Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nie mogę wejść na partycje

stup 31 Mar 2009 12:55 2915 9
  • #1 31 Mar 2009 12:55
    stup
    Poziom 8  

    Mam takowy problem próbowałem wszystkich metod podanych w tym poście ( https://www.elektroda.pl/rtvforum/topic856401.html ), program PRT.exe mój anty wir wykrywa jako podejrzany. Zaczeło się to od podłączenia pendrive'a od znajomego:
    2009-03-29 16:15:21 Ochrona systemu plików w czasie rzeczywistym plik K:\explorer.exe Win32/VB.NHZ robak wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: K:\0bcobed.exe



    Dzień pozniej:

    2009-03-30 20:59:38 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\system32\nmdfgds0.dll Win32/PSW.OnLineGames.NMP koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe.
    2009-03-30 20:57:38 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\system32\nmdfgds0.dll Win32/PSW.OnLineGames.NMP koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: C:\WINDOWS\system32\SNDVOL32.EXE.
    2009-03-30 20:57:32 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\system32\nmdfgds0.dll Win32/PSW.OnLineGames.NMP koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: C:\WINDOWS\system32\SNDVOL32.EXE.
    2009-03-30 20:57:05 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL Win32/PSW.OnLineGames.NMP koń trojański wyleczony przez usunięcie (po następnym uruchomieniu) - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\Explorer.EXE.
    2009-03-30 18:01:34 Ochrona systemu plików w czasie rzeczywistym plik C:\WINDOWS\system32\olhrwef.exe Win32/PSW.OnLineGames.NMY koń trojański wyleczony przez usunięcie - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\Explorer.EXE.


    od tego momentu nie mogę normalnie wejśc na dyski jedynie za pomocą eksploruj, przeskanowałem raz jeszcze NOD'em, SpyWareDoctor'em, RegCure oraz RegistryBooster'em, sporo mi syfu pousuwało i dalej nic. Wyłączyłem wszystkie podejżane aplikacje w autorun'ie min znalazł się tam proces C:\WINDOWS\system32\olhrwef.exe który oczywiście jak to widać wcześniej został usunięty przez antyvira (NOD32) po sprawdzeniu zawartości folderu system32 nie znalazłem tego pliku, próbowałem wszelkich metod lecz bez skutku. Proszę o pomoc i z góry dziękuje za wszelkie pomocne informacje.

    0 9
  • #3 31 Mar 2009 15:21
    stup
    Poziom 8  

    Nie wiem czemu wcześniej nie byłem pewny użycia programu ComboFix, lecz dzięki Tobie Mery84 nabrałem pewności, po przeczytaniu Twego posta naprawdę pomógł i wystarczył do tego tylko ComboFix. w załączniku podsyłam loga i jeszcze jedno pytanko, jak można się przed tego typu robalami uchronić skoro anty-vir (w moim przypadku NOD32) nie był sobie w stanie poradzić na tyle by nie dopuścić jego do moich partycji ? Rozumiem że przyczyną było podłączenie zainfekowanego pendrive'a.

    0
  • #4 31 Mar 2009 15:35
    Kolobos
    Spec od komputerów

    Wpisz w uruchom: sc delete XDva190
    Zrob to samo: https://www.elektroda.pl/rtvforum/topic1273665.html
    tylko uzyj takiego fix.reg:
    REGEDIT4

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30ef890a-dc84-11dd-b7e6-806d6172696f}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9528ddfc-dc60-11dd-8540-002215a17d23}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c82b62a1-dc44-11dd-853c-af22023aa4d1}]

    0
  • #5 31 Mar 2009 17:10
    stup
    Poziom 8  

    Nie jestem biegły w tych sprawach; wpisałem w uruchom: sc delete XDva190, następnie znalazłem te rejestry za pomocą uruchom>regedit> lecz co i jak mam dalej zrobić ? Na jednym z for po zapytaniu się o mój problem polecono mi "usuń ten klucz z rejestru i zresetuj kompa [{HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2/}]"
    Więc jak już znalazłem te rejestry wymienione przez Kolobos'a co powinienem z nimi zrobić ? Nie rozumiem "uzyj takiego fix.reg:
    REGEDIT4 ".

    0
  • #6 31 Mar 2009 17:13
    mat_ed
    Poziom 43  

    Cytat:
    ...Nie rozumiem "uzyj takiego fix.reg:
    REGEDIT4 ".

    Wklej do notatnika to co podał Kolobos i zapisz jako plik fix.reg

    0
  • #7 31 Mar 2009 17:19
    Kolobos
    Spec od komputerów

    Wklejasz do notatnika:
    REGEDIT4

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30ef890a-dc84-11dd-b7e6-806d6172696f}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9528ddfc-dc60-11dd-8540-002215a17d23}]

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c82b62a1-dc44-11dd-853c-af22023aa4d1}]

    Zapisujesz jako fix.reg i uruchamiasz.

    0
  • #8 31 Mar 2009 17:36
    stup
    Poziom 8  

    Dziękuję, i ostatnie pytanko czy ten fix.reg muszę mieć gdzieś na dysku zapisany czy po jego uruchomieniu można go swobodnie usunąć ?

    0
  • Pomocny post
    #9 31 Mar 2009 17:41
    Kolobos
    Spec od komputerów

    Usun.

    0
  • #10 31 Mar 2009 21:18
    stup
    Poziom 8  

    Wielkie dzięki dla was Panowie i pełen szacunek .

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo