Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Skróty zamiast folderów na dysku wymiennym

#1
Skróty zamiast folderów na dysku wymiennym
Witam! Najprawdopodobniej jakiś wirus dostał się na mój komputer - na USB zamiast folderów mam skróty do tychże. Ale od początku...
Po kliknięciu w skrót folder się otwierał razem z całą zawartością, dlatego na początku nie wydało mi się to podejżane. Jako że była to muzyka nagrana na dysku flash do samochodu, podłączyłem ten dysk do radia w samochodzie i tam już żaden plik nie został wykryty (wcześniej muzyka grała normalnie z tego dysku). Wtedy wydało mi się to podejżane, więc podpiąłem penka do laptopa (drugi komputer) i tam antywirus wykrył dwa zagrożenia. Usunąłem oba z nich, jednak po ponownym skanowaniu okazało się że jeden dalej tam siedzi*. Nie zależało mi na tej muzyce, bo i tak miałem kopie utworów, więc wywaliłem pena do kosza z myślą "zawirusowany i tam mi się do niczego nie przyda". Postanowiłem uzyć drugiego, ale niestety problem nadal istniał. Z tą tylko różnicą, że tu już żaden wirus nie został wykryty. Wtedy już zorientowałem się że to nie tamten pendrive był zawirusowany, co mój komputer (albo i jedno i drugie). Zacząłem szukać informacji w Internecie i stwierdziłem że najlepiej będzie poradzić się na tym forum. Przepraszam za tak długi tekst, ale chciałem precyzyjnie opisać problem.

*wirus ten nosi nazwę MerciJacquieMichel.vbe

PS: Oczywiście załączam logi z wyjątkiem TDSS Killer'a (miałem problemy ze ściągnięciem) + log z programu AdwCleaner (na jednym forum ktoś polecał w tego typu problemach)

Extras.txt: http://wklej.org/id/3273818/
OTL.txt: http://wklej.org/id/3273820/
AdwCleaner[S1].txt:  http://wklej.org/id/3273824/
Silent Runners: http://wklej.org/id/3273850/
GMER:  http://wklej.org/id/3273904/
log.txt [RSIT]:  http://wklej.org/id/3273914/
MBRCheck:  http://wklej.org/id/3273915/
FRST.txt:  http://wklej.org/id/3273922/
Addition.txt [FRST]:  http://wklej.org/id/3273924/
Shortcut.txt [FRST]:  http://wklej.org/id/3273925/


Ostrzeżenie (na razie bez konsekwencji): w jakim celu formatujesz tekst? Żebym teraz ja musiał poprawiać?

FYI: Link-spacja-opis (albo odwrotnie): https://forum.pcformat.pl/Jak-podawac-lo...--498316-t  


Do meritum: problem znany od kilu lat (już nawet myślałem że minął) - Atmorderca na pewno ci udzieli odpowiednich wskazówek.

broda99
.
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Skróty zamiast folderów na dysku wymiennym
Tak, komputer jest zarażony.

1) Otwórz Notatnik i wklej w nim:

Kod:
Task: {FE4BA9D1-A21B-452B-83A3-88FDFAA80AB9} - System32\Tasks\{2D13E648-96E2-4A90-9FDB-3E334546384F} => C:\Windows\system32\pcalua.exe -a "E:\807 Network Joystick(4a12k)3.70a - 副本 (2).exe" -d E:\
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\ChromeHTML: ->  <==== UWAGA
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\Run: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
c:\Users\Administrator\Desktop\Audio DVD Creator.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób log z USBFix, z opcji  LISTING  http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172740

3) Zrób nowe logi FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Skróty zamiast folderów na dysku wymiennym
Więc tak, zrobiłem jak napisałeś - oto logi:


USB Fix : http://wklej.org/id/3274327/
FRST : http://wklej.org/id/3274329/
Addition : http://wklej.org/id/3274330/
Shortcut : http://wklej.org/id/3274331/
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Skróty zamiast folderów na dysku wymiennym
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
G:\MerciJacquieMichel.vbe
H:\MerciJacquieMichel.vbe
G:\muzyka polska.lnk
CMD: attrib -s -h G:\muzyka polska
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\RunOnce: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe
Reg: reg delete HKU\S-1-5-21-1612450249-583761516-2022609691-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
C:\Windows\Minidump\*.dmp
HOSTS:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowy log USBFix z opcji LISTING.

3) Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Skróty zamiast folderów na dysku wymiennym
Na przyszłość do ochrony systemu przed infekcjami z nośników mobilnych polecam lekki
MCShield
http://www.mcshield.net/screenshots.html
https://safegroup.pl/showthread.php?tid=...pid=184516
#6
RE: Skróty zamiast folderów na dysku wymiennym
Pod spodem nowy log z FRST'a:
http://wklej.org/id/3274518/

Natomiast przy próbie wykonania loga z UsbFix wyskoczył mi błąd: "error: subscript used on non-accessible variable"
 System operacyjny: windows_seven Przeglądarka: chrome
#7
RE: Skróty zamiast folderów na dysku wymiennym
bez logu USBFix nie mam pojęcia, jaka jest sytuacja na pamięciach przenośnych.
Wyłącz antywirusa na czas ściągania i używania USBFixa
 System operacyjny: windows_seven Przeglądarka: seamonkey
#8
RE: Skróty zamiast folderów na dysku wymiennym
Oczywiście zdaje sobie sprawę, że bez logu UsbFix nie będziesz w stanie mi pomóc, jednak tłumaczę raz jeszcze, że przy próbie wygenerowania tegoż pojawia się błąd " "error: subscript used on non-accessible variable". Żeby nie być gołosłownym załączam screena.

PS: Próbowałem już oczywiście z wyłączonym antywirusem i nawet w trybie awaryjnym, problem ten sam...


Załączone pliki Miniatury
   
 System operacyjny: windows_seven Przeglądarka: chrome
#9
RE: Skróty zamiast folderów na dysku wymiennym
Szkoda.
Trudno, skoro nie da się zrobić logu, to sformatuj obie pamięci przenośne.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#10
RE: Skróty zamiast folderów na dysku wymiennym
Dziękuję - problem zniknął. Temat do zamknięcia!
 System operacyjny: windows_seven Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Pojawianie się podejrzanych folderów exe Ryoukio 1 4656 26.12.2018, 08:51
Ostatni post: morderca
  pendrive wyswietla skróty zamiast plików halucyn15785416 8 3733 19.11.2018, 18:46
Ostatni post: halucyn15785416
Exclamation skróty na pendrivie sendlaksz 10 7975 29.10.2018, 22:54
Ostatni post: sendlaksz

Skocz do:


Wybrane wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Ściana zainfekowany bios ? monitor wyświetla brak sygnału pelsonn 1 4478 13.01.2019 17:10
Ostatni post: raxer
  Samootwierająca się strona i program fullstar17 6 4709 28.12.2018 21:26
Ostatni post: fullstar17
  Dostęp do kamery przez aplikację Device Census. tiger_zaby 3 10406 26.12.2018 22:43
Ostatni post: tiger_zaby
  Pojawianie się podejrzanych folderów exe Ryoukio 1 4656 26.12.2018 08:51
Ostatni post: morderca
  zabezpieczenia przed keyloggerami? prośba o pomoc Agnieszka19861 4 4931 24.12.2018 22:44
Ostatni post: Fix00ser
  prośba o pomoc : http://gmaegames.pro ... hc210pop 14 10434 24.12.2018 21:20
Ostatni post: hc210pop
  samoczynne otwieranie przegladarki z reklamami podczas uruchomienia komputera kisiel1993 2 935 21.12.2018 19:46
Ostatni post: kisiel1993
  Strona uruchamia się wraz ze startem systemu. SHARP33 2 831 20.12.2018 02:02
Ostatni post: SHARP33
  Otwierająca się strona po starcie systemu Maxthal124 2 4093 16.12.2018 15:20
Ostatni post: Maxthal124
  Komputer dlugo sie zalancza. bracik77 4 4112 16.12.2018 13:45
Ostatni post: bracik77
  samoistnie otwierająca się strona po starcie systemu logan0125 2 4170 16.12.2018 13:42
Ostatni post: logan0125
  Włączanie się strony internetowej w raz ze startem systemu LifesGood 2 3872 16.12.2018 02:44
Ostatni post: LifesGood
  przy odpaleniu windowsa włacza sie strona z wirusem :( Wojt84 1 4141 15.12.2018 05:25
Ostatni post: Illidan
  Wirus ransomware dawid_v22 3 4094 14.12.2018 00:52
Ostatni post: Fix00ser
  Samoistne włączanie się przez 1s. wiersza poleceń po starcie systemu z przeglądarką mattur88 5 3952 13.12.2018 14:25
Ostatni post: morderca