycji i w menu pojawia się opcja "Open(0)". Na partycji D i E jest tak a na C z windowsem jest normalnie. Gdy natomiast klikam 2xLPM na partycję D lub E otwiera się, ale w nowym oknie. O co kaman? Czy coś się przestawiło? 347uvwl.jpg


(cristians) #2

Masz jakiś program antywirusowy zainstalowany? u mnie spowodował to wirus przenoszony na aparatach lub pendrive… sprawdź czy w autostarcie nie masz pliku ctfmon. Jeśli tak to go usuń. Musisz włączyć opcje ‘pokazuj pliki ukryte’. Przeważnie znajduje sie on na dyskach w katalogu X:\Recycled… Możesz usunąć cały ten katalog. Sprawdź też czy nie masz go w procesach, jeśli tak najpierw musisz go zakończyć. Usuń też z dysków, aparatów i pendrive pliki autorun.inf. Przeskanuj też najlepiej cały komputer jakim dobrym antywirem.


(Narv) #3

Za ten problem odpowiedzialny jest wirus. Prawdopodobnie masz na dysku kilka innych plików o nazwie ctfmon.exe. Tylko plik o tej nazwie znajdujący się w:

jest plikiem prawdziwym.

Zrób więc tak:

W “ustawieniach folderów” włącz “pokazywanie ukrytych plików i folderów”, oraz wyłącz opcję “ukrywania chronionych folderów systemowych”. Wejdź na ten dysk, na którym występuje problem i sprawdź czy w katalogu głównym dysku nie ma żadnych podejrzanych plików o rozszerzeniach EXE, COM, desktop.INI, autorun.INF, czy jakiś plik o rozszerzeniu TTF. Napisz czy znalazłeś coś takiego w głównym katalogu dysku.

Następnie:

Pokaż też log z programu HiJackThis. Jednak zanim to zrobisz, to pierw przeczytaj tematy:


(Krzysztofnawrot) #4

Log HiJackThis http://wklej.org/id/f6ec7e8a34

Takie pliki mam na dysku C: SCREEN

Takie pliki mam na dysku D: SCREEN

Takie pliki mam na dysku E: SCREEN

Pomocy! :?


(Maniekz1985) #5

Chodziło nie o lokacje “C:” tylko “C:\WINDOWS\system32”


(Krzysztofnawrot) #6

Miałem wejść do katalogu głównego dysku na którym występuje problem i sprawdzić czy są dziwne pliki. A co do dysku C też dałem screena bo na tej partycji także są podobne pliki.

C:\WINDOWS\system32 - tutaj “siedzi” ten plik ctfmon.exe :frowning:


(Narv) #7

I ma tam siedzieć, nie usuwaj go. To jest poprawny plik. Zaraz sprawdzę loga. Screena podałeś dobrego, chodziło mi o główny katalog dysku czyli pliki na C:\ D:\ itp.


(Krzysztofnawrot) #8

ok. czekam na odpowiedz i rady jak to “załatwić” :slight_smile:


(Narv) #9

W katalogu Autostart w Menu Start znajduje się skrót do uruchamiania pliku ctfmon.exe z trojanem - podaj mi lokalizację (ścieżkę) pliku, do którego odnosi się ten skrót (sprawdź to we właściwościach tego skrótu).

Pokaż jeszcze log z programu ComboFix. Poprzedniego loga już sprawdziłem ale chcę mieć jeszcze pewność, że nie po czyszczeniu nie zostaną już żadne niedobitki.


(Krzysztofnawrot) #10

http://i25.tinypic.com/2eoz5vk.jpg


(Narv) #11

Aha czyli, to nie skrót tylko aplikacja. To jeszcze lepiej.

No więc tak, na początek CTRL+ALT+DEL i ubij wszystkie procesy o nazwie ctfmon.exe

Wejdź do autostartu w menu start i usuń (SHIFT+CTRL) stamtąd ctfmon.exe - ten wpis co tam jest, to jest autouruchamianie się tego trojana podczas startu systemu - uważaj aby przy usuwaniu przypadkiem go nie uruchomić.

Wejdź na dyski za pomocą kliknięcia na nich prawym klawiszem myszy i wybrania z menu pozycji “Otwórz”. Otwierając w ten sposób każdy dysk usuń pliki:

C:\Autorun.INF

D:\Autorun.INF

E:\Autorun.INF

Opróżnij kosz systemowy jeżeli masz w nim jakieś śmieci. Daj koniecznie ten log z programu ComboFix.


(Krzysztofnawrot) #12

combofix: http://wklej.org/id/db48743b8c

dziwne bo zrobiłem skan za pomocą ComboFix i po restarcie juz w menu dysku było wszystko normalnie, nie było już tej opcji “Open(0)” ale nadal są skróty na dysku i w menu start. A te pliki i foldery: "Recycled, Recycler System Volume Information, Qoobox też mam usunąć?


(Narv) #13

Jakie skróty na dysku i Menu start? Z katalogu Autorun usuń ten plik ctfmon.exe (jego dokładna lokalizacja to “C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe”), ma go tam nie być. Jest co cały inicjator tego trojana uruchamiany podczas każdego startu systemu.

O jakie skróty na dysku ci chodzi?

Foldery: Recycler i System Volume Information to foldery systemowe - nie usuwaj ich!


(Krzysztofnawrot) #14

Ojj nie skróty :stuck_out_tongue: chodziło mi właśnie o te ukryte foldery Recycled, Recycler System Volume Information ale jak mówisz, żeby zostawić to ok. :slight_smile:


(Narv) #15

Umieść program ComboFix.exe na pulpicie. Nie włączaj go. Następnie jeżeli jeszcze nie usnąłeś tego pliku, o który prosiłem z autostartu, to otwórz notatnik w wklej do niego:

File::

C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe

C:\WINDOWS\pss\ctfmon.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Jeżeli ten plik już z autostartu usunąłeś ręcznie to wtedy do notatnika wklej:

File::

C:\WINDOWS\pss\ctfmon.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik zapisz jako: CFScript.txt - zapisz go na pulpicie, tak aby ikonka pliku była obok ikonki programu ComboFix.exe

Następnie przeciągnij ikonkę CFScript.txt i upuść ją na ikonkę ComboFix.exe , tak jak to wygląda na rysunku poniżej:

88953CFScript-createdbyMiekiemoes.gif

Pokaż log z procesu usuwania. Wyłącz przywracanie systemu, usuwając wszystkie punkty przywracania systemu (jeżeli jakieś pozostały). Wykonaj restart komputera. Daj na nowo logi z Hijack This i ComboFix.

Jeżeli wszystko będzie ok, możesz usunąć katalog C:\Qoobox i włączyć przywracanie systemu.

Pozdrawiam.


(Krzysztofnawrot) #16

Zrobiłem tak jak pisałeś wyżej, oto log: http://www.wklej.org/id/565ed003aa


(Narv) #17

Jeszcze nie wszystko usunięte. Fałszywy cftmon.exe nie jest w ogóle kasowany. Już chyba wiem czemu, zapomniałem że ten wirus tworzy podróbki kosza (o nazwie “recycled” i w nich trzyma swoją kopię) na każdym zainfekowanym dysku. Wypnij wszystkie podpięte pendrive’y, karty pamięci, czytniki kart itp.

File::

C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe

C:\WINDOWS\pss\ctfmon.exe


Folder::

C:\recycled

D:\recycled

E:\recycled


Registry::

[-HKLM\~\startupfolder\C:^Documents and Settings^KRZYSIEK^Menu Start^Programy^Autostart^ctfmon.exe]

Wklejasz do notatnika, zapisujesz pod taką samą nazwą jak wcześniej. Upuszczasz zapisany plik na ikonkę ComboFix. Dajesz log z procesu usuwania ComboFix. Powinno być teraz OK.


(huber2t) #18

daj log kontrolny z Combofix


(Krzysztofnawrot) #19

Problem wystąpił także na dysku G (przenośnym). Zrobiłem wszystko od początku, dodałem też do CFScript G:\Recycled i oto końcowy log: http://www.wklej.org/id/f977bdfd3b


(huber2t) #20

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer