Problem z wejściem na dyski C i D

anapero · 22 Maj 2008 12:27

Witam

Mam problem z wejściem na dysk “C” i “D”. Wygląda to tak, że jak chcę klikam 2 razy na dysk “C” lub “D” to się nic nie dzieje natomiast jak klikam prawym przyciskiem na dysk i zaznaczam “otwórz” pojawia mi się lista programów do wyboru… Nie chciałabym resetować kompa, może jest jakiś inny sposób?

Aha… kilka dni temu złapałam jakiegoś wirus i wykasowałam zainfekowane pliki, wydaje mi się że wtedy zaczęły się problemy. Jeszcze raz skanowałam dyski, program antywirusowy nic nie znalazł

Proszę o pomoc

huber2t · 22 Maj 2008 12:28

Podaj log z Combofix

anapero · 22 Maj 2008 13:01

Witaj Huber2t!

Ten Combofix wydaje mi się strasznie skomplikowany Strasznie jestem zielona w takich sprawach. Ta konsola odzyskiwania i ewentualne problemy brzmią strasznie. Boję się za to zabrać. Czy taki niedoświadczony “żółtodziub da sobie radę”?? Boje się że komp mi całkiem padnie i nie będę wiedziała co z tym zrobić

Pozdrawiam

kolno1967 · 22 Maj 2008 13:04

Jak masz możliwość to sprawdż dyski pod Linuksem czy jest plik Autorun.

Jeśli jest to trzeba go skasować a także powiązane z nim programy.

Pod Windowsem nic nie zrobisz.

huber2t · 22 Maj 2008 13:15

Combofix

Na stronie pod tym linkiem masz opis jak pobrać ,uruchomić i jak zapobiegać komunikatom jakie w Combofixe występują

andrew1980 · 22 Maj 2008 13:19

Musisz włączyć żeby pokazywało ci pliki ukryte i poszukać na dyskach pliku autorun.ini lub .inf i to usunąć. Jak nie znajdziesz normalnie to poprzez total commandera tylko w nim też musisz włączyć żeby pokazywał pliki ukryte. Powodzenia

anapero · 22 Maj 2008 16:09

Witam ponownie

Combofix nadal mnie przeraża, dlatego próbuje pozostałych rozwiązań…

Znalazłam w Total Comander pliki autorun.ini oraz autorun.inf i je usunęłam, jednak to nic nie dało. Znalazłam jeszcze pliki autrun.exe i autorun.bmp czy je też mam usunąć?

Pozdrawiam Wszystkich i dziękuję za podpowiedzi

Kloss-J23 · 22 Maj 2008 16:16

Zastosuj się do porad poprzednich użytkowników i użyj Combofix (instrukcja też jest podana). Usuwając pliki autorun.inf usuwasz tylko skutek, a nie przyczynę (za chwilę będzie to samo).

anapero · 22 Maj 2008 17:47

No dobra zabrałam się za tego COMBOFIX-a tzn.

1.Ściągnełam obraz RC.ISO i wypaliłam na Cd za pomocą Active ISO Burner

Chciałam pobrać COMBOFIX ale…

jak klikam na jeden z podanych linków to mi się automatycznie zapisuje na pulpicie ComboFix.exe tzn. że podczas pobierania nie mogę zmienić nazwy na Combo-Fix.exe. Próbowałam też zmienić nazwę po pobraniu (żeby było to podkreślenie w nazwie) ale się nie da. Nie wiem co mam teraz robić, czy postępować dalej według podanej instrukcji (mimo że nie mam nazwy z podkreśleniem) czy powinnam zrobić coś innego??

Zdaję sobie sprawę z tego, że moje pytania mogą być “głupie”, ale ja naprawdę jestem “zielona” i dla mnie to wszystko to “czarna magia”. Proszę o wyrozumiałość…

Pozdrawiam

huber2t · 22 Maj 2008 17:50

Nie musisz zmieniać nazwy jeśli się dobrze uruchomi, jesli będa problemy wtedy zmienisz nazwę\

uruchom ten plik combofix.exe

anapero · 22 Maj 2008 18:09

Ok zrobiłam wszystko zgodnie z instrukcją i oto co mi wyszło:

ComboFix 08-05-21.2 - Ania 2008-05-22 19:54:19.1 - FAT32 x86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.73 [GMT 2:00]

Running from: C:\Documents and Settings\Ania\Pulpit\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\pthreadVC.dll

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_NPF

((((((((((((((((((((((((( Files Created from 2008-04-22 to 2008-05-22 )))))))))))))))))))))))))))))))

.

2008-05-01 13:55 . 2008-05-01 13:55

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-18 21:34 --------- d-----w C:\Program Files\DAZ

2008-04-18 21:34 --------- d-----w C:\Program Files\Common Files\DAZ

2008-04-18 21:10 --------- d-----w C:\Program Files\Blender Foundation

2008-04-12 12:02 --------- d-----w C:\Documents and Settings\Ania\Dane aplikacji\OpenOffice.org2

2008-04-12 07:08 --------- d-----w C:\Program Files\OpenOffice.org 2.3

2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll

2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]

2007-10-04 22:06 1135968 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

“{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}”= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 20:00 15360]

“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24 1694208]

“Gadu-Gadu”=“D:\Programy\Gadu-Gadu\gg.exe” [2006-10-03 13:55 1631944]

“Picasa Media Detector”=“C:\Program Files\Picasa2\PicasaMediaDetector.exe” [2007-10-23 22:18 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“LaunchApp”=“Alaunch” []

“RTHDCPL”=“RTHDCPL.EXE” [2005-11-16 20:27 15600128 C:\WINDOWS\RTHDCPL.exe]

“SynTPLpr”=“C:\Program Files\Synaptics\SynTP\SynTPLpr.exe” [2005-01-07 16:17 102491]

“SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2005-01-07 16:16 692315]

“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2004-11-02 20:24 32768]

“IMJPMIG8.1”=“C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe” [2004-08-04 20:00 208952]

“MSPY2002”=“C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe” [2004-08-04 20:00 59392]

“PHIME2002ASync”=“C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe” [2004-08-04 20:00 455168]

“PHIME2002A”=“C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe” [2004-08-04 20:00 455168]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2005-07-18 04:09 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2005-07-18 04:06 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2005-07-18 04:10 114688]

“eDataSecurity Loader”=“C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe” [2005-10-19 09:30 69632]

“EPM-DM”=“c:\acer\Empowering Technology\ePower\epm-dm.exe” [2005-11-25 15:59 212992]

“Acer ePower Management”=“C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe” [2005-11-09 11:04 3084288]

“LManager”=“C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE” [2005-12-01 17:38 458752]

“eRecoveryService”=“C:\Acer\Empowering Technology\eRecovery\Monitor.exe” [2005-11-16 17:00 397312]

“ADMTray.exe”=“C:\Acer\Empowering Technology\admtray.exe” [2005-10-24 16:45 2462208]

“ISUSPM Startup”=“C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe” [2004-06-16 06:03 221184]

“ISUSScheduler”=“C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” [2004-06-16 06:03 81920]

“CorelDRAW Graphics Suite 11b”=“D:\Programy\Languages\PL\Programs\Registration.exe” [2004-06-23 00:20 733184]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11 132496]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00 79224]

“WinampAgent”=“D:\Programy\Winamp\wianmpa.exe” []

“HPDJ Taskbar Utility”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe” [2002-06-21 11:32 188416]

“TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2008-05-01 13:53 185896]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 20:00 15360]

“Picasa Media Detector”=“C:\Program Files\Picasa2\PicasaMediaDetector.exe” [2007-10-23 22:18 443968]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2005-03-05 17:18:22 10872]

Microsoft Office.lnk - C:\Office97\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-09 22:18:33 113664]

Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\SAGEM WiFi manager\WLANUTL.exe [2007-07-10 13:46:42 950272]

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MS32DLL]

C:\WINDOWS\MS32DLL.dll.vbs

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“D:\Programy\Gadu-Gadu\gg.exe”=

“C:\Program Files\oDC\oDC.exe”=

“C:\Program Files\Real\RealPlayer\realplay.exe”=

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]

R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 18:08]

R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]

R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]

R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]

R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2007-01-10 10:14]

S2 ArcGIS License Manager;ArcGIS License Manager;C:\PROGRA~1\ESRI\LICENSE\arcgis9x\lmgrd.exe [1999-12-01 12:38]

S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{51f39287-e2f5-11db-bf4b-00163631b306}]

\Shell\AutoRun\command - G:\USBNB.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a14730c2-fdbb-11dc-80fd-0013ceeb3ca0}]

\Shell\AutoRun\command - F:\8de.bat

\Shell\explore\Command - F:\8de.bat

\Shell\open\Command - F:\8de.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bff3146e-141d-11dd-8122-0013ceeb3ca0}]

\Shell\AutoRun\command - F:\8de.bat

\Shell\explore\Command - F:\8de.bat

\Shell\open\Command - F:\8de.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{d9164257-d4f1-11dc-80d5-0060b3015216}]

\Shell\Auto\command - F:\fun.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-22 20:01:12

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\ACER\EMPOWERING TECHNOLOGY\ADMSERV.EXE

C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE

C:\WINDOWS\SYSTEM32\WDFMGR.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\PROGRAM FILES\LAUNCH MANAGER\QTZGACER.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHDISP.EXE

C:\WINDOWS\SYSTEM32\IGFXEXT.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

.

**************************************************************************

.

Completion time: 2008-05-22 20:04:06 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-22 18:04:00

Pre-Run: 3,101,327,360 bajtów wolnych

Post-Run: 6,000,607,232 bajt˘w wolnych

160 — E O F — 2008-05-20 22:42:19

I co teraz??

huber2t · 22 Maj 2008 18:18

Podłącz pendrive

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

F:\8de.bat


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"=-

"SunJavaUpdateSched"=-

"avast!"=-

"WinampAgent"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

anapero · 22 Maj 2008 18:27

Ok, no to mam kolejne “mądre pytanko”:

Piszesz, żeby podłączyć pendrive , ale ja go ostatnio nie używałam, wydaje mi się że wirusa załapałm z neta. Czy w tym wypadku mam go podłączać i sprawdzać, czy przejść od razu do instalowania ComBoFix itd??

huber2t · 22 Maj 2008 18:30

Miałeś na nim i masz wirusa więc go lepiej teraz usuń

anapero · 22 Maj 2008 18:40

Zrobiłam format pendrive i mam pytanko mam jeszcze raz zainstalować ComboFix, czy przeciągnąć tego pliku notatnika do starej ikonki ComboFix??

andrew1980 · 22 Maj 2008 18:58

To nie jest wynikiem wirusa tylko podczas kopiowania najczęściej płytki na dysk a nie do folderu zostają ukryte śmiecie. Jak wywaliłaś te dwa autoruny to wyłącz kompa i uruchom ponownie powinno działać ja miałem kiedyś taki sam problem i mi pomogło.

anapero · 22 Maj 2008 19:14

Ponownie użyłam ComboFix i otrzymałam:

ComboFix 08-05-21.3 - Ania 2008-05-22 21:09:42.2 - FAT32 x86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.95 [GMT 2:00]

Running from: C:\Documents and Settings\Ania\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Ania\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\Google\googletoolbar1.dll