Že by chyba systému souborů? Nebo vir?

okna se mají otevírat ve stejném okně a ne v novém

To je blbost. Záleží na tom, jak se to nastaví.

Můžeš zkusit ShellExView. To by mělo ukázat, k čemu to klikihákové kontextové menu patří.

Jasně, to vím, že se to nastavuje v Možnostech složky. Co je ShellExView?
No flashku jsem již zformátoval, tak k němu asi zajdu znovu.

tvůj kámoš by si měl konečně odvirovat pc.
ty se podívej zda nemáš v rootu flashky soubor autorun.inf

Problém je v tom, že jsem na celém jeho disku smazal oddíly a vytvořil jeden velký, zformátoval, pak jsem opět přerozdělil a vše běželo jak má... ovšem jenom prvních 5 minut, pak se to zase podělalo. Do rootu flashky se podívám. Ale první si musím jít flashku znovu zavirovat

Ale první si musím jít flashku znovu zavirovat

třeba už je.
možnosti jsou buď divný autorun, nebo pro případ startu z flashky zavirovaný bootsektor.

vše běželo jak má... ovšem jenom prvních 5 minut

než si tam ten blbec doinstaloval své oblíbené kradené/zavirované aplikace.

Jo ale většinu věcí co má on mám nainstalované i já a problém nemám. Nevím na kolik na to má vliv to, že nepoužívám účet Správce, ale klasický neprivilegovaný účet.
Boot sektor se vytváří celý znovu při formátu, tak není důvod, aby ta flashka byla pořád zavirovaná. Na té nezformátované flashce ani vir není (teda podle aktualizovaného NOD 32).
Další zajímavá věc je, že mu to disk C: nedělá, ten je v pořádku.

Tak jsem donesl flasku od kámoše a mě už to neblbne, u něho to ale blblo.
Zobrazil jsem skryté soubory a našel jsem tohle (btw. přesně jak jsi říkal):
autorun.inf
vsttfnv.exe

V autorun.inf je toto:
[AutoRun]
open=vsttfnv.exe
shell\open=´ňżŞ(&O)
shell\open\Command=vsttfnv.exe
shell\open\Default=1
shell\explore=×ĘÔ´ąÜŔíĆ÷(&X)
shell\explore\Command=vsttfnv.exe

To asi vysvětluje vše. Teď mi ale řekni: co je tohle za bordel? U kámoše nejdou ani zobrazit skryté soubory, jinak se mu systém chová zcela správně. Je to vir? Kde k takovému bordelu mohl dojít?

Přikládám i ten soubor, můžeš si jej stáhnout a zantivirovat.
Odstránený škodlivý súbor. (los)

Díky

Nechapu co mas za Noda, nod to okamzite oznaci jako vir a symantec taky. Projed si ten soubor na virustotal.com a uvidis hned co mas doma. Jen nechapu, ze to u tebe Nod nevidi, nemas nejakyho cracklyho?

Výsledek testování:

a-squared 4.0.0.73 2008.12.30 Worm.Win32.Delf!IK
AhnLab-V3 2008.12.30.2 2008.12.30 Win-Trojan/Agent.65584
AntiVir 7.9.0.45 2008.12.30 TR/Dldr.Delphi.Gen
Authentium 5.1.0.4 2008.12.29 W32/AutoRun.B.gen!Eldorado
Avast 4.8.1281.0 2008.12.29 Win32:Agent-SIM
AVG 8.0.0.199 2008.12.29 Downloader.Agent.TRH
BitDefender 7.2 2008.12.30 Generic.Malware.SP!g.CAD6F4AE
CAT-QuickHeal 10.00 2008.12.30 -
ClamAV 0.94.1 2008.12.30 Trojan.Delf-818
Comodo 837 2008.12.29 -
DrWeb 4.44.0.09170 2008.12.30 Win32.HLLW.Autoruner.303
eSafe 7.0.17.0 2008.12.28 -
eTrust-Vet 31.6.6281 2008.12.29 Win32/Mocmex.DF
Ewido 4.0 2008.12.30 Downloader.Agent.dpi
F-Prot 4.4.4.56 2008.12.29 W32/AutoRun.B.gen!Eldorado
F-Secure 8.0.14470.0 2008.12.30 Trojan-Downloader.Win32.Agent.dpi
Fortinet 3.117.0.0 2008.12.30 W32/SillyFDC.AS!tr.dldr
GData 19 2008.12.30 Generic.Malware.SP!g.CAD6F4AE
Ikarus T3.1.1.45.0 2008.12.30 Worm.Win32.Delf
K7AntiVirus 7.10.569 2008.12.29 Trojan.Win32.AutoRun.al
Kaspersky 7.0.0.125 2008.12.30 Trojan-Downloader.Win32.Agent.dpi
McAfee 5478 2008.12.29 -
McAfee+Artemis 5478 2008.12.29 Generic!Artemis
Microsoft 1.4205 2008.12.30 Worm:Win32/Mocmex.gen!A
NOD32 3723 2008.12.30 a variant of Win32/Delf.NDF
Norman 5.80.02 2008.12.29 W32/Agent.CSAS
Panda 9.0.0.4 2008.12.29 Trj/Maran.CG
PCTools 4.4.2.0 2008.12.29 Trojan.DL.Agent.WPC
Prevx1 V2 2008.12.30 Cloaked Malware
Rising 21.10.12.00 2008.12.30 Worm.Win32.AVKiller.e
SecureWeb-Gateway 6.7.6 2008.12.30 Trojan.Dldr.Delphi.Gen
Sophos 4.37.0 2008.12.30 W32/SillyFDC-AS
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Agent.dpi
Symantec 10 2008.12.30 W32.Dotex
TheHacker 6.3.1.4.202 2008.12.30 Trojan/Downloader.Agent.dpi
TrendMicro 8.700.0.1004 2008.12.30 TROJ_AGENT.ADEH
VBA32 3.12.8.10 2008.12.30 Trojan-Downloader.Win32.Agent.dpi
ViRobot 2008.12.30.1540 2008.12.30 Trojan.Win32.Downloader.65229
VirusBuster 4.5.11.0 2008.12.29 Trojan.DL.Agent.WPC

Výsledek pro autorun.inf:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.0.0.73 2008.12.30 -
AhnLab-V3 2008.12.30.2 2008.12.30 -
AntiVir 7.9.0.45 2008.12.30 -
Authentium 5.1.0.4 2008.12.29 -
Avast 4.8.1281.0 2008.12.29 -
AVG 8.0.0.199 2008.12.29 -
BitDefender 7.2 2008.12.30 -
CAT-QuickHeal 10.00 2008.12.30 -
ClamAV 0.94.1 2008.12.30 -
Comodo 837 2008.12.29 -
DrWeb 4.44.0.09170 2008.12.30 -
eSafe 7.0.17.0 2008.12.28 -
eTrust-Vet 31.6.6281 2008.12.29 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.29 -
F-Secure 8.0.14470.0 2008.12.30 BAT/AutoRun.AE
Fortinet 3.117.0.0 2008.12.30 -
GData 19 2008.12.30 -
Ikarus T3.1.1.45.0 2008.12.30 -
K7AntiVirus 7.10.569 2008.12.29 -
Kaspersky 7.0.0.125 2008.12.30 -
McAfee 5478 2008.12.29 Generic!atr
McAfee+Artemis 5478 2008.12.29 Generic!atr
Microsoft 1.4205 2008.12.30 -
NOD32 3723 2008.12.30 INF/Autorun.gen
Norman 5.80.02 2008.12.29 BAT/AutoRun.AE
Panda 9.0.0.4 2008.12.29 -
PCTools 4.4.2.0 2008.12.29 INF.Autorun.Gen
Prevx1 V2 2008.12.30 -
Rising 21.10.12.00 2008.12.30 -
SecureWeb-Gateway 6.7.6 2008.12.30 -
Sophos 4.37.0 2008.12.30 -
Sunbelt 3.2.1809.2 2008.12.22 INF.Autorun (v)
Symantec 10 2008.12.30 -
TheHacker 6.3.1.4.202 2008.12.30 Trojan/Small.autorun
TrendMicro 8.700.0.1004 2008.12.30 Mal_Otorun1
VBA32 3.12.8.10 2008.12.30 -
ViRobot 2008.12.30.1540 2008.12.30 -
VirusBuster 4.5.11.0 2008.12.29 INF.Autorun.Gen

Jen pro informaci,
online plugin dr.webb ho detekoval v poradně a avira hned po stažení.

V tom případě nechápu, proč ho nedetekoval NOD, když jsem měl aktualizovanou virovou db. Teď ho nainstalovaný nemám, mám přeinstalovaný a nastavený Win, standardně antivir nepoužívám, občas projedu komp akorát přes Ad-Aware a najde mi to stejně jen Tracking cookie: Internet Explorer Browser... (protože přece jednou za čas jsem nucen ten IÁ zapnout pro testování webů)

čili on ať si odviruje pc, a zobrazení skrytých souborů snad dokáže nastavit. taky ať si zakáže skrývání přípon souborů, ať vidí na co kliká.

zavirovaný bootsektor flashky by se uplatnil jen při startu, ale i na to může virus spoléhat - antivir by to měl zkontrolovat.

zásadně mám vždy vypnutý autorun, nestojím o žádné viry a rootkity.

REGEDIT4

; Tyto upravy jdou automaticky odkliknout (soubor ulozit jako *.reg)

; Neskryvat pripony znamych souboru - pro aktualniho uzivatele 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000000

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Nastavení autorunu mám přesně jako ty, taky jsem zastáncem toho, že si ty ochcávky spustím raděj sám, než aby se mi vsíraly samy.

Zobrazení skrytých souborů je fajn, ale když jsem to včera u něj nastavoval, nic se nezobrazilo. Poté jsem to chtěl nastavit zpět, ať skryté soubory opět skryju a .... bylo to nastaveno na "nezobrazovat skryté soubory". Opět jsem je nastavil na "zobrazit skryté soubory" a dal jsem OK... žádné se nezobrazily. Podívám se zpět na nastavení a bylo tam opět "nezobrazovat skryté soubory". Tak to je celkem sranda když to nejde nastavit.

to bych chápal, administrátorem je tam dávno někdo jiný než ten známý, a je takový binární :)

bude mít odepřené zobrazení někde v policies. může zkusit kromě odvirování a odspywarování založit nový účet správce, jak to bude u něj vypadat - ale mám neblahý dojem, že policies se šmahem aplikují na všechny uživatele a nepomůže si.

flashku lze přeformátovat na ntfs, má to smysl kvůli větším souborům. ale hned to začne dědit přístupová práva, což je celkem k zlosti - u různých pc mám různá nebo žádná práva, a nejspíš i když flashku donutím na jednom pc zapisovat, jinde se nechytám, nezbývá než nastavit everyone.

Jo tak to takových administrátorů pamatuju, kolem roku 2002-2003 jich tu bylo mraky, než se lidi naučili pracovat s XP...a než mrkvosoft opravil pár dementních chyb v systému.

Na to já kašlu, první to projedu NODem a pak se budu zajímat o to, co dál. Dám ještě dneska vědět, jak jsem tam dopadl.

Ale nechápu, kde on tenhle vir sebral, když není připojený k netu. Já tenhle vir nemám a jsem online neustále. Je pravda, že není připojen k netu, a tak používá účet správce, ale stejně i já musím instalovat programy jako správce, user je většinou nenainstaluje.

Tak jsem to tam přejel novým NODem, který jsem stáhl přímo z eset.cz, a našlo infekci na disku D: i na flashce, kterou jsem zrovna připojil, ty jsem vyléčil, a pak jsem ještě projel celé PC, našlo a vyléčilo to jednu infekci.

Poté jsem zkoušel otevřít disk D: a flashku - vypisovalo to, že mám vybrat program, kterých chci disk otevřít. Nainstaloval jsem tedy Total Commander (protože skryté soubory stále nešlo zobrazit) a v něm jsem smazal skryté autorun.inf na disku D: i na flashce. Teď to jede, jen ty skryté soubory nejdou zobrazit.

Takže asi tak nějak...

Myslím, že bude nejlepší ten komp ještě přeinstalovat a pak zálohovat systém přes Acronis a postupně instalovat programy a hry co tam kámoš má... až se přijde na to, v čem ta potvora je.

Stáhnu NOD32 odtud: NOD32_download.htm
Nahraju na Flash, odepřu oprávnění k zapisování na flash pro všechny uživatele a donesu to k němu, nainstaluju, pak se ozvu jak to dopadlo.

Edit: Hmm, tak vlastně žádné práva neodepřu, flashka není na NTFS, ale FAT32.

Zdravím, hledal jsem něco úplně jiného a náhodou jsem narazil na tuhle starou diskusi. Tak jen okomentuji jeden fakt. Přestože na VirusTotal.com je vámi uvedený AutoRun označen jako Trojan.Autorun, tak například Microsoft Security Essentials se uvedeným Autorun-em dodnes nezabývá a zabývá se až volaným vsttfnv.exe který označuje za červa - Worm:Win32/Mocmex.gen!A (známý od 2008-IV-03 .. mě se to dnes, v roce 2011, kecá co )