Brak mozliwosci otwierania dysku C: i D: z poziomu eksplorera

Witajcie! Wczora Avast wykryl mi jaks zyjatko i chyba sie zbyt zapedzil z usuwaniem plikow ;) Po restarcie komputera okazalo sie,ze zniknely mi zakladki w firefoxie (z tym juz sobe poaradzilem) no i nie moge "otwierac" dyskow. Tzn. po dwukrotnym kliknieciu w ikonke "D:" w "Moj komputer" pokazuje sie okienka "Otworz za pomoca..." i lista programow. Jak sobie manualnie wybiore explorer.exe albo ie to otwiera dysk i pewnie mozna by tak robic, ale.... okienko w ktorym zaznacza sie "ptaszka" przy "Zawsze uzywaj wybranego programu do otwierania tego typu plikow" jest nieaktywne. Nawigacja np. za pomoca LeapFTP dziala bez problemu. Avast z katalogu glownego obu dyskow usunal plik v.cmd Ponizej log: [quote]2008-03-17 19:21:59 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file. 2008-03-17 19:22:10 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:23:10 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file. 2008-03-17 19:23:21 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:23:51 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file. 2008-03-17 19:24:00 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:24:09 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file. 2008-03-17 19:24:12 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file. 2008-03-17 19:24:16 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file. 2008-03-17 19:24:20 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file. 2008-03-17 19:24:31 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file. 2008-03-17 19:24:35 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:25:08 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\v.cmd" file. 2008-03-17 19:25:15 Admin 1624 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:27:10 SYSTEM 1576 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo.exe" file. 2008-03-17 19:29:09 SYSTEM 1576 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\v.cmd" file. 2008-03-17 19:29:41 Admin 1784 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\System Volume Information\_restore{C6E9CAD9-17DF-469C-9EDE-93F8095D1167}\RP45\A0037052.cmd" file. 2008-03-17 19:29:47 Admin 1784 Sign of "Win32:AuCrypt [Cryp]" has been found in "D:\System Volume Information\_restore{C6E9CAD9-17DF-469C-9EDE-93F8095D1167}\RP45\A0037113.cmd" file. [/quote] Jak to naprawic? :S

Odpowiedzi: 6

Log wygląda OK. Combofix skasował pliki autorun.inf
Żółty
Dodano
19.03.2008 21:43:49
Ja też miałem problem, oto mój log, proszę o rady i info czy wszystko jest wporządku ComboFix 08-03-18.1 - Dom 2008-03-19 19:24:04.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.159 [GMT 1:00] Running from: C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\NSJ1ZZQY\ComboFix[1].exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf D:\Autorun.inf E:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))) . No new files created in this timespan . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-19 18:12 --------- d-----w C:\Documents and Settings\Dom\Dane aplikacji\Skype . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44 15360] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2004-12-21 19:44 770048] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-01-29 15:36 25370152] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 10:06 700416] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 19:37 171448] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 18:04 139264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Smapp"="C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 16:36 90112] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-06-30 15:56 2376928] "REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:44 15360] C:\Documents and Settings\All Users\Menu Start\Programy\AutostartColor Calibration.lnk - C:\Program Files\SEC\MagicTune3.6_Client_pivot\GammaTray.exe [2006-06-13 14:02:00 36864] DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe [2006-06-13 16:01:41 946247] MagicTune3.6.lnk - C:\Program Files\SEC\MagicTune3.6_Client_pivot\MagicTuneTray.exe [2006-06-13 14:02:10 45056] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\eMule\\emule.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Program Files\\Skype\\Phone\\Skype.exe"= . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-19 19:25:45 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Program Files\Gadu-Gadu\ggwhook.dll . Completion time: 2008-03-19 19:26:16 ComboFix-quarantined-files.txt 2008-03-19 18:26:13 . 2008-03-18 20:31:05 --- E O F ---
maszynik
Dodano
19.03.2008 20:33:00
Dzieki za cenne rady. Biore sobie je do serca. :)
WojtekW
Dodano
18.03.2008 12:46:17
Skasuj klucz HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 - otworzy się sam w razie potrzeby. Wyczyść punkty przywracania systemu - wyłaczając i właczając przywracanie systemu. Choć Ty możesz ręcznie nawet wyczyścić zawartość folderu System Volume Information - nawet uprawnień nie musisz nadawać sobie (bo fat masz) I warto by było zainteresować się pendrivami, które wtykasz do siebie bo na nich prawdopodobnie dalej lezy syf. Jeżeli to Twoje pendrivy to wyłacz autoodtwarzanie (np TweakUI -> my computer -> autoplay i tam poodznaczać opcje) i zaglądnij na nie - pliki autorun.inf obejrzyj bo one sa przyczyną takiego stanu rzeczy. Do kasacji właśnie autorun.inf i plik wymieniony w tym pliku autorun.inf (np v.cmd) Ale tez uważaj bo nie wszystkie pliki autorun.inf i te wymienione w nich pliki są złe - np w logu widzę G:\USBNB.exe I to jest OK. Ani plik exe ani autorun.inf nie powinny zostać usunięte bo sa OK. Ale już F:\oufddh.exe i F:\v.cmd nie sa dobre - ergo lecą do kosza. Obok tematu z syfami: Masz dużo katalogów które są wynikiem działania chkdsk np: C:\FOUND.012 C:\FOUND.011 C:\FOUND.010 a w których przechowywane są "zgubione" łańcuchy danych i pliki. Nia masz problemów z tym dyskiem ?? Może warto by było przerzucić się na system plików NTFS który odporniejszy na to wszystko jest ??
Żółty
Dodano
18.03.2008 11:00:37
Dzieki! Pomoglo. Niezle narzedzie. :) To jest log: [quote]ComboFix 08-03-17.1 - Admin 2008-03-18 9:40:07.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.389 [GMT 1:00] Running from: C:\Documents and Settings\Admin\Pulpit\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf D:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2008-02-18 to 2008-03-18 ))))))))))))))))))))))))))))))) . 2008-03-17 19:38 . 2008-03-17 19:38 d--hs---- C:\FOUND.012 2008-03-04 10:23 . 2008-03-04 10:23 d--hs---- C:\FOUND.011 2008-03-01 12:31 . 2008-03-01 12:31 d--hs---- C:\FOUND.010 2008-03-01 09:33 . 2008-03-01 09:33 d-------- C:\Documents and Settings\Admin\Dane aplikacji\BESTplayer 2008-02-29 09:47 . 2008-02-29 09:47 d-------- C:\Program Files\Lexmark_HostCD 2008-02-29 09:47 . 2005-07-01 15:27 335,872 --a------ C:\WINDOWS\system32\lexlog.dll 2008-02-29 09:47 . 2008-03-14 10:44 3,565 --a------ C:\WINDOWS\system32\LexFiles.ulf 2008-02-29 09:47 . 2008-03-14 10:44 817 --a------ C:\WINDOWS\system32\LexFiles.usr 2008-02-29 09:47 . 2008-02-29 09:47 507 --a------ C:\WINDOWS\LMABB2DD.ini 2008-02-27 13:47 . 2005-07-01 15:27 131,072 --a------ C:\WINDOWS\system32\LEXDRVX.DLL 2008-02-27 13:47 . 2005-07-01 15:27 106,496 --a------ C:\WINDOWS\system32\LEXCFI.DLL 2008-02-27 13:47 . 2005-07-01 15:27 65,888 --a------ C:\WINDOWS\system32\LMABB2TH.HLP 2008-02-27 13:47 . 2005-07-01 15:27 42,496 --a------ C:\WINDOWS\system32\LMABB2BJ.DLL 2008-02-23 16:19 . 2008-02-23 16:19 d--hs---- C:\FOUND.009 2008-02-23 10:45 . 2008-02-23 10:45 d--hs---- C:\FOUND.008 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-06 09:09 8 ----a-w C:\Program Files\names.txt 2007-12-06 09:09 12 ----a-w C:\Program Files\numbers.txt . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 02:24 110592] "SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-05-31 22:57 573440] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 00:34 16143872 C:\WINDOWS\RTHDCPL.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-26 20:51 761946] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "GCXX-Manager-Class"="C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" [2005-02-01 09:10 811113] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 16:40 155648] "ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-17 07:15 221184] "ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920] "PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896] C:\DOCUME~1\ALLUSE~1\MENUST~1\Programy\AUTOST~1Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\uTorrent\\utorrent.exe"= "C:\\Program Files\\Skype\\Phone\\Skype.exe"= R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54] R3 dfmirage;dfmirage;C:\WINDOWS\system32\DRIVERS\dfmirage.sys [2005-11-25 17:43] R3 ZD1211BU(ASUS);ASUS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ASUS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2006-06-14 18:16] S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2006-01-24 10:45] S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS [2006-08-29 16:56] S3 SEMWModem;Sony Ericsson SEMWModem;C:\WINDOWS\system32\DRIVERS\GCXX.sys [2005-01-02 23:32] S3 SEMWWNIC;Sony Ericsson SEMWWNIC;C:\WINDOWS\system32\DRIVERS\GCXXNet.sys [2005-01-02 23:32] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{199d6b34-c4ed-11dc-a12e-0018f3d9fde0}] \Shell\AutoRun\command - F:\oufddh.exe \Shell\explore\Command - F:\oufddh.exe \Shell\open\Command - F:\oufddh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4693db87-b9db-11dc-a12c-0018f3d9fde0}] \Shell\AutoRun\command - G:\USBNB.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b8eaeb8-c5b8-11dc-a12f-0018f3d9fde0}] \Shell\AutoRun\command - F:\v.cmd \Shell\explore\Command - F:\v.cmd \Shell\open\Command - F:\v.cmd . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-18 09:41:42 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\Program Files\Gadu-Gadu\ggwhook.dll . Completion time: 2008-03-18 9:42:04 ComboFix-quarantined-files.txt 2008-03-18 08:42:04 . 2007-11-21 22:19:08 --- E O F --- [/quote]
WojtekW
Dodano
18.03.2008 10:44:41
Skorzystaj z Combofixa - powinien załatwić sprawę. Jak juz z niego skorzystasz to loga z niego pokaż. Temat zabieram do Bezpieczeństwa.
Żółty
Dodano
18.03.2008 10:26:01
WojtekW
Dodano:
18.03.2008 10:24:53
Komentarzy:
6
Strona 1 / 1