Cześć. Włączam komputer, klikam PPM na jedną z partycji i w menu pojawia się opcja “Open(0)”. Na partycji D i E jest tak a na C z windowsem jest normalnie. Gdy natomiast klikam 2xLPM na partycję D lub E otwiera się, ale w nowym oknie. O co kaman? Czy coś się przestawiło?
Masz jakiś program antywirusowy zainstalowany? u mnie spowodował to wirus przenoszony na aparatach lub pendrive… sprawdź czy w autostarcie nie masz pliku ctfmon. Jeśli tak to go usuń. Musisz włączyć opcje ‘pokazuj pliki ukryte’. Przeważnie znajduje sie on na dyskach w katalogu X:\Recycled… Możesz usunąć cały ten katalog. Sprawdź też czy nie masz go w procesach, jeśli tak najpierw musisz go zakończyć. Usuń też z dysków, aparatów i pendrive pliki autorun.inf. Przeskanuj też najlepiej cały komputer jakim dobrym antywirem.
Za ten problem odpowiedzialny jest wirus. Prawdopodobnie masz na dysku kilka innych plików o nazwie ctfmon.exe. Tylko plik o tej nazwie znajdujący się w:
jest plikiem prawdziwym.
Zrób więc tak:
W “ustawieniach folderów” włącz “pokazywanie ukrytych plików i folderów”, oraz wyłącz opcję “ukrywania chronionych folderów systemowych”. Wejdź na ten dysk, na którym występuje problem i sprawdź czy w katalogu głównym dysku nie ma żadnych podejrzanych plików o rozszerzeniach EXE, COM, desktop.INI, autorun.INF, czy jakiś plik o rozszerzeniu TTF. Napisz czy znalazłeś coś takiego w głównym katalogu dysku.
Następnie:
Pokaż też log z programu HiJackThis. Jednak zanim to zrobisz, to pierw przeczytaj tematy:
Log HiJackThis http://wklej.org/id/f6ec7e8a34
Takie pliki mam na dysku C: SCREEN
Takie pliki mam na dysku D: SCREEN
Takie pliki mam na dysku E: SCREEN
Pomocy! :?
Chodziło nie o lokacje “C:” tylko “C:\WINDOWS\system32”
Miałem wejść do katalogu głównego dysku na którym występuje problem i sprawdzić czy są dziwne pliki. A co do dysku C też dałem screena bo na tej partycji także są podobne pliki.
C:\WINDOWS\system32 - tutaj “siedzi” ten plik ctfmon.exe
I ma tam siedzieć, nie usuwaj go. To jest poprawny plik. Zaraz sprawdzę loga. Screena podałeś dobrego, chodziło mi o główny katalog dysku czyli pliki na C:\ D:\ itp.
ok. czekam na odpowiedz i rady jak to “załatwić”
W katalogu Autostart w Menu Start znajduje się skrót do uruchamiania pliku ctfmon.exe z trojanem - podaj mi lokalizację (ścieżkę) pliku, do którego odnosi się ten skrót (sprawdź to we właściwościach tego skrótu).
Pokaż jeszcze log z programu ComboFix. Poprzedniego loga już sprawdziłem ale chcę mieć jeszcze pewność, że nie po czyszczeniu nie zostaną już żadne niedobitki.
Aha czyli, to nie skrót tylko aplikacja. To jeszcze lepiej.
No więc tak, na początek CTRL+ALT+DEL i ubij wszystkie procesy o nazwie ctfmon.exe
Wejdź do autostartu w menu start i usuń (SHIFT+CTRL) stamtąd ctfmon.exe - ten wpis co tam jest, to jest autouruchamianie się tego trojana podczas startu systemu - uważaj aby przy usuwaniu przypadkiem go nie uruchomić.
Wejdź na dyski za pomocą kliknięcia na nich prawym klawiszem myszy i wybrania z menu pozycji “Otwórz”. Otwierając w ten sposób każdy dysk usuń pliki:
C:\Autorun.INF
D:\Autorun.INF
E:\Autorun.INF
Opróżnij kosz systemowy jeżeli masz w nim jakieś śmieci. Daj koniecznie ten log z programu ComboFix.
combofix: http://wklej.org/id/db48743b8c
dziwne bo zrobiłem skan za pomocą ComboFix i po restarcie juz w menu dysku było wszystko normalnie, nie było już tej opcji “Open(0)” ale nadal są skróty na dysku i w menu start. A te pliki i foldery: "Recycled, Recycler System Volume Information, Qoobox też mam usunąć?
Jakie skróty na dysku i Menu start? Z katalogu Autorun usuń ten plik ctfmon.exe (jego dokładna lokalizacja to “C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe”), ma go tam nie być. Jest co cały inicjator tego trojana uruchamiany podczas każdego startu systemu.
O jakie skróty na dysku ci chodzi?
Foldery: Recycler i System Volume Information to foldery systemowe - nie usuwaj ich!
Ojj nie skróty chodziło mi właśnie o te ukryte foldery Recycled, Recycler System Volume Information ale jak mówisz, żeby zostawić to ok.
Umieść program ComboFix.exe na pulpicie. Nie włączaj go. Następnie jeżeli jeszcze nie usnąłeś tego pliku, o który prosiłem z autostartu, to otwórz notatnik w wklej do niego:
File::
C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe
C:\WINDOWS\pss\ctfmon.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Jeżeli ten plik już z autostartu usunąłeś ręcznie to wtedy do notatnika wklej:
File::
C:\WINDOWS\pss\ctfmon.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik zapisz jako: CFScript.txt - zapisz go na pulpicie, tak aby ikonka pliku była obok ikonki programu ComboFix.exe
Następnie przeciągnij ikonkę CFScript.txt i upuść ją na ikonkę ComboFix.exe , tak jak to wygląda na rysunku poniżej:
Pokaż log z procesu usuwania. Wyłącz przywracanie systemu, usuwając wszystkie punkty przywracania systemu (jeżeli jakieś pozostały). Wykonaj restart komputera. Daj na nowo logi z Hijack This i ComboFix.
Jeżeli wszystko będzie ok, możesz usunąć katalog C:\Qoobox i włączyć przywracanie systemu.
Pozdrawiam.
Jeszcze nie wszystko usunięte. Fałszywy cftmon.exe nie jest w ogóle kasowany. Już chyba wiem czemu, zapomniałem że ten wirus tworzy podróbki kosza (o nazwie “recycled” i w nich trzyma swoją kopię) na każdym zainfekowanym dysku. Wypnij wszystkie podpięte pendrive’y, karty pamięci, czytniki kart itp.
File::
C:\Documents and Settings\KRZYSIEK\Menu Start\Programy\Autostart\ctfmon.exe
C:\WINDOWS\pss\ctfmon.exe
Folder::
C:\recycled
D:\recycled
E:\recycled
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^KRZYSIEK^Menu Start^Programy^Autostart^ctfmon.exe]
Wklejasz do notatnika, zapisujesz pod taką samą nazwą jak wcześniej. Upuszczasz zapisany plik na ikonkę ComboFix. Dajesz log z procesu usuwania ComboFix. Powinno być teraz OK.
daj log kontrolny z Combofix
Problem wystąpił także na dysku G (przenośnym). Zrobiłem wszystko od początku, dodałem też do CFScript G:\Recycled i oto końcowy log: http://www.wklej.org/id/f977bdfd3b
otwórz notatnik i wklej
zapisz jako typ wszystkie pliki i pod nazwą plik.reg
Uruchom ten plik, uruchom ponownie komputer