ok już znalazłem, w poprzednim topiku nie było o tym mowy,
wirus tworzy też plik autorun.inf w katalogu głównym na pendrive, poprzednio pendrive wyczyściłem formatując, a teraz w katalogu gdzie robie komendą subst dysk (a właściwie u mnie był jeden katalog wyżej) zostł jeszcze autorun.inf. delete i po sprawie
Trochę poczytałem o tym wirusie, ponoć napisany w visual basic, w sumie bardzo prosty, mało który program antywirusowy go wykrywa, nieszkodliwy, powoduje zwolnienie pracy systemu, pojawienie się plików EXPLORER.EXE w system32 i autorun.inf, coś chyba kombinuje w koszu - dokładniej z jego katalogami (RECYCLER), w autorun.inf zapisuje komendę która powoduje, że pierwsza i druga opcja pendrive jest
??(0) i ???(X) , błyskawicznie przenosi się między pendrive i dyskiem, ponoć wyciąga hasło z jakiejś gry internetowej , z jej strony.
Mój sposób na usunięcie szkodnika:
jeśli wirus jest na dysku to na 90% jest też na pendrive.
1.sformatować pendrive (można przezucic dane na dysk bo i tak pewnie jest zainfekowany) , lub usunąć przez total commandera pliki EXPLORER.EXE i autorun.inf (tak jak p.3)
-
od razu po formacie wyjąć pena żeby wirus nie zdążył się wgrać
-
total commander, konfiguracja-ustawienia główne-wyswietlanie i tam zaznaczamy zeby pokazywał pliki systemowe (dla doświadczonych) , szukamy c:\windows\system32, zaznaczamy plik EXPLORER.EXE i usuwamy
-
odpalamy hijacka ( http://www.hijackthis.de ) i postępujemy z
godnie z instrukcją na linku w moim wcześniejszym poście
-
mozemy przeskanować dysk skanerem : skaner.mks.com.pl (wykrywa go jako psw.boy.a albo podobnie, często nie usuwa, z pendrive usunie)
-
skanujemy pendrive skanerem mks’a
Napisałem co wiedziałem, wielkiej filozofii nie ma, raczej banały mogłem coś pominąć, może się komuś przydadzą te informacje