Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Skróty zamiast folderów na dysku wymiennym

#1
Skróty zamiast folderów na dysku wymiennym
Witam! Najprawdopodobniej jakiś wirus dostał się na mój komputer - na USB zamiast folderów mam skróty do tychże. Ale od początku...
Po kliknięciu w skrót folder się otwierał razem z całą zawartością, dlatego na początku nie wydało mi się to podejżane. Jako że była to muzyka nagrana na dysku flash do samochodu, podłączyłem ten dysk do radia w samochodzie i tam już żaden plik nie został wykryty (wcześniej muzyka grała normalnie z tego dysku). Wtedy wydało mi się to podejżane, więc podpiąłem penka do laptopa (drugi komputer) i tam antywirus wykrył dwa zagrożenia. Usunąłem oba z nich, jednak po ponownym skanowaniu okazało się że jeden dalej tam siedzi*. Nie zależało mi na tej muzyce, bo i tak miałem kopie utworów, więc wywaliłem pena do kosza z myślą "zawirusowany i tam mi się do niczego nie przyda". Postanowiłem uzyć drugiego, ale niestety problem nadal istniał. Z tą tylko różnicą, że tu już żaden wirus nie został wykryty. Wtedy już zorientowałem się że to nie tamten pendrive był zawirusowany, co mój komputer (albo i jedno i drugie). Zacząłem szukać informacji w Internecie i stwierdziłem że najlepiej będzie poradzić się na tym forum. Przepraszam za tak długi tekst, ale chciałem precyzyjnie opisać problem.

*wirus ten nosi nazwę MerciJacquieMichel.vbe

PS: Oczywiście załączam logi z wyjątkiem TDSS Killer'a (miałem problemy ze ściągnięciem) + log z programu AdwCleaner (na jednym forum ktoś polecał w tego typu problemach)

Extras.txt: http://wklej.org/id/3273818/
OTL.txt: http://wklej.org/id/3273820/
AdwCleaner[S1].txt:  http://wklej.org/id/3273824/
Silent Runners: http://wklej.org/id/3273850/
GMER:  http://wklej.org/id/3273904/
log.txt [RSIT]:  http://wklej.org/id/3273914/
MBRCheck:  http://wklej.org/id/3273915/
FRST.txt:  http://wklej.org/id/3273922/
Addition.txt [FRST]:  http://wklej.org/id/3273924/
Shortcut.txt [FRST]:  http://wklej.org/id/3273925/


Ostrzeżenie (na razie bez konsekwencji): w jakim celu formatujesz tekst? Żebym teraz ja musiał poprawiać?

FYI: Link-spacja-opis (albo odwrotnie): https://forum.pcformat.pl/Jak-podawac-lo...--498316-t  


Do meritum: problem znany od kilu lat (już nawet myślałem że minął) - Atmorderca na pewno ci udzieli odpowiednich wskazówek.

broda99
.
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Skróty zamiast folderów na dysku wymiennym
Tak, komputer jest zarażony.

1) Otwórz Notatnik i wklej w nim:

Kod:
Task: {FE4BA9D1-A21B-452B-83A3-88FDFAA80AB9} - System32\Tasks\{2D13E648-96E2-4A90-9FDB-3E334546384F} => C:\Windows\system32\pcalua.exe -a "E:\807 Network Joystick(4a12k)3.70a - 副本 (2).exe" -d E:\
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\ChromeHTML: ->  <==== UWAGA
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\Run: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
c:\Users\Administrator\Desktop\Audio DVD Creator.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób log z USBFix, z opcji  LISTING  http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172740

3) Zrób nowe logi FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Skróty zamiast folderów na dysku wymiennym
Więc tak, zrobiłem jak napisałeś - oto logi:


USB Fix : http://wklej.org/id/3274327/
FRST : http://wklej.org/id/3274329/
Addition : http://wklej.org/id/3274330/
Shortcut : http://wklej.org/id/3274331/
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Skróty zamiast folderów na dysku wymiennym
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
G:\MerciJacquieMichel.vbe
H:\MerciJacquieMichel.vbe
G:\muzyka polska.lnk
CMD: attrib -s -h G:\muzyka polska
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\RunOnce: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe
Reg: reg delete HKU\S-1-5-21-1612450249-583761516-2022609691-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
C:\Windows\Minidump\*.dmp
HOSTS:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowy log USBFix z opcji LISTING.

3) Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Skróty zamiast folderów na dysku wymiennym
Na przyszłość do ochrony systemu przed infekcjami z nośników mobilnych polecam lekki
MCShield
http://www.mcshield.net/screenshots.html
https://safegroup.pl/showthread.php?tid=...pid=184516
#6
RE: Skróty zamiast folderów na dysku wymiennym
Pod spodem nowy log z FRST'a:
http://wklej.org/id/3274518/

Natomiast przy próbie wykonania loga z UsbFix wyskoczył mi błąd: "error: subscript used on non-accessible variable"
 System operacyjny: windows_seven Przeglądarka: chrome
#7
RE: Skróty zamiast folderów na dysku wymiennym
bez logu USBFix nie mam pojęcia, jaka jest sytuacja na pamięciach przenośnych.
Wyłącz antywirusa na czas ściągania i używania USBFixa
 System operacyjny: windows_seven Przeglądarka: seamonkey
#8
RE: Skróty zamiast folderów na dysku wymiennym
Oczywiście zdaje sobie sprawę, że bez logu UsbFix nie będziesz w stanie mi pomóc, jednak tłumaczę raz jeszcze, że przy próbie wygenerowania tegoż pojawia się błąd " "error: subscript used on non-accessible variable". Żeby nie być gołosłownym załączam screena.

PS: Próbowałem już oczywiście z wyłączonym antywirusem i nawet w trybie awaryjnym, problem ten sam...


Załączone pliki Miniatury
   
 System operacyjny: windows_seven Przeglądarka: chrome
#9
RE: Skróty zamiast folderów na dysku wymiennym
Szkoda.
Trudno, skoro nie da się zrobić logu, to sformatuj obie pamięci przenośne.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#10
RE: Skróty zamiast folderów na dysku wymiennym
Dziękuję - problem zniknął. Temat do zamknięcia!
 System operacyjny: windows_seven Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Pojawianie się podejrzanych folderów exe Ryoukio 1 4955 26.12.2018, 08:51
Ostatni post: morderca
  pendrive wyswietla skróty zamiast plików halucyn15785416 8 3969 19.11.2018, 18:46
Ostatni post: halucyn15785416
Exclamation skróty na pendrivie sendlaksz 10 8317 29.10.2018, 22:54
Ostatni post: sendlaksz

Skocz do:


Wybrane wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  hijack.host elwis_95 2 5408 26.03.2018 19:16
Ostatni post: ~Anonim
  Jak usunąć pup.optional... funkyymonk 1 1283 23.03.2018 12:05
Ostatni post: morderca
  Backup a ransomware Grzesiek11 2 5308 19.03.2018 17:30
Ostatni post: ~Anonim
  Przekierowywanie przez przeglądarki na strony "reklamowe", dziwne procesy tic00 24 17969 19.03.2018 12:12
Ostatni post: Illidan
  POMOCY PENDRIVE TWORZY SKROT macuskowal 4 5728 15.03.2018 22:27
Ostatni post: macuskowal
  AntiVir Command Line Scanner for Windows - Jak usunąć? Silver102 2 1165 14.03.2018 17:27
Ostatni post: Silver102
  Brak polskich znaków w folderach po podlączeniu pendrive zgrzytek 2 5375 13.03.2018 18:41
Ostatni post: zgrzytek
  AVAST UKAZUJE ZBĘDNE PLIKI. TADEUSZ_1956 5 8829 13.03.2018 03:39
Ostatni post: TADEUSZ_1956
  Po uruchomieniu laptopa włącza się jakaś ruska strona emilka100 10 2682 13.03.2018 02:43
Ostatni post: Illidan
  Ręczne uruchamianie AV oraz powolny start systemu. raxer 1 903 13.03.2018 02:28
Ostatni post: Illidan
  Eset antywirus - deinstalacja ramirez77 4 5043 11.03.2018 21:18
Ostatni post: Michu_PL
  Po kliknieciu w program nie uruchamia sie [szpieg?] rowerzysta 3 977 11.03.2018 14:53
Ostatni post: broda99
  Wirus Browser redirect. Jak się go pozbyć? LordMefi 2 6142 08.03.2018 12:12
Ostatni post: LordMefi
  Podejrzane procesy: avguirna.exe, igfxTray, hppusg, program [wydzielone] moplefan 2 5007 06.03.2018 20:58
Ostatni post: moplefan
  Spowolnienie komputera PaTrYkus44 9 5570 24.02.2018 01:16
Ostatni post: PaTrYkus44