Nefunkcne open adresara, explore ide
XP SP2
Tipujem, ze pc poskodene virusom.
Nefunguje open cecka, decka, open na ine adresare ide. Explore funguje aj na c: aj na d:.
Tipujem, ze nieco ja nahooknute pri pokuse otvorit c a d cez explorer.exe(?). Vlastne si neviem spomenut, ktory soft obsluhuje dvojklik a kde by som pripadny hook mal v registroch hladat.
Nejde ani obnovenie systemu, vyberiem bod obnovy, kliknem na dalsi a nic sa nedeje. To iste v nudzovom.
Zkus tady: file_assoc.htm Alespoň jsou tam CLSID na directory.
a v rootu disků by se mohl povalovat autorun.inf, pro jistotu by neškodilo zkontrolovat. nejlépe použít normálního správce souborů.
Je dik toto ma nakoplo. Je tam samozrejme autorun, ktory obnovuje nejaka aplikacia tak sa snazim zistit, ze ktora.
no vir :) tusim ten resycled :) (hladanie) Zabit by ho mal vediet ComboFix tusim (neviem, cital som)
Yak to bol nakoniec rootkit. Preto ho nezachytil antivir. Ale combofix vyzera na solidny nastroj a zachytil podla vsetkeho uz vsetok sajrajt.
Inak proces, ktory daval pozor a obnovoval vymazane autoruny som odstranil a napriek tomu mali este nejake zalozne riesenie, asi hooknute na explorer.exe aj ked v registrch som nic nevidel.
vzdy je dobre napisat presne hlasku alebo pozriet co sa pise v EventViewer - eventvwr.msc
ev som pozrel, nic podozrive tam nevidim...da sa nejako zistit, ktora aplikacia vytvorila autorun.inf?
to sa standardne neda, jedine si spustit process monitor - http://technet.microsoft.com/en-us/sysinternals/bb 896645.aspx a dat vyhladat ktora aplikacia vytvara autorun.inf. samozrejme musi ho vytvorit vtedy ked bezi process monitor. napr. skus ho vymazat a ak sa znovu vytvori, tak dokazes identifikovat ktora aplikacia to ma na starosti.
tu je screen:
Má enable boot logging. Mohl by to zachytit při startu.