Jak usunąć autorun.inf z zabezpieczonego pendrive? Log z ComboFix nie pomaga

Wiem że wiele takich tematów już było, ale szukam od tygodnia na wszystkich forach jak usunąć to zabezpieczenie... innym pomysły pomagają mnie nie, ale tak zauważyłem że pomocny jest log z combofixa. Innym plik autorun.inf znajduje on tak u góry loga ale u mnie nie widać. Mniejsza daje log, proszę o szybką rakcje bo pendrive jest służbowy że tak powiem i muszę go wyczyścić anie mogę "dysk jest zabezpieczony przed zapisem:.

WIN+R->del x:\autorun.ini
gdzie x to litera napędu.

Format nie działa?

Rozumiem że mam w wierszu poleceń napisać
E: <enter>
del autorun.ini ?

Jeżeli tak to próbowałem i "ini" i "inf" ale pisze że nie może znaleźć, tak swoją drogą to one są sprytnie ukryte, od czasu wystąpienia tego problemu nie dziala mi odkrywanie ukrytych folderów w panelu sterowania

Dodano po 51 [sekundy]:

Format jak robie pisze plik zabezpieczony przed zapisem

Dodano po 7 [minuty]:

Być może podpowie to coś używałem wnastępująxych programów wszystkie nie miały dostępu:
Repair
Unlocker
USB firewall
Flash disinfector
Storage format tool

Pobierz i wypal (Alcohol120% lub CDBurnerXP, nie Nero!) obraz ISO dowolnej dystrybucji Linuksa typu LiveCD, wystartuj z niej komputer, włóż pen do USB, jak wykryje otwórz i usuń śmiecia. Powinno się dać.
Ostatnio tak wywaliłem Confickera, którego nie widział Eset ani nie był widoczny dla Win7.
Inna sprawa- próbowałeś zmienić ustawienia pliku? (PPM- Właściwości)
Jeżeli wcześniej korzystałeś z FlashDisinfector, to on tworzy plik autorun.inf zabezpieczony przed nadpisaniem jako zabezpieczenie przed szkodnikiem o takiej samej nazwie. Szkodnik autorun.inf, otwarty w notatniku ma często wpis typu "Kuciapka tu był"
V.

Silascain napisał:

(...)
od czasu wystąpienia tego problemu nie działa mi odkrywanie ukrytych folderów w panelu sterowania
(...)

Miałem też to kiedyś, szukałem cracka do pewnego programu (który nie ma wersji demo a dla 1 razu nie warto kupować) wpisałem w Google "crack <nazwa>" i ściągnąłem jakiś syf. Wytępiłem ale też nie pokazywało plików ukrytych, naprawił to combofix, ale widzę że nic nie dało ;< więc użyj tego:
https://www.arcabit.pl/arcanix

Silascain napisał:

... od czasu wystąpienia tego problemu nie dziala mi odkrywanie ukrytych folderów w panelu sterowania

Czyli masz już wirusa na HDD, zacznij od przeczytania podwieszonych tematów.

Jeśli wpierw chcesz oczyścić pendrive, powinieneś bez problemu sformatować go systemem typu live CD.

artaa napisał:

(...)
Jeśli wpierw chcesz oczyścić pendrive, powinieneś bez problemu sformatować go systemem typu live CD.

Polecam do tego gparted live cd + vmware.

Nie pamiętam już dokładnie, ale Flash Desinfector chyba tworzy swój plik autorun.inf jako szczepionkę. Kliknij na niego prawym i w opisie chyba będzie wzmianka o tym. Jeśli tak jest to go nie ruszaj !

Dobra ja jestem troche lama w komputerach więc... zajmę się tym z Linuksem jutro. A co do autorun nie widze tego pliku tym bardziej jak mam zobaczyc co w nim pisze... Jedyny ślad jego obecnosci to wykrycie go w avast. mam na tym pendrive rużne pliki jeden film instalke ale ich nie widać tylko plik w notatniku co sam go dodałem jak niedawno jeszcze mogłem cos tam zapisywać, reszta jest ukryta a sam txt jest uszkodzony tak przynajmniej pisze i waży 0kb

Dodano po 1 [minuty]:

flash disinfection użyłem kilka dni po zauważeniu problemu

Wystarczyła chwilka w google i proszę info o Flash Desinfector - Link

Dla leniwych:

Cytat:

UWAGA: Narzędzie na każdym dysku tworzy ukryty folder autorun.inf...

Folder ten ma znaczenie ochronne - "przeszkadza" szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok). Te foldery są niekasowalne ze względu na wadę nazwy pliku siedzącego w folderach autorun.inf. Mimo iż da się to jednak usunąć pewną sztuczką:

Proszę tych folderów nie próbować kasować, mają znaczenie ochronne

nie obchodzi mnie że pisze że nie stanowi problemu, ludzie sie skarżą są problemy z tym plikiem a pendriwe powinno sie móc formatować. nie wydaje mi sie to normalne

Wiesz kolego, mnie też nie interesuje co zrobisz. Udzielam tylko informacji, że jeśli to jest to o czym napisałem, to usuwanie tego naraża Cię za dzień, za tydzień, za miesiąc, na kolejną infekcję. A to, że programy antywirusowe czasem na fałszywie alarmują (heurystyka) to nic nowego.
Można się zabezpieczyć i mieć spokój, a można również co jakiś czas męczyć się z usuwaniem robactwa.

Witam. Też miałem nieprzyjemność spotkać się z tym plikiem. Mój sposób wygląda następująco. Na początek ściągnij sobie Total Commander Powerpack, w nim najprawdopodobniej zobaczysz ten plik, a może i inne (u mnie zawsze autorunowi towarzyszył EXPLORER.EXE, w katalogu root). Plik ten najprawdopodobniej będzie też na wszystkich pozostałych dyskach. Jeżeli chcesz go usunąć, musisz uruchomić komputer w trybie awaryjnym (F8 przy uruchamianiu) i uruchomić total commandera. W prawym oknie poszukaj procesów, przeszukaj co jest uruchomione i zbyt podejrzane powyłączaj (jak nie jesteś jakiegoś pewien to możesz dać jego właściwości i zobaczyć gdzie jest dany plik umiejscowiony i kto jest jego wydawcą). W tym miejscu raczej niczego nie popsujesz, ewentualnie zawiesisz komputer, lub doprowadzisz do jego restartu. Następnie usuń ten nieszczęsny plik z wszystkich dysków (znajduje się tylko w /root, czyli bezpośrednio na dysku, dalej nie szukaj).
Tryb awaryjny jest po to, gdyż przy normalnie uruchomionych okienkach, przy próbie usunięcia, plik ten się niejako sam duplikuje i po kilku sekundach jest z powrotem.
Uwaga. To jest moja metoda, "wypracowana" metodą prób i błędów, nie biorę odpowiedzialności za ewentualne uszkodzenie sprzętu, lub utratę danych. Osobiście stosowałem ją kilkanaście razy na różnych komputerach (zainfekowane przez ten sam pendrive) i nigdy mnie nie zawiodła, ale dla zasady ostrzegam. Pozdrawiam

flubber.trip napisał:

Witam. Też miałem nieprzyjemność spotkać się z tym plikiem. Mój sposób wygląda następująco. Na początek ściągnij sobie Total Commander Powerpack, w nim najprawdopodobniej zobaczysz ten plik, a może i inne (u mnie zawsze autorunowi towarzyszył EXPLORER.EXE, w katalogu root). Plik ten najprawdopodobniej będzie też na wszystkich pozostałych dyskach. Jeżeli chcesz go usunąć, musisz uruchomić komputer w trybie awaryjnym (F8 przy uruchamianiu) i uruchomić total commandera. W prawym oknie poszukaj procesów, przeszukaj co jest uruchomione i zbyt podejrzane powyłączaj (jak nie jesteś jakiegoś pewien to możesz dać jego właściwości i zobaczyć gdzie jest dany plik umiejscowiony i kto jest jego wydawcą). W tym miejscu raczej niczego nie popsujesz, ewentualnie zawiesisz komputer, lub doprowadzisz do jego restartu. Następnie usuń ten nieszczęsny plik z wszystkich dysków (znajduje się tylko w /root, czyli bezpośrednio na dysku, dalej nie szukaj).
Tryb awaryjny jest po to, gdyż przy normalnie uruchomionych okienkach, przy próbie usunięcia, plik ten się niejako sam duplikuje i po kilku sekundach jest z powrotem.
Uwaga. To jest moja metoda, "wypracowana" metodą prób i błędów, nie biorę odpowiedzialności za ewentualne uszkodzenie sprzętu, lub utratę danych. Osobiście stosowałem ją kilkanaście razy na różnych komputerach (zainfekowane przez ten sam pendrive) i nigdy mnie nie zawiodła, ale dla zasady ostrzegam. Pozdrawiam

Jeśli to robal, to samo usunięcie pliku autorun.inf nic nie da ze względu na mapowanie. Bez naprawy rejestru, po restarcie pojawi się znów. Dlatego też do usunięcia stosuje się konkretne programy (ComboFix. Flash Disinfector itp) i to tez najlepiej pod nadzorem kogoś kto wie co robi. Bo efekt ich bezmyślnego stosowania można zobaczyć powyżej.


Natomiast jeśli jest to plik po Flash Desinfector i autor tematu uparł się by go jednak skasować, to tu jest recepta:

Cytat:

Start >>> Uruchom >>> cmd

DEL "\\?\C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector"

Po skasowaniu tego pliku folder autorun.inf zostaje odblokowany.

[/quote]
Jeśli to robal, to samo usunięcie pliku autorun.inf nic nie da ze względu na mapowanie. Bez naprawy rejestru, po restarcie pojawi się znów. Dlatego też do usunięcia stosuje się konkretne programy (ComboFix. Flash Disinfector itp) i to tez najlepiej pod nadzorem kogoś kto wie co robi. Bo efekt ich bezmyślnego stosowania można zobaczyć powyżej.
[/quote]

W moich przypadkach pliki te się już nie pojawiały. Tą samą metodę używałem do usunięcia już chyba słynnego r813.bat i też działało. Nie stosuję żadnych antywirusów, ani specjalistycznych programów, bo ich po prostu nie lubię. Wolę pobawić się ręcznie, ewentualnie szybki format też załatwi sprawę

DEL "\\?\C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector"

możesz troche wyjaśnić? nie bardzo rozumiem jak to w pisać. Zamiast "?" ma być nazwa dysku?

Zwyczajnie przepisz całość zwracając uwagę na podkreślnik (_). Ta komenda zdejmuje blokadę i później ręcznie usuniesz plik.



Edit do postu niżej:
Brak spacji, brak (") i nie wpisuj E, bo ta komenda likwiduje blokadę w rejestrze systemu, a nie usuwa plik.

Wpisałem:
DEL\\?\C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector
I pisze:Nie można odnalesć \\?\C:\Autorun.inf\lpt3.This
Nie można odnaleść C:\dokuments and settings\ble ble\folder
To wpisałem zamiast "C" -"E" i miałem -Nazwa katalogu nie prawidłowa.

DEL "\\?\C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector"

System nie może znaleźć określonej ścieżki...

W takim razie, to nie jest plik po Flash Disinfector, a robactwo. Zastosuj się do wskazówek zawartych w temacie https://www.elektroda.pl/rtvforum/topic1044160.html

Prosze mam dziada czarno na białym!

Wykonales skan przy pomocy mbam oraz cureit?

Zainstaluj KB971029 ze strony MS.

Odinstaluj: DAEMON Tools Toolbar,

Wklej to do OTL i nacisnij Run Fix:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\BLEBLE~1\USTAWI~1\Temp\jbridgep.sys -- (jbridgep)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\BLEBLE~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
IE - HKCU\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.)
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={BCD63682-4E49-B196-860E-5E311DB4DE12}&q="
[2010-07-05 10:30:56 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\ble ble\Dane aplikacji\Mozilla\Firefox\Profiles\nhp3vojs.default\searchplugins\daemon-search.xml
[2009-12-19 23:10:48 | 000,005,462 | ---- | M] () -- C:\Documents and Settings\ble ble\Dane aplikacji\Mozilla\Firefox\Profiles\nhp3vojs.default\searchplugins\fast-browser-search.xml
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O32 - AutoRun File - [2008-08-06 15:16:06 | 000,000,055 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]
[2008-08-06 15:16:06 | 000,000,055 | RHS- | M] () -- E:\autorun.inf
[2008-08-07 19:35:34 | 000,116,736 | RHS- | M] () -- E:\g6jk.exe

Ściągnąwszy aktualizacje odpalam OTL z tym wpisem, prosi o restart a po restarcie nie ma śladu po programie a nic się nie wydarzyło

Dodano po 4 [minuty]:

Swoją drogą jak napisałeś żeby usunąć toolbar deamona to chciałem usunąć reszte, a przy usuwaniu Skype toolbar pisało żę nie można kontynuować bez usunięcia autorun.inf

Jestes pewien, ze w OTL wybrales Run Fix, a nie CleanUp?

MAM w wersji polskiej

Dodano po 9 [minuty]:

Dobra pomyliłem sie... Ale skryptu nie da się wykonać dysk chroniony przed zapisem

Czy pendrive ma jakis przelacznik, ktorym ustawia sie "tylko do odczytu" ?
Czy probowales go formatowac?

Silascain napisał:

Rozumiem że mam w wierszu poleceń napisać

Dodano po 51 [sekundy]:

Format jak robie pisze plik zabezpieczony przed zapisem

Dodano po 7 [minuty]:

Nie ma przełącznika chba bym sprawdził?

Uzyj Chip Genius i podaj dane, ktore wyswietli program.