Problem z wirusem z pendrive'a

0

Witam.
Mam następujący problem:
po włożeniu pendrive'a Kingston DTI i otworzeniu jego ArcaVir wykrył wirusa na nim: 'H:/copy.exe'. Dzień wcześniej używałem innego pendrive'a też Kingston DTI, który różnił się jedynie pojemnością i antywirus wykrył tego samego wirusa na nim, dlatego za drugim razem zignorowałem go i wyłączyłem antywira (miałem już wcześniej przypadki że np. napisałem prosty program w DevC++ i nie mogłem go uruchomić bo ArcaVir brał go za wirusa). Później, jak juz włączyłem antywirusa wykrywał on te same pliki 'copy.exe' na partycjach dysku twardego a także 'C:\WINDOWS\svchost.exe'. Pousuwałem je włączyłem skanowanie dysku, znalazły się jeszcze wirusy:

  • C:\WINDOWS\system32\temp1.exe<MEW>:temp1.exe;Trojan.Agent,
  • C:\WINDOWS\system32\temp2.exe;Trojan.Small.Lo,
  • D:\host.exe;Trojan.Dropper.Small.Apl. Oczywiście zostały usunięte.
    Teraz, jak chce otworzyć jakąś partycje, wywala mi błąd 'System Windows nie może odnaleźć pliku 'copy.exe'. Upewnij się żę podana nazwa jest poprawna.......'. Mogę jednak otworzyć bezpośrednio jakiś katalog na dysku, i z niego przejść do dysku. Dodatkowo, jeszcze przed usunięciem wykrytych plików, co chwila zaświecała mi się dioda stacji dyskietek.
    Czy da się jakoś to naprawić czy konieczna będzie reinstalacja systemu?
    Proszę o pomoc.
0

Na partycjach dysku twardego Ci się tak dzieje? Hm dziwne do tego jeszcze u mnie nie doszło :P Ale copy.exe to już kilka razy przerabiałem ;) Musisz znaleźć plik w którym przechowywane są informacje o autostarcie, bo to tam jest polecenie uruchomienia copy.exe który to kopiuje wirusa, a ponieważ antywir już go skasował to system nie potrafi odnaleźć aplikacji i wywala błąd. ;P

0

W C:\autorun.inf jest:
[autorun]
Shellexecute=copy.exe
chciałem to usunąć ale przy próbie zapisu wywala 'Nie można utworzyć pliku C:\autorun.inf. Upewnij, się czy ścieżka i nazwa pliku są poprawne'

0

Odpal Windowsa w trybie awaryjnym (tak na wszelki wypadek), potem sprobuj skasowac. Jesli nie bedzie pozwalalo to odpal jakiegos linuxa z LiveCD i wywal plik.
Oczywiscie nie zapomnij pokasowac pliki autorun.inf na wszystkich dyskach (w tym na pendrive).

0

Usunąłem pliki autorun.inf z partycji i utworzyłem nowe puste pliki autorun.inf. Dwie partycje normalnie się otwierają trzecia dalej tak samo.
Przeszukałem rejestr, czy jest tam coś z 'copy.exe'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2db356b5-d4e0-11dc-921e-806d6172696f}\Shell\AutoRun\command - nazwa (Domyślna) - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKEY_USERS\S-1-5-21-527237240-1060284298-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2db356b5-d4e0-11dc-921e-806d6172696f}\Shell\AutoRun\command - nazwa (Domyślna) - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

Pousuwać całe wpisy czy tylko zmodyfikować wartość(usunąć 'copy.exe')?

0

i utworzyłem nowe puste pliki autorun.inf.

A po jakiego grzyba?

0

Czyli mam rozumieć że te pliki są niepotrzebne? utworzone przez tego wirusa?
Myślałem, że to pliki systemowe a wirus tylko je zmodyfikował.

0

Lepiej je zostaw gdzieś przeczytałem że to nie pozwala utworzyć nowych przez wirusy, chociaż nie wiem na ile to prawda IMO mało prawdobne, ale w niczm nie szkodzi ;) Ustaw go jako tylko do odczytu jeszcze ;)

0

@zawirusowany:
(rejestr) poUsuwac ]:->

0

Dzięki za pomoc.
Problem rozwiązany.

1 użytkowników online, w tym zalogowanych: 0, gości: 1