привет всем .
когда правым кликом на диске (C:\ ...) там появился какое то open(0) , что ето такое ???
проверил антивирусами касперски, аваст... нечего не было найдено ... да и в инете нечего не нашол ...
и на флешке тоже самое появился ...

прошу отвечать ЗНАЮЩИМ людям....[hr]
Решение
после снятия галочи перед Hide protected operating system files
вот на что наткнулся f:\autorun.inf
в нем написано... [autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)
Файл нужно удалить.

deimus
Что-то у вас в контестное меню дисков видимо прописалось, или како-то пункт оттуда убирали, но не до конца, проверьте в реестре в ветках HKEY_CLASSES_ROOT\Drive\shell и HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers - какие там есть подразделы?

Этот пункт меню у вас только на дисках отображается или на каталогах тоже?

разеснил откуда они появились , троян попал в комп , касдперски с поскледным апдейтом поймал....
но пункты не изчезли ... и по дефаулту работает этот open(0) ,при попитке дает for example "e:\ access denied"

это отображается толко на дисках
подразделы в реестре такие в shell -> command и ddeexec
в ContextMenuHandlers-> {59099400-57FF-11CE-BD94-0020AF85B590}
{fbeb8a05-beee-4442-804e-409d6c4515e9}
Kaspersky Anti-Virus
Offline Files
Sharing

помогите убрать этот Open(0) и чтоб по дефаулту работал нормалный open

deimus
Интересует в данном случае содержимое ветки HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers
стоя на этой ветке зайдите в меню файл - экспорт - сохраните эту ветку в txt и прикрепите к сообщению, либо покажите содержимое полученного файла здесь.

или хотя бы внутренности (параметры) этих подразделов: {59099400-57FF-11CE-BD94-0020AF85B590} и {fbeb8a05-beee-4442-804e-409d6c4515e9}

вот содержимое

Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers
Class Name: <NO CLASS>
Last Write Time: 13.11.2006 - 19:32

Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Kaspersky Anti-Virus
Class Name: <NO CLASS>
Last Write Time: 13.11.2006 - 19:32
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {dd230880-495a-11d1-b064-008048ec2fc5}


Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Offline Files
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {750fdf0e-2a26-11d1-a3ea-080036587f03}


Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Sharing
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 18:35
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}


Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\{59099400-57FF-11CE-BD94-0020AF85B590}
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 18:35

Key Name: HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\{fbeb8a05-beee-4442-804e-409d6c4515e9}
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data:

Попробуйте удалить эти подразделы:
{59099400-57FF-11CE-BD94-0020AF85B590}
{fbeb8a05-beee-4442-804e-409d6c4515e9}

только предварительно обязательно сделайте резервную копию ветки

Также посмотрите нет ли чего лишнего в этой ветке:
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

вот содержимое HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers -а

Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
Class Name: <NO CLASS>
Last Write Time: 13.11.2006 - 19:32

Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Advanced LAN Pump
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 21:11
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {C595FB36-7896-4451-B8EF-49298E2C8577}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Kaspersky Anti-Virus
Class Name: <NO CLASS>
Last Write Time: 13.11.2006 - 19:32
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {dd230880-495a-11d1-b064-008048ec2fc5}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {750fdf0e-2a26-11d1-a3ea-080036587f03}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {09799AFB-AD67-11d1-ABCD-00C04FC30936}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {A470F8CF-A1E8-4f65-8335-227475AA5C46}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\RhinoShExt
Class Name: <NO CLASS>
Last Write Time: 03.11.2006 - 0:31
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {C81DCBCA-8AE2-41FC-9C39-78B160393210}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 18:41
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {B41DB860-8EE4-11D2-9906-E49FADC173CA}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 18:43
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: {E0D79304-84BE-11CE-9641-444553540000}


Key Name: HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Class Name: <NO CLASS>
Last Write Time: 02.11.2006 - 14:44
Value 0
Name: <NO NAME>
Type: REG_SZ
Data: Start Menu Pin

Не вижу ничего криминального, кроме пожалуй раздела RhinoShExt, я не знаю что это за приложение туда его добавило..
как успехи с удалением параметров что я советовал выше?

удаление подразделов не помогло , rhino это приложение для 3d моделинга , думаю не это причина...

удаление подразделов не помогло в таком случае возвращайте из резервной копии
Затем сделайте резервную копию раздела HKEY_CLASSES_ROOT\Drive, возьмите файл из вложения, измените его расширение на *.reg и запустите
Если это не поможет, то вернете все из резервной копии.

все сделал как было сказано , не помогло ...

может какой то Reg cleaner поможет ?

deimus
ок, а гляньте еще в панели Управления - Свойства папки - Типы файлов - тип Устройство - Дополнительно
нет ли там каких-либо команд, по хорошему там должно быть только find прописано

если нет, то пробуйте прогнать полный скан реестра при помощи Ad-Aware например или действительно каким регклинером, только с ним поаккуратнее, не удалите чего лишнего.

выше сказанном месте все было нормально

после снятия галочи перед Hide protected operating system files
вот на что наткнулся f:\autorun.inf

в нем написано...
[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

причем ctfmon.exe тот троян которого поймал антивирус;
посмотрел в старом компе такого (autorun.inf) файла вообше нету;
и вот так во всех разделах;

что посоветуете удалить ?

вот на что наткнулся f:\autorun.inf позор на мои седины... это же первое что должно было прийти в голову! а вместо этого полезли в дебри...
Убивайте этот файл, в корне диска не должно быть никаких авторанов.
В целом ctfmon.exe это системный процесс, но он никак уж не в корзине должен лежать и из нее запускаться, просто вирус взял себе такое имя чтоб типа меньше вызывать подозрений.

все !!! проблема решина !!!
для начало удалил с флешки , но ждал отзывов про дисков ...

спасибо тебе огромное Blast respect to YOU !!!

deimus
По сути вы сами нашли решение, за что и вам спасибо. Но, надеюсь, тема для вас была интересной ;)

Отмечаю решенной.

Хелп ми... такая же бодяга((( тоже все так, касперыч нашел вирус в ctfmon.exe я удалил, диск Д не открываеться, нет доступа, вроде авторан все удолил(на самом диске и еще в папке, которая находиться на диске), но ничего не поменялось

autorun.inf удалил,реестр просмотрел-все нормально,лишних команд нигде не прописано,а проблема осталась.Не подскажите что еще можно сделать?И еще,когда пытаешся автозапуск сделать(Autoplay),выдается ошибка : windows cannot find "Recycled\ctfmon.exe".Сам троян тоже удалил

MoP
Попробуйте еще раз все шаги:
FAQ: Не открываются локальные диски в проводнике (http://www.oszone.net/118/#26)