none
Windows XP Professional se nechce nabootovat po nakažení virem

    Dotaz

  • Před nedávnem jsem měl počítač nakažený trojan viry (win32:fasec, win32:fabot). Jeden z nich se ukládal na každou diskovou jednotku do adresáře \resycled\ pod názvem boot.com. S pomocí avastu jsem je odstranil včetně jejich generátorů. Když jsem se ale pak chtěl v Tomto počítači dostat na disk C:\ objevila se chybová hláška: "Systém Windows nemůže nalézt resycled\boot.com. Přesvědčete se, zda je název zadán správně, a akci opakujte. Pro hledání souboru klepněte na tlačítko Start a pak na položku hledat." Když jsem dal prozkoumat, tak vše fungovalo. Počítač jsem potom restartoval a Windows se nechtěl nabootovat. V nouzovém režimu pracuje OK. Mám obavu, že virus přepsal systémové soubory a změnil jejich umístění. Co s tím? Body obnovení se mi žádné neukládaly. Děkuji
    15. prosince 2008 11:16

Odpovědi

  • Ahoj,

    rozdelil bych problem na 2 dilci:

    • odvirovani OS
    • oprava nasledku

    Jsi si jisty ze 1. faze (odvirovani) je dokoncena? Zkus utility typu gmer/mbr, upm a pod. V pripade rootkitu je boj nekdy opravdu tezky a doporucil bych nechat odbornikovi.

     

    MP

     

    15. prosince 2008 11:46
    Moderátor
  • Z instalacniho CD proste nainstalujes windows znova pres stavajici instalaci, tim se opravi vsechny systemove soubory.

     

    Ale jak rikam, dokud neni PC odvirobane nema to zadny smysl!!!

     

    MP

    15. prosince 2008 12:02
    Moderátor
  •  Paajka1 napsal:
    Když jsem se ale pak chtěl v Tomto počítači dostat na disk C:\ objevila se chybová hláška: "Systém Windows nemůže nalézt resycled\boot.com.


    musíš si nastavit zobrazování skrytých složek a souborů.......smazat složku c:\resycled\*.*( což se asi stalo) a zároveň soubor autorun v C:\  , který na tento soubor odkazuje.....
    potom by už ti měl jít otevírat disk standartním dvojklikem......
    15. prosince 2008 13:27

Všechny reakce

  • Ahoj,

    • co znamena nechtel nabootovat? V jake fazi startu a s jakou hlaskou skoncil? Nebo se neslo PRIHLASIT?
    • v safe mode spust nejaky nastroj na kontrolu / zakazani spousteni polozek po startu. Bud jednoduchy msconfig.exe nebo ze stranek microsoftu stahni autoruns.exe. Projdi a ZAKAZ vse potrebne
    • jsi si jisty ze byl virus odstranen? doporucuji sken jeste dalsimi nastroji, napr. MS Onecare Live Safety (http://onecare.live.com/site/cs-cz/default.htm), DrWeb atd.

    MP

     

     

    15. prosince 2008 11:26
    Moderátor
  • Když jsem startoval počítač, tak se zastavil na obrazovce s výběrem možnosti startu. Předtím se pokoušel startovat normálním způsobem. Zvolil jsem nouzový režim s prací v síti. V nouz. režimu jsem se potom přihlásil bez probému jako Administrátor. Skenoval jsem počítač ještě Spywarefighterem a našel tam myslím i nejaký rootkit virus a spoustu trackingcookies.
    Když jsem odstraňoval ten virus v resycled tak to myslim hodilo hlášku, že je právě používán.
    15. prosince 2008 11:40
  • Ahoj,

    rozdelil bych problem na 2 dilci:

    • odvirovani OS
    • oprava nasledku

    Jsi si jisty ze 1. faze (odvirovani) je dokoncena? Zkus utility typu gmer/mbr, upm a pod. V pripade rootkitu je boj nekdy opravdu tezky a doporucil bych nechat odbornikovi.

     

    MP

     

    15. prosince 2008 11:46
    Moderátor
  • Projedu to ještě pro jistotu pomocí OneCare.
    Dají se systémové soubory obnovit z instalačního CD? Resp. dá se s pomocí inst. CD rozjet počítač, když se mu samotnýmu nechce. A měl bych pravděpodobně zálohovat dokud ještě můžu že?
    15. prosince 2008 11:53
  • Z instalacniho CD proste nainstalujes windows znova pres stavajici instalaci, tim se opravi vsechny systemove soubory.

     

    Ale jak rikam, dokud neni PC odvirobane nema to zadny smysl!!!

     

    MP

    15. prosince 2008 12:02
    Moderátor
  •  Paajka1 napsal:
    Když jsem se ale pak chtěl v Tomto počítači dostat na disk C:\ objevila se chybová hláška: "Systém Windows nemůže nalézt resycled\boot.com.


    musíš si nastavit zobrazování skrytých složek a souborů.......smazat složku c:\resycled\*.*( což se asi stalo) a zároveň soubor autorun v C:\  , který na tento soubor odkazuje.....
    potom by už ti měl jít otevírat disk standartním dvojklikem......
    15. prosince 2008 13:27
  • autorun soubor jsem smazal, ale je tam porad ten samy problem. kdyz jsem mazal slozku c:\resycled\ tak to vyhodilo hlášku, že složka System Volume Information nejde odstranit (???). ale mel jsi pravdu ze v tom autorunu se odkazovalo na tu zpropadenou slozku
    15. prosince 2008 20:39
  • OneCare nasel dalsi dva trojany z toho jeden generator. smazal jsem je oba. tak si rikam ze nejlepsi bude vsechna uzivatelska data zalohovat na flashdisk, s programy co tam mam se rozloucim a naformatuju disk. pak tam dam nova Windows a obetuju cely den instalaci vseho co tam bylo predtim. i kdyz tohle je asi to po cem programatori viru touzi
    anebo si uz muzu byt jisty ze po skenovani OneCare, avastem a Spywarefighterem mam pocitac konecne cisty a jediny problem jsou poskozene systemove soubory?
    15. prosince 2008 20:49
  • Zkus jeste nejaky detektor rootkitu. Alespon dva ruzne detektory radeji!

     

    MP

    15. prosince 2008 21:22
    Moderátor
  • Najdi soubory viru, všechny přejmenuj. Zpravidla se kopírují (tj. nevytvářejí), takže po přejmenování by neměl být schopen volat druhý soubor ke spuštění. Alespoň tak odstraňuji tyto typy já a funguje to. A projeď si to online scannerem na eset.cz a smaž zbytky (při mazání kontroluj atributy, aby to šlo smazat a opravdu se smazaly).
    16. prosince 2008 7:47
  • Proskenoval jsem cely pocitac pomoci BlackLight a nasel jenom par dalsich trojanu a spyware, rootkit tam udajne nebyl. Dál jsem si projel spustene procesy pomoci DarkSpy a nasel jeden cervenej (skrytej) s divným jménem. V te verzi co mam ho nemuzu shodit. To je ale asi stejne jedno protoze se zapina pri startu. Pak jsem to jeste projel pomoci Panda Anti-Rootkitu ale nasel jenom nejaky spyware veci. Krome obcasneho zamrznuti po startu Windows (kdy nejde nez odpojit od proudu) se to zda v poradku. Neni na to nejaky lek? C jednotku uz normalne otevru. Akorat me tam vadi jeden avastem a FreeFixerem oznaceny soubor (yayyWooN.dll) ktery je udajne Winlogon Notify DLL. WgaLogon.dll soubor na pocitaci je tak nevim co je zac ten druhy...
    19. prosince 2008 15:15