Brak mozliwosci otwierania dysku C: i D: z poziomu eksplorera
Witajcie!
Wczora Avast wykryl mi jaks zyjatko i chyba sie zbyt zapedzil z usuwaniem plikow ;)
Po restarcie komputera okazalo sie,ze zniknely mi zakladki w firefoxie (z tym juz sobe poaradzilem) no i nie moge "otwierac" dyskow.
Tzn. po dwukrotnym kliknieciu w ikonke "D:" w "Moj komputer" pokazuje sie okienka "Otworz za pomoca..." i lista programow. Jak sobie manualnie wybiore explorer.exe albo ie to otwiera dysk i pewnie mozna by tak robic, ale.... okienko w ktorym zaznacza sie "ptaszka" przy "Zawsze uzywaj wybranego programu do otwierania tego typu plikow" jest nieaktywne.
Nawigacja np. za pomoca LeapFTP dziala bez problemu.
Avast z katalogu glownego obu dyskow usunal plik v.cmd
Ponizej log:
[quote]2008-03-17 19:21:59 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file.
2008-03-17 19:22:10 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:23:10 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file.
2008-03-17 19:23:21 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:23:51 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file.
2008-03-17 19:24:00 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:24:09 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file.
2008-03-17 19:24:12 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file.
2008-03-17 19:24:16 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file.
2008-03-17 19:24:20 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file.
2008-03-17 19:24:31 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file.
2008-03-17 19:24:35 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:25:08 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file.
2008-03-17 19:25:15 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:27:10 SYSTEM 1576 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo.exe" file.
2008-03-17 19:29:09 SYSTEM 1576 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file.
2008-03-17 19:29:41 Admin 1784 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\System Volume Information\_restore{C6E9CAD9-17DF-469C-9EDE-93F8095D1167}\RP45\A0037052.cmd" file.
2008-03-17 19:29:47 Admin 1784 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\System Volume Information\_restore{C6E9CAD9-17DF-469C-9EDE-93F8095D1167}\RP45\A0037113.cmd" file. [/quote]
Jak to naprawic? :S
Odpowiedzi: 6
Log wygląda OK.
Combofix skasował pliki autorun.inf
Ja też miałem problem, oto mój log, proszę o rady i info czy wszystko jest wporządku
ComboFix 08-03-18.1 - Dom 2008-03-19 19:24:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.159 [GMT 1:00]
Running from: C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\NSJ1ZZQY\ComboFix[1].exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-02-19 to 2008-03-19 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 18:12 --------- d-----w C:\Documents and Settings\Dom\Dane aplikacji\Skype
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44 15360]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2004-12-21 19:44 770048]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-01-29 15:36 25370152]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 10:06 700416]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 19:37 171448]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 18:04 139264]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 16:36 90112]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-06-30 15:56 2376928]
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40 155648]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\AutostartColor Calibration.lnk - C:\Program Files\SEC\MagicTune3.6_Client_pivot\GammaTray.exe [2006-06-13 14:02:00 36864]
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe [2006-06-13 16:01:41 946247]
MagicTune3.6.lnk - C:\Program Files\SEC\MagicTune3.6_Client_pivot\MagicTuneTray.exe [2006-06-13 14:02:10 45056]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\eMule\\emule.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 19:25:45
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\Gadu-Gadu\ggwhook.dll
.
Completion time: 2008-03-19 19:26:16
ComboFix-quarantined-files.txt 2008-03-19 18:26:13
.
2008-03-18 20:31:05 --- E O F ---
Dzieki za cenne rady. Biore sobie je do serca. :)
Skasuj klucz HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 - otworzy się sam w razie potrzeby.
Wyczyść punkty przywracania systemu - wyłaczając i właczając przywracanie systemu. Choć Ty możesz ręcznie nawet wyczyścić zawartość folderu System Volume Information - nawet uprawnień nie musisz nadawać sobie (bo fat masz)
I warto by było zainteresować się pendrivami, które wtykasz do siebie bo na nich prawdopodobnie dalej lezy syf. Jeżeli to Twoje pendrivy to wyłacz autoodtwarzanie (np TweakUI -> my computer -> autoplay i tam poodznaczać opcje) i zaglądnij na nie - pliki autorun.inf obejrzyj bo one sa przyczyną takiego stanu rzeczy. Do kasacji właśnie autorun.inf i plik wymieniony w tym pliku autorun.inf (np v.cmd)
Ale tez uważaj bo nie wszystkie pliki autorun.inf i te wymienione w nich pliki są złe - np w logu widzę
G:\USBNB.exe
I to jest OK. Ani plik exe ani autorun.inf nie powinny zostać usunięte bo sa OK.
Ale już
F:\oufddh.exe i F:\v.cmd nie sa dobre - ergo lecą do kosza.
Obok tematu z syfami:
Masz dużo katalogów które są wynikiem działania chkdsk np:
C:\FOUND.012
C:\FOUND.011
C:\FOUND.010
a w których przechowywane są "zgubione" łańcuchy danych i pliki.
Nia masz problemów z tym dyskiem ?? Może warto by było przerzucić się na system plików NTFS który odporniejszy na to wszystko jest ??
Dzieki!
Pomoglo. Niezle narzedzie. :)
To jest log:
[quote]ComboFix 08-03-17.1 - Admin 2008-03-18 9:40:07.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.389 [GMT 1:00]
Running from: C:\Documents and Settings\Admin\Pulpit\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
D:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2008-02-18 to 2008-03-18 )))))))))))))))))))))))))))))))
.
2008-03-17 19:38 . 2008-03-17 19:38 d--hs---- C:\FOUND.012
2008-03-04 10:23 . 2008-03-04 10:23 d--hs---- C:\FOUND.011
2008-03-01 12:31 . 2008-03-01 12:31 d--hs---- C:\FOUND.010
2008-03-01 09:33 . 2008-03-01 09:33 d-------- C:\Documents and Settings\Admin\Dane aplikacji\BESTplayer
2008-02-29 09:47 . 2008-02-29 09:47 d-------- C:\Program Files\Lexmark_HostCD
2008-02-29 09:47 . 2005-07-01 15:27 335,872 --a------ C:\WINDOWS\system32\lexlog.dll
2008-02-29 09:47 . 2008-03-14 10:44 3,565 --a------ C:\WINDOWS\system32\LexFiles.ulf
2008-02-29 09:47 . 2008-03-14 10:44 817 --a------ C:\WINDOWS\system32\LexFiles.usr
2008-02-29 09:47 . 2008-02-29 09:47 507 --a------ C:\WINDOWS\LMABB2DD.ini
2008-02-27 13:47 . 2005-07-01 15:27 131,072 --a------ C:\WINDOWS\system32\LEXDRVX.DLL
2008-02-27 13:47 . 2005-07-01 15:27 106,496 --a------ C:\WINDOWS\system32\LEXCFI.DLL
2008-02-27 13:47 . 2005-07-01 15:27 65,888 --a------ C:\WINDOWS\system32\LMABB2TH.HLP
2008-02-27 13:47 . 2005-07-01 15:27 42,496 --a------ C:\WINDOWS\system32\LMABB2BJ.DLL
2008-02-23 16:19 . 2008-02-23 16:19 d--hs---- C:\FOUND.009
2008-02-23 10:45 . 2008-02-23 10:45 d--hs---- C:\FOUND.008
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 09:09 8 ----a-w C:\Program Files\names.txt
2007-12-06 09:09 12 ----a-w C:\Program Files\numbers.txt
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 02:24 110592]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-05-31 22:57 573440]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 00:34 16143872 C:\WINDOWS\RTHDCPL.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-26 20:51 761946]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"GCXX-Manager-Class"="C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" [2005-02-01 09:10 811113]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 16:40 155648]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]
C:\DOCUME~1\ALLUSE~1\MENUST~1\Programy\AUTOST~1Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]
R3 dfmirage;dfmirage;C:\WINDOWS\system32\DRIVERS\dfmirage.sys [2005-11-25 17:43]
R3 ZD1211BU(ASUS);ASUS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ASUS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-06-14 18:16]
S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2006-01-24 10:45]
S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS [2006-08-29 16:56]
S3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2005-01-02 23:32]
S3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2005-01-02 23:32]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{199d6b34-c4ed-11dc-a12e-0018f3d9fde0}]
\Shell\AutoRun\command - F:\oufddh.exe
\Shell\explore\Command - F:\oufddh.exe
\Shell\open\Command - F:\oufddh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4693db87-b9db-11dc-a12c-0018f3d9fde0}]
\Shell\AutoRun\command - G:\USBNB.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b8eaeb8-c5b8-11dc-a12f-0018f3d9fde0}]
\Shell\AutoRun\command - F:\v.cmd
\Shell\explore\Command - F:\v.cmd
\Shell\open\Command - F:\v.cmd
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 09:41:42
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\Program Files\Gadu-Gadu\ggwhook.dll
.
Completion time: 2008-03-18 9:42:04
ComboFix-quarantined-files.txt 2008-03-18 08:42:04
.
2007-11-21 22:19:08 --- E O F ---
[/quote]
Skorzystaj z Combofixa - powinien załatwić sprawę.
Jak juz z niego skorzystasz to loga z niego pokaż.
Temat zabieram do Bezpieczeństwa.
Strona 1 / 1