Jak usunąć wirusa z Windows Vista, który powiela się na pendrive?

Witam. Dziś po podłączeniu pendrive wszystko było ok. Miał utworzoną własną ikonę. Przeglądałem stare płyty CD, na jednej z nich musiał być wirus, gdyż później chciałem nagrać pliki w nero, a ten zasugerował że płyta nie jest czysta. Włożyłem kolejną i to samo. Okazało się, że to wirusy same nagrywały się na płytę CD. Ikona z pendrive była jeszcze, ale nie dało się jej pliku konfiguracyjnego odczytać, po ponownym podłączeniu już jej nie było. Wirus zmienił plik autorun.inf na pendrivie.
Udało mi się go skasować przy pomocy unlockera 1.87, ale po ponownym podłączeniu ciągle wraca. Poza tym nic się nie dzieje. Oznacza to, że wirus jest aktualnie w systemie, ale nie wiem gdzie szukać. Przeskanowałem komputer za pomocą Combofix.
Poradźcie gdzie jest wirus. Załączam log z Combofix.

Zly dzial, zly log.

Daj oba logi z OTL w zalaczniku, do tego log z USBFix, z opcji Listing.

Dodaje 2 logi z OTL i log z USBFix opcja Listing

Nie ma sladu infekcji.

Wykonaj skrypt w OTL:

:OTL
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=EAC&o=102392&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=QF&apn_dtid=YYYYYYYYPL&apn_uid=2729082D-275D-4FB8-AB30-76AB0C411D48&apn_sauid=7A58C4B0-492D-44AC-91EC-935C1BBA717A
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - Reg Error: Value error. File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.


Zainstaluj jave: http://ninite.com/java/

Podlacz zainfekowany pendrive i daj nowy log z USBFix.

Pendrive nie był zainfekowany tylko komputer go infekował. Wirusy z pendrive po każdym podłączeniu kasowałem unlockerem 1.87. Teraz na jednym z pendrivów utworzyłem pusty plik autorun.inf bo taki tworzył wirus. Plik nie został zmodyfikowany co oznacza że nie ma wirusa już. Być może jak przeprowadziłem skanowanie programem Combofix to został on usunięty. Pendrivy podłączałem zarówno przed jak i po wykonaniu skryptu i czysto. Podaje jeszcze log z USBFix dla potwierdzenia. Plik autorun.inf jest plikiem wytworzonym przeze mnie na pendrive(dysk M). Zauważyłem infekcję, gdy ikona mojego innego pendrive zmieniła się na normalną, czyli gdy infekcja zmodyfikowała plik autorun.inf. Spróbuje jeszcze uruchomić ponownie i sprawdzić czy się nie pojawi.
EDIT: Po ponownym uruchomieniu także się nie pojawił. Dodam że Combofix wykonując skanowanie usunął jakieś 7 plików plus wszystkie pliki tymczasowe z komputera plus pewnie jakieś wpisy z rejestru. Istnieje więc możliwość że właśnie został on skasowany przez przypadek.
Nowy log z USBFix

Sprawdź:
Zastosuj USB Oblivion i po restarcie systemu włóż pendriva do portu USB.
http://code.google.com/p/usboblivion/
Podejrzyj jakie pliki są używane - skorzystaj z programu .OpenedFilesView.

Żadne nie są używane, nawet nie ma sensu sprawdzać, pytanie czemu nie działają mi teraz ikony na pendrivach skoro przed infekcją działały. Coś musiał spaprać Combofix lub czyszczenie przez OTL bo po tym zniknął wirus, ale także programy odtwarzania plików multimedialnych czy zdjęć także, wszystko przestawione na domyślne.
Plik autorun.inf napisałem tak:
[autorun]
icon="autorun.ico"
Może ktoś powiedzieć czemu teraz nie działa, a wcześniej przed wirusem działało? Jak naprawić by ikony się pojawiały? A może Combofix zablokował uruchamianie tych plików z pendrivów?
EDIT: Niech ktoś teraz z szanownych kolegów podpowie jak aktywować działanie plików autorun.inf na pendrivach, bo nawet programy do zmiany ikon nie mogą nic na to poradzić, tworzą plik identyczny jak mój, a wcześniej wszystko działało jak należy. Jeżeli nie uda się tego naprawić będę musiał zrobić reinstall systemu gdyż nie lubię, jak coś nie działa właściwie.
No i jak wyrzucić folder Qoobox od combofix z PC, bo jak chcę sobie dodać pełne prawa by go skasować to pisze, odmowa dostępu?
Czy ktoś wie jak przywrócić ikony własne które były przed infekcją a teraz przy takiej samej konfiguracji nie działają? Męczę to już od trzech godzin i nic. Wpisując w cmd: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf"
Otrzymuję
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
(domyślny) REG_SZ @sys:Software\Swearware\dump

Combofix zablokowal autorun i bardzo dobrze, koniecznie musisz miec wlaczony?

Tak, chcę by był włączony. Pomożesz? Chodzi o to żeby po podłączeniu pendrivea komputer odczytując go wyświetlał ikonkę stworzoną przeze mnie. A także chciałbym usunąc folder Combofixa Qoobox .

Utworz fix.reg z podana zawartoscia i uruchom:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=""

Mozesz tez sprawdzic:
http://www.microsoft.com/en-us/download/details.aspx?id=2648# o ile zadziala pod vista.

Niestety po dodaniu tego klucza i restarcie też nic się, nie dzieje, nie ma ikony, mimo że na każdym innym komputerze się ona pojawia. Nie wiem gdzie leży problem. Jeżeli chodzi o program to wyłącza się/przestaje odpowiadać chwilę po uruchomieniu gdy dochodzi do wyboru urządzenia, które chce przeskanować. Da się jeszcze jakoś to przywrócić tak jak było przedwczoraj?

Uzyj przywracania systemu do punktu przed uzyciem combofix. Nastepnie daj nowe logi z OTL. Na przyszlosc nie korzystaj z combofix.

Niestety nie ma punktów przywracania systemu. Gdyby było przywróciłbym do czasu sprzed infekcji. Było całkowicie wyłączone, combofix nie zdołał utworzyć nawet punktu przywracania, dopiero mnie udało się to zrobić lecz niestety po fakcie. Niestety nigdy nie używałem combofix i dopiero teraz widzę jak on niszczy system. Gdyby to był XP to wszystko byłoby dziecinne proste, ale to niestety jest inny system operacyjny, więc nie umiem tego naprawić sam. Tutaj nawet zapis punktu przywracania jest jednym plikiem, jakimś archiwum a w XP można było rejestr ręcznie z punktu przywracania kopiować nawet. Wracając do problemu leży on w gałęzi rejestru HKLM lub combofix ma jakąś własną zaporę zainstalowaną. Dodatkowo ten folder Combofixa którego nie da się usunąć.
Edit: Kolego Kolobos znalazłem jednak jego kopie w folderze od Combofix w C:/Windows/ ERDNT/HIV-BACKUP teraz co mam uczynić, poinstruujesz, bo nie chcę znowu mieć rozwalonego gorzej kompa przez niewiedzę o programie. Nigdy więcej tego Combofixa nie użyje. Czy dobrze rozumuje że wystarczy uruchomić ERDNT.exe będący w tym folderze?

Wykonaj taki fix.reg:
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

Po ponownym restarcie już działa. Nawet wczoraj sam to zrobiłem ale bez restartu, tzn skasowałem ten klucz i dodałem Twój fix.reg poprzedni i nie działało, nie pomyślałem by zrestartować, teraz po tym drugim, już jest ok. Zablokowałem też plik autorun.inf nadając mu atrybut tylko do odczytu, ale pewnie na wirusa to nie poskutkuje nawet gdy się pojawi. Mogłem przecież po odcięciu od procesu pliku autorun.inf sprawdzić jego zawartość ale już przepadło. No nic ważne że system jest sprawny choć jakby mniej stabimy i wolniejszy. Teraz została sprawa z folderem Qoobox na dysku C. Czy da się go skasować spod Visty, czy trzeba w tym celu uruchomić np knoppix lub inny system liveCD?
Dodatkowo zapisze sobie tą kopie na pendrive z HIV-BACKUP. W przypadku awarii systemu, da się skopiować ręcznie ten rejestr do folderu c:\windows\system32\config za pomocą systemu liveCD jak w przypadku XP.

Co do "autorun" wystarczyło poczytać np. to:
http://traxter-online.net/windows/wlaczanie-wylaczanie-autoodtwarzania/

Ten "kłopotliwy" folder usiń np. za pomocą CD Parted Magic:
Parted Magic

Przykro mi ale to już robiłem, a nawet kopie fragmentu rejestru HKLM/Software/Microsoft/Windows/CurrentVersion/policies/Explorer ze sprawnego Pc ale na nic się to zdało. Poza tym żaden program do ikon nie mógł tego odwrócić gdyż ingerował jedynie w plik autorun.inf
Czyli trzeba skasować ten folder spod LiveCD? Nie ma innejmożliwości? Tylko pytam, gdyż nie wiem jakie blokady ma tam Vista by nie dało się skasować tego folderu. Nie da rady obejść tej blokady z poziomy systemu?

mati211p napisał:

Tylko pytam, gdyż nie wiem jakie blokady ma tam Vista by nie dało się skasować tego folderu. Nie da rady obejść tej blokady z poziomy systemu?

A Unlocker pokazuje jakiś "uchwyt"?
http://www.dobreprogramy.pl/Unlocker,Program,Windows,12240.html

EDIT:
http://www.technipages.com/fix-cant-delete-qoobox-folder.html
To też sprawdź.

pidar tak robiłem z tymi przydziałami i pisze nie można zastosować ustawień czy coś takiego, po czym niby się zastosowały, ale w rzeczywistości nie. Niestety mój unlocker 1.87 nie widzi żadnego uchwytu, ale podpowiedziałeś mi, za co klikam pomógł.
Mianowicie nawet jak unlocker nie widzi uchwytu, to należy zrobić jak ja z autorun.inf właśnie. Czyli klikamy ppm na folder i wybieramy opcję unlocker. Unlocker wyświetla brak blokującego uchwytu i pod spodem wybierz akcje. Dajemy na usuń i już skasowany

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

Acorus_20 próbowałem wczoraj, został folder Qoobox po użyciu OTC.exe Chyba właśnie po użyciu OTC.exe należy właśnie doczyścić przez unlocker 1.87 bo to zadziałało, żadna blokada ani nawet wirus nie straszny unlockerowi, wyrzuca procesy i foldery te które zechce, czyli każde.

Pozostałości w rejestrze po tym programie (folderze) usuń "po nazwach" za pomocą:
RegSeeker
http://www.majorgeeks.com/files/details/regseeker.html

Chyba że użyję swojego WinAso.

mati211p napisał:

Chyba że użyję swojego WinAso.

I po użyciu tego programu myślę, że wpisy w rejestrze związane z tym softem się da znaleźć.

A swoją drogą użyłem tego Combofix-a i miałem później po zakończeniu jego działania, co usuwać w RegRun Reanimator (Scan Windows Startup -> Use Deep ... -> Reboot).
Przypadek, czy może tylko u mnie zainstalowało się jakieś "złośliwe oprogramowanie"

Nie wiem czy coś nie zainstalował, ale na pewno działa o wiele gorzej niż przed jego użyciem. Być może będę zmuszony wgrać ten rejestr z wirusem i jeszcze raz wszystko naprawić, bo teraz mozilla uruchamia się 30 sekund, ścina filmy na YT itp.

Ostatecznie dziś po tym użyciu combofixa byłem zmuszony wręcz dokonać przywrócenia kopi rejestru utworzonej przez Erunt tuż przed działaniem Combofixa, jedynej kopii jaką posiadałem. Po kilku próbach udało mi się to. Przyczyną takiej decyzji była niemożliwość korzystania z PC, tzn. zawieszające się przeglądarki, zacinające się filmy zarówno na Yt jak i te w WMP, praca winrara trwająca o około 50% dłużej niż wcześniej i wiele innych. Po przywróceniu kopi tuż sprzed skanowania Combofixem system jest znacznie szybszy. Po podłączeniu pendrive, nic na nim się nie pojawiło, ikona działa, lecz nie wiem czy to nie wina utworzenia przeze mnie pliku o tej samej nazwie jaką miał wirus i zaznaczeniu opcji tylko do odczytu, aby wirus jej nie modyfikował.