Problem z otwieraniem dysków.
mstxx - 26 Mar 2008 19:36
Witam mam problem z dostępem do dysków podczas próby otwarcia wyskakuje okienko żebym wybrał za pomocą jakiego programu komputer ma to zrobić...problem zaczął sie po usunięciu przez avasta wirusów które zaatakowały system...załączam logi z hijacka i combofixa...z góry dziękuję za pomoc.
Kolobos - 26 Mar 2008 19:46
Podlacz to co mialo litery G, I, J. Utworz na pulpicie plik CFScript.txt, wklej do niego:
File::
G:\i.exe
G:\b.com
G:\autorun.inf
G:\uisvkqr.exe
I:\b.com
I:\autorun.inf
I:\uisvkqr.exe
J:\uisvkqr.exe
J:\autorun.inf
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a75164d1-f9db-11dc-b3ce-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a30-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a31-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a32-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa0-e913-11dc-b3a5-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa3-e913-11dc-b3a5-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa6-e913-11dc-b3a5-0008026cf1ab}]
Zapisz go i przeciagnij na ikone combofix.exe, po wykonaniu daj log.
mstxx - 26 Mar 2008 20:37
Chyba pomogło...dyski sie otwierały juz po użyciu combofixa...załączam loga
Kolobos - 26 Mar 2008 20:43
Plik mial zla nazwe CFScript.txt.txt i zapewne sie nie wykonal z tego co widze.
Utworz jeszcze raz plik CFScript.txt (jak masz problem z nazwami plikow to w opcjach folderow wlacz pokazywanie rozszerzen), wklej do niego to co podalem wczesniej, zapisz i przeciagnij go na ikone combofix.exe.
mstxx - 26 Mar 2008 20:58
Teraz powinno byc ok..
Kolobos - 26 Mar 2008 21:02
Znowu sie nie wykonalo.
Wklej do notatnika:
REGEDIT4
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a75164d1-f9db-11dc-b3ce-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a30-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a31-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a61a32-ea8e-11dc-b3a8-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa0-e913-11dc-b3a5-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa3-e913-11dc-b3a5-0008026cf1ab}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0990aa6-e913-11dc-b3a5-0008026cf1ab}]
Zapisz jako fix.reg i uruchom.
mstxx - 26 Mar 2008 21:13
Wpisało te dane do rejestru...potem uruchomilem combofixa..załączam loga
Kolobos - 26 Mar 2008 21:21
Juz jest ok.
mstxx - 26 Mar 2008 21:28
Dziękuję za pomoc Kolobos byłbym wdzięczny jeśli poradziłbyś czym ochronic komputer przed takim wirusem aucrypt bo to od niego sie zaczęło avast usunął ponad 140 zainfekowanych plików...a chyba lepszego DARMOWEGO antywirusa nie znalazłem..ten robak chyba krąży w naszej sieci akademickiej ponieważ wszystkie kompy wokół maja podobne objawy..avast nie jest w stanie nie dopuścić do zainfekowania???
Kolobos - 26 Mar 2008 21:40
Mozesz sprobowac zrobic to co jest opisane tutaj:
http://virusanalysts.blogspot.com/2007/11/preventing-autorun-infection.html
Ewentualnie nie podlaczac w ogole pendrive'ow itp urzadzen wtedy unikniesz infekcji.
ZXY - 27 Mar 2008 00:40
Szkoda, że nie widziałem tego tematu wcześniej. Miałem ten sam problem z dyskami. Powód: jakiś wirus HackTool.RootKit z pendrive kolegi. Norton na bieżąco go wykrywał i usuwał w nieskończoność Ot technika. Dopiero dobry format pomógł w moim przypadku. Wreszcie zrozumiałem dlaczego w punkcie ksero u nas na uczelni zaczeli skanować pendrive`y