Windows Script Host

[gio pepe]

Προσπαθω να μπω με διπλο κλικ στο σκληρο δισκο κ μου βγαζει αυτο

Windows Script Host

Δεν είναι δυνατή η εύρεση του αρχείου δέσμης ενεργειών "C:\countermeasure.sys.vbs".

 

Ενω οταν μπαινω με δεξι κλικ "ανοιγμα" μπανει κανονικα

Γνωριζει κανεις πως διορθωνεται αυτο?

[antonl]

Κάνε scan με κάποιο ενημερωμένο antivirus για αρχή.

[micos000]

Εμφάνισε πρώτα τα κρυφά αρχεία και απενεργοποίησε την απόκρυψη αρχείων συστήματος.

 

Μετά μπες με δεξί κλικ στον δίσκο και κάνε εντόπισε το autorun.inf που θα είναι στο root του δίσκου.

 

Στην συνέχεια μετονόμασε το σε autorun.txt (αυτό για την περίπτωση που το χρειαστείς αργότερα, αλλιώς σβήσ' το τελείως)

 

Αν θέλεις άνοιξέ το με το Σημειωματάριο. Θα πρέπει να έχει μια καταχώρηση που να τρέχει το countermeaure.sys.vbs

[gio pepe]

Εμφανισα τα κρυφα αρχεια, απενεργοποιησα κ αυτην την επιλογη "αποκρυψη προστατευμενων κρυφων αρχειων".

Αλλα παρ'ολ'αυτα δεν μου βρισκει κανενα αρχειο aytorun.inf

[micos000]

Αν δεν υπάρχει τότε κάποιο καλό προγραμματάκι σου άλλαξε το default association για τον δίσκο.

 

Κατέβασε το Drive association fix για XP μήπως και διορθωθεί.

 

Υ.Γ. Βλέπω ότι έγραψα λάθος το όνομα του αρχείου.

Είναι Autorun.inf και όχι Aytorun.inf

Όσον αφορά την κατάληξη .inf μπορεί να μην στην εμφανίζει.

Δες αν υπάρχει κάτι που να έχει σχέση με autorun χύμα στον C:\

[gio pepe]

Τζιφος

[micos000]

Μια αναζήτηση που έκανα είδα ότι το αρχείο αυτό μπορεί να είναι ή ένα script που αταματάει την μόλυνση από φλασάκια και γράφτηκε από κάποιο ΤΕΙ ή είναι worm.

Οι γνώμες είναι διφορούμενες.

 

Για να δούμε τα πράγματα όμως με την σειρά. Πρώτα κάνε ένα νέο σημείο ελέγχου στην επαναφορά συστήματος.

 

1. Όταν κάνεις εμφάνιση των κρυφών αρχείων, αυτή ενεργοποιείται; Πήγαινε πάλι στο μενού και δες αν παρέμεινε ή άλλαξε πάλι. Αν άλλαξε είναι σίγουρα μόλυνση.

Πάρε το παρακάτω αρχείο, αποσυμπίεστο στον C: και τρέξε το αρχείο bat. Θα πρέπει να σου εμφανίσει πλέον τα κρυφά αρχεία και να μπορέσεις να δεις το περίφημο autorun.inf και να το σβήσεις.

atrib.zip

 

2. Κατέβασε το Antimalware (την free έκδοση) και κάνε ένα καλό έλεγχο.

 

3. Δώσε Έναρξη->Εκτέλεση και γράψε regedit και πάτα Enter.

Κατευθύνσου στο παρακάτω κλειδί.

HKEY_CURRENT_USER\

software\

microsoft\

windows\

currentversion\

explorer\

mountpoints2\

Έλεγξε ένα-ένα τα κλειδιά που έχει μέσα και δες αν υπάρχει πουθενά αναφορά για wscript.exe με τιμή countermeasure.sys.vbs. Αν βρεις σβήσε όλο το κλειδί με τα νούμερα που την περιέχει. Αν θέλεις, πριν το σβήσεις επέλεξέ το και πάνε στο μενού Αρχείο-Αποθήκευση και σώστο πρώτα με κάποιο όνομα, για καλό και για κακό.

[gio pepe]

Να σαι καλα ρε micos εγινε με τον πρωτο τροπο. Οταν βεβαια εσβησα το μαμημενο autorun.inf δεν εμπαινε παλι αλλα με ενα restart ηταν ολα ok.

thanks

[antonl]

Να σαι καλα ρε micos εγινε με τον πρωτο τροπο. Οταν βεβαια εσβησα το μαμημενο autorun.inf δεν εμπαινε παλι αλλα με ενα restart ηταν ολα ok.

thanks

Μια μικρή παρατήρηση μόνο. Ο micos000 δεν ανέφερε τρεις τρόπους αλλά έναν τρόπο με τρία βήματα. Απλά έσβησες ένα αρχείο που καλούσε το malware κι όχι το ίδιο το malware.

[gio pepe]

Και το 2 εκανα που δεν βρικε τπτ κ το 3 αλλα δεν υπηρχε κανενα τετοιο αρχειο οποτε υπεθεσα οτι ολη η δουλεια εγινε απ'το 1.

[micos000]

Αυτό με το countermeasure μπορεί να μην ήταν ιός αλλά αντίμετρα (όπως υποδειλώνει και το όνομά του) αν είχες πρόσβαση σε υπολογιστή ΤΕΙ ίσως να μπήκε από εκεί.

 

Και κάτι ακόμα. Τώρα που σβήστε το inf αρχείο και δουλεύει "θεωρητικά" καλά, μπορείς να εμφανίσεις τα κρυφά αρχεία και να μείνει η επιλογή ή πάλι απενεργοποιείτε;

Αν δεν μένει μάλλον δεν καθάρισες ακόμα.