Problem z plikami ukrytymi,otwieraniem dysków w Mój Komputer


(Bybelou) #1

Witam, mam problem, i nie wiem jak sobie z tym poradzić :expressionless:

U mojej kolezanki działa się rzecz dziwna... Otwierajac "Moj komputer" wyskakiwało nam standardowe okienko, ale jak chcieliśmy otworzyc którykolwiek z dysków - zawartość dysku otwierała się w osobnym oknie. Dalsze poruszanie się w drzewie katalogów odbywało się w tym nowo utworzonym oknie.

Wziąłem jej dysk do siebie, zgrałem dane i zrobiłem formata, a po formacie nadal to samo i u mnie ta rzecz dziwna również się dzieje. Tzn na tym systemie na którym bawiłem się jej dyskiem, a na drugim już nie. Nie moge ustawić, żeby pokazywały się pliki ukryte, bo ciągle powraca do poprzednich ustawień. A skaner antiwirusowy nic nie wykrywa...

A pod drugim systemem zobaczyłem, że na każdym dysku są takie dwa takie ukryte pliki:

1u0o8bnq.cmd

autorun.inf

co robic?

Log z ComboFix: http://wklej.org/id/4586/

Log z HijackThis v2.0.2: http://wklej.org/id/4587/


(Kambor4) #2

1)

Wylecz pendriva lub kartę pamięci

Perlovga Removal Tool

Flash Disinfector

lub format

2)

Wklej do Notatnika :

File::

C:\1u0o8bnq.cmd

D:\1u0o8bnq.cmd

E:\1u0o8bnq.cmd

H:\1u0o8bnq.cmd

I:\1u0o8bnq.cmd

J:\1u0o8bnq.cmd

K:\1u0o8bnq.cmd

L:\1u0o8bnq.cmd

F:\1u0o8bnq.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d0f2d54-8280-11dd-900f-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d0f2d55-8280-11dd-900f-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66655bb5-829f-11dd-9010-00805fb71614}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10uc2.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

==========================

K.


(Bybelou) #3

Log utworzony po usuwaniu przez ComboFix: http://wklej.org/id/4600/

mam pytanie odnosnie czyszczenia pamieci flash - czyscic, jesli moze byc zainfekowana tak?


(Kambor4) #4

Czysto.

Czyść.

Usuń ręcznie folder C:**** Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar swojego komputera http://www.kaspersky.pl/virusscanner.html ( uruchom przez IE ) Daj raport z niego na forum.

lub

Dr.WEB CureIt!.

=====================

K.


(Bybelou) #5

Obszary krytyczne systemu: http://wklej.org/id/4627/

Cale skanowanie systemu: http://wklej.org/id/4687/ - i tutaj cos znalazlo...

co mam z tym zrobić? ;(

dziękuję za pomoc i poświęcony mi czas.

jeśli miałbyś jeszcze czas zerknąć na ten log:

http://wklej.org/id/4688/ - jest on z mojego laptpa. czy tutaj coś jest? i ew. co mam zrobić?

mógłbyś mi wytłumaczyć na jakiej zasadzie tworzy się liste plików do usunięcia poprzez program ComboFix?

jeszcze raz dzieki :slight_smile:


(huber2t) #6

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

C:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

D:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

E:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

H:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

I:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

J:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

K:\System Volume Information\_restore{36ED6625-DDFF-4375-9BDF-6286D50B073E}\RP141

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Co do combofix:

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer


(Bybelou) #7

raport z Avanger: http://wklej.org/id/4831/

wpis do rejestru dodany.


(huber2t) #8

Usunięte

:slight_smile:


(Bybelou) #9

Dzięki wielkie za pomoc.

Doceniam pracę takich ludzi jak Wy i dziękuję za poświęcony mi czas.

Jesli nie sprawi to Wam kłopotu, proszę o sprawdzenie tego logu.

Czy trzeba coś robić z systemem?

http://wklej.org/id/4688/

Przeskanuję drugi system na tym komputerze, mam nadzieję, że żadnego oprogramowania złośliwego nie znajdzie.

Pozdrawiam :slight_smile:


(huber2t) #10

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Driver::

wampmysqld


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{0d5cc5ba-33a9-11dd-86db-005056c00008}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]

"NvCplDaemon"=-

"NvMediaCenter"=-

"snp2uvc"=-

"WinampAgent"=-

"SunJavaUpdateSched"=-

"NeroFilterCheck"=-

"nwiz"=-

"RTHDCPL"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Bybelou) #11

http://wklej.org/id/4930/

log po wykonaniu skryptu.

niestety na sam koniec komputer mi sie zawiesil i musialem wykonywac jeszcze raz :frowning:


(Spandau) #12

Log wygląda na czysty.

usuń folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!