Infekcja autorun.inf - otwieranie partycji w nowych oknach

Witam

Od niedawna mam problem:

  1. Partycje dysków otwierają się w nowych oknach mimo ze w opcjach folderów ta opcje jest odznaczona

  2. Pokazywanie ukrytych plików i folderów w eksplolatorze windows nie działa.

Dowiedziałem się że chodzi to o infekcje pliku autorun.inf.

Wydaje mi się że powodem są między innymi pliki

c:\autorun.inf którego treść jest następująca:

"[AutoRun]

open=vk0w.exe

shell\open\Command=vk0w.exe"

oraz o plik

c:\vk0w.exe

mam trzy partycje C D E i na każdej tworzą się te pliki z atrybutem ukryty [wchodziłem przez total commandera]

oraz wpisy jakie tworzą się w rejestrze:

regedita.th.jpg

Po dodaniu FIX’a [zawartość poniżej] i restarcie systemu partycja C[sys] i E otwierają już się poprawnie w tym samym oknie, a partycja D nadal w nowym, a pokazywanie ukrytych plików i folderów też bez zmian. Pliki autorun.inf i vk0w.exe nadal tworzą się na partycjach.

Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\Folder\shell]


[HKEY_CLASSES_ROOT\Folder\shell\explore]

"BrowserFlags"=dword:00000022

"ExplorerFlags"=dword:00000021


[HKEY_CLASSES_ROOT\Folder\shell\explore\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\

  00,25,00,49,00,2c,00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]

@="[ExploreFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]

@="AppProperties"


[HKEY_CLASSES_ROOT\Folder\shell\open]

"BrowserFlags"=dword:00000010

"ExplorerFlags"=dword:00000012


[HKEY_CLASSES_ROOT\Folder\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\

  00,25,00,4c,00,00,00


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]

@="[ViewFolder(\"%l\", %I, %S)]"

"NoActivateHandler"=""


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]

@="Folders"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]

@="[]"


[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]

@="AppProperties"


[-HKEY_CLASSES_ROOT\Directory\shell\explore]


[-HKEY_CLASSES_ROOT\Directory\shell\open]


[-HKEY_CLASSES_ROOT\Drive\shell\open]


[HKEY_CLASSES_ROOT\Drive\shell]

@="none"


[HKEY_CLASSES_ROOT\Directory\shell]

@="none"


[HKEY_CLASSES_ROOT\Folder\shell]

@=-

jeśli będzie trzeba mogę wrzucić logi

Zdecydowanie będzie trzeba.

Wklej logi z wymienionych niżej narzędzi:

OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

Dzięki za zainteresowanie ale już nie trzeba :lol: przeskanowałem programem ComboFix. W logu było że usunięto:

C:\autorun.inf

C:\vk0w.exe

c:\windows\system32\d3d10core.dll

c:\windows\system32\kernel32new.dll

c:\windows\system32\msvcrtnew.dll

D:\Autorun.inf

d:\dokume~1\FOLDER~1\Kamil\USTAWI~1\Temp\cvasds0.dll

d:\dokume~1\FOLDER~1\Kamil\USTAWI~1\Temp\cvasds1.dll

D:\vk0w.exe

E:\Autorun.inf

E:\vk0w.exe

po tyn zrestartowałem kompa i już wszystko gra :smiley:

Mimo, że ComboFix jest stale aktualizowany i usuwa większość infekcji to bazuje na nazwach. To znaczy, że nie usunie infekcji której nie ma w swojej bazie. A wiedz, że stworzenie infekcji o losowej nazwie trudne nie jest (ComboFix zresztą w taki sposób tworzy niektóre swoje pliki tymczasowe). Zatem dla własnego dobra logi powinieneś dać. Poza tym nie jest to bezpieczne narzędzie i skan mógł się również skończyć śmiercią kliniczną systemu.